瀚高數據庫

目錄

環境

(相關資料圖)

文檔用途

詳細信息

環境

系統平臺：Linux x86-64 Red Hat Enterprise Linux 7

版本：12

文檔用途

postgresql_anonymizer是對數據庫中的個人識別信息或商業敏感數據進行屏蔽或替換的擴展。

詳細信息

1. 介紹

postgresql_anonymizer是對數據庫中的個人識別信息或商業敏感數據進行屏蔽或替換的擴展。該擴展使用標準sql語句定義規則，內置多種屏蔽規則函數。依據定義的規則有3中使用方式

Anonymous Dumps : 將屏蔽數據導出到SQL文件中Static Masking : 根據規則移除替換敏感數據（此方法慎用，避免數據被替換而造成丟失。）Dynamic Masking : 依據規則屏蔽隱藏敏感數據

2. 安裝

支持多種安裝方式，包括rpm，pgxn，docker等。建議使用源碼安裝方式。

下載，編譯

git clone https://gitlab.com/dalibo/postgresql_anonymizer.gitmake extension PG_CONFIG=/opt/pg1211/bin/pg_configsudo make install PG_CONFIG=/opt/pg1211/bin/pg_config

配置加載擴展

ALTER DATABASE postgres SET session_preload_libraries = "anon";pg_ctl restart  --重啟生效

創建擴展

CREATE EXTENSION anon CASCADE;create extension pgcrypto ;

初始化擴展

SELECT anon.init();

3.配置

用于聲明屏蔽規則的函數必須位于指定的模式內，默認是pg_catalog和anon

ALTER DATABASE postgres SET anon.restrict_to_trusted_schemas = on;

聲明屏蔽規則，數據屏蔽規則僅通過使用security labels來聲明

聲明屏蔽規則（MASKED WITH FUNCTION需要大寫）security label for anon on column test_mask.name is "MASKED WITH FUNCTION anon.fake_last_name()";刪除屏蔽規則security label for anon on column test_mask.name is null;刪除所有規則SELECT anon.remove_masks_for_all_columns();

4.屏蔽策略介紹

共8種。參考官方文檔描述??Masking Functions??

DestructionAdding Noise #是數據進行一定幅度的變化。對于數值和日期，Adding Noise通常很有趣RandomizationFaking #使用隨機但看似合理的數據替換敏感數據。對于姓名和其他“直接標識符”，Faking通常很有用Advanced FakingPseudonymizationGeneric HashingPartial scrambling #對部分數據進行遮擋。非常適合用于電子郵件地址和電話號碼Generalization

示例：

Faking

為了使用faking函數，必須先加載init()擴展。SELECT anon.init(); 返回通用的名字security label for anon on column test_mask.name is "MASKED WITH FUNCTION anon.fake_first_name()";

Adding Noise

返回的值是原始值隨機+/-20%security label for anon on column test_mask.salary is "MASKED WITH FUNCTION anon.noise(original_value,0.2)"; 返回的值是原始值隨機+/-7天security label for anon on column test_mask.hiredate is "MASKED WITH FUNCTION anon.dnoise(original_value,7 days)";

Partial scrambling

返回值顯示后四位，其他以xxxx代替security label for anon on column test_mask.telephone is "MASKED WITH FUNCTION anon.partial(telephone,2,$$*****$$$$,4)";

5. Static Masking靜態屏蔽使用

永久刪除敏感數據

應用屏蔽規則，對整個數據庫SELECT anon.anonymize_database();應用屏蔽規則，對指定表SELECT anon.anonymize_table("public.test_mask"); 應用屏蔽規則，對指定列SELECT anon.anonymize_column("customer","zipcode");

注意，數據會被替換，適用于測試數據脫敏。

6. Dynamic Masking動態屏蔽使用

對“屏蔽”用戶隱藏敏感數據

開啟動態屏蔽SELECT anon.start_dynamic_masking(); 聲明屏蔽用戶SECURITY LABEL FOR anon ON ROLE test IS "MASKED";解除用戶屏蔽SECURITY LABEL FOR anon ON ROLE bob IS NULL; 解除所有用戶屏蔽SELECT anon.remove_masks_for_all_roles();

動態屏蔽使用限制

drop表需要使用CASCADEpsql命令\dt 無法顯示被屏蔽表信息只能屏蔽一個schema模式下的數據，默認是public，可修改為其他shema，但只能屏蔽一個模式會使查詢性能非常低，特別是join表時使用圖形化工具是，訪問屏蔽表信息會報錯，ERROR: permission denied for table foo

7. Anonymous Dumps導出屏蔽數據

由于屏蔽設置，不能使用pg_dump導出數據。需要使用pg_dump_anon.sh

pg_dump_anon.sh -h localhost -U postgres -d postgres -t test_dy_mask > /tmp/test_dy_mask_anon.sql

8. 相關字典試圖

pg_seclabelspg_seclabel

9. 使用示例

創建表create table test_dy_mask (id int,name varchar(22),salary int,hiredate timestamp,telephone text); insert into test_dy_mask values (1,"max",20000,"2022-06-21 14:00:00","15512345678");postgres=# select * from test_dy_mask ; id | name | salary |      hiredate       |  telephone----+------+--------+---------------------+-------------  1 | aaa  |  20000 | 2022-06-21 14:00:00 | 15512345678(1 row)聲明屏蔽規則SELECT anon.init(); --使用fakingsecurity label for anon on column test_dy_mask.name is "MASKED WITH FUNCTION anon.fake_first_name()"; --fakingsecurity label for anon on column test_dy_mask.salary is "MASKED WITH FUNCTION anon.noise(salary,0.2)"; --add noisesecurity label for anon on column test_dy_mask.telephone is "MASKED WITH FUNCTION anon.partial(telephone,2,$$*****$$,4)";  --Partial scrambling使用動態屏蔽SELECT anon.start_dynamic_masking();  --開啟動態屏蔽create user test with password "test";  --創建一個新用戶SECURITY LABEL FOR anon ON ROLE test IS "MASKED"; --聲明屏蔽用戶grant select on test_dy_mask to test; --授權select * from test_dy_mask;  --使用屏蔽用戶查詢數據查看結果postgres=> select * from test_dy_mask ; id | name | salary |      hiredate       |  telephone----+------+--------+---------------------+-------------  1 | Koby |  16618 | 2022-06-21 14:00:00 | 15*****5678(1 row)