數(shù)據(jù)脫敏是一種廣泛采用的保護(hù)敏感數(shù)據(jù)（如信用卡，社保卡，地址等信息）的方法。脫敏數(shù)據(jù)不僅僅是為了保護(hù)你和客戶的數(shù)據(jù)安全，在一些情況下，法律也有相應(yīng)要求，最著名的例子就是 GDPR。 市面上也有各種不同的數(shù)據(jù)脫敏方法，例如遮擋，替換，洗牌和加密，適用于不同場(chǎng)景。通過(guò)對(duì)敏感數(shù)據(jù)進(jìn)行脫敏處理，組織能夠降低數(shù)據(jù)泄露和未經(jīng)授權(quán)訪問(wèn)的風(fēng)險(xiǎn)，同時(shí)仍然能夠使用真實(shí)數(shù)據(jù)進(jìn)行開(kāi)發(fā)、測(cè)試和分析等任務(wù)。 本文來(lái)盤(pán)點(diǎn)一下 PostgreSQL 的幾種常用脫敏方式。

PostgreSQL Anonymizer

PostgreSQL Anonymizer 是個(gè)社區(qū)貢獻(xiàn)的擴(kuò)展 (https://www.postgresql.org/about/news/postgresql-anonymizer-10-privacy-by-design-for-postgres-2452/)，可以為 PostgreSQL 添加不同的數(shù)據(jù)脫敏選項(xiàng)和方法。它將脫敏配置存儲(chǔ)在 PostgreSQL 的 SECURITY LABEL（安全標(biāo)簽）中。

動(dòng)態(tài)脫敏

PostgreSQL Anonymizer 實(shí)現(xiàn)動(dòng)態(tài)脫敏的方式是通過(guò)將定義某個(gè)角色為 "MASKED" 以及脫敏規(guī)則。被授予 "MASKED" 角色的用戶將無(wú)法訪問(wèn)原始數(shù)據(jù)，而其他角色仍然可以訪問(wèn)。它現(xiàn)已支持多種的脫敏語(yǔ)法，你甚至可以編寫(xiě)自己的規(guī)則。 這種方法有一定的局限性，例如在他們文檔中 (https://postgresql-anonymizer.readthedocs.io/en/latest/dynamic_masking/#limitations) 有提到，如果你同時(shí)使用脫敏插件和 GUI 工具如 DBeaver 或 pgAdmin 進(jìn)行查詢的時(shí)候可能會(huì)出現(xiàn)問(wèn)題；對(duì)于某些查詢來(lái)說(shuō)，動(dòng)態(tài)脫敏可能非常慢。此外，不同的脫敏變體需要不同的視圖，在角色或底層表發(fā)生變化時(shí)，這又很快變得難以管理起來(lái)。

靜態(tài)脫敏

PostgreSQL Anonymizer 還支持靜態(tài)脫敏，可以直接轉(zhuǎn)換原始數(shù)據(jù)集。比如可以用虛假數(shù)據(jù)替換原始數(shù)據(jù)，添加噪音或者混淆數(shù)據(jù)以隱藏敏感信息。 靜態(tài)脫敏的原則是更新包含至少一個(gè)被脫敏列的所有表的所有行。基本上意味著 PostgreSQL 將重寫(xiě)磁盤(pán)上的所有數(shù)據(jù)。所以請(qǐng)注意，這種方法會(huì)破壞原始數(shù)據(jù)，并且是一個(gè)比較緩慢的過(guò)程。因此，在使用靜態(tài)脫敏之前，請(qǐng)三思而后行。

Bytebase 動(dòng)態(tài)數(shù)據(jù)脫敏

Bytebase 動(dòng)態(tài)數(shù)據(jù)脫敏 (https://www.bytebase.com/docs/security/data-masking/overview/)不依賴于 PostgreSQL 視圖或其用戶，而是通過(guò) Bytebase 內(nèi)部管理脫敏策略和授權(quán)管理。當(dāng)用戶通過(guò) SQL 編輯器查詢時(shí)，會(huì)自動(dòng)應(yīng)用動(dòng)態(tài)脫敏策略。 Bytebase 動(dòng)態(tài)數(shù)據(jù)脫敏包括以下組件：

全局脫敏規(guī)則：工作空間的「管理員」和「DBA」可以批量定義全局脫敏規(guī)則。例如，可以將所有名為 email 的列脫敏程度設(shè)置為「半脫敏」。這樣，修改脫敏策略就無(wú)需手動(dòng)修改數(shù)千列了，還節(jié)省了維護(hù)視圖的麻煩。

列脫敏規(guī)則：工作空間的「管理員」和「DBA」可以將列設(shè)置為不同的脫敏級(jí)別。列脫敏規(guī)則優(yōu)先于全局脫敏規(guī)則。

訪問(wèn)未脫敏數(shù)據(jù)：對(duì)于脫敏數(shù)據(jù)，工作空間的「管理員」和「DBA」可以授予特定用戶訪問(wèn)未脫敏數(shù)據(jù)的權(quán)限。

工作空間的「管理員」和「DBA」均為 Bytebase 的角色 (https://www.bytebase.com/docs/concepts/roles-and-permissions/)。

對(duì)比

PostgreSQL Anonymizer 的優(yōu)勢(shì)在于它是在數(shù)據(jù)庫(kù)本身中實(shí)現(xiàn)的。因此，無(wú)論查詢?nèi)绾伟l(fā)送到數(shù)據(jù)庫(kù)，數(shù)據(jù)脫敏規(guī)則都會(huì)被強(qiáng)制執(zhí)行。對(duì)于 Bytebase 動(dòng)態(tài)數(shù)據(jù)脫敏，查詢必須通過(guò) SQL 編輯器才會(huì)強(qiáng)制執(zhí)行。 Bytebase 動(dòng)態(tài)數(shù)據(jù)脫敏的優(yōu)勢(shì)在于其與所有 PostgreSQL 發(fā)行版都兼容，且支持細(xì)粒度的脫敏策略和訪問(wèn)權(quán)限。只要團(tuán)隊(duì)通過(guò) Bytebase SQL 編輯器來(lái)查詢數(shù)據(jù)庫(kù)，那么 Bytebase 動(dòng)態(tài)數(shù)據(jù)脫敏可以保障組織敏感數(shù)據(jù)的安全。

審核編輯：黃飛