Gestione dei dati virtuali con regole di protezione dei dati nella Data Virtualization

Ultimo aggiornamento: 21 mar 2025

Regole di protezione dei dati nella Data Virtualization

È possibile gestire i dati virtuali definendo le regole di protezione dei dati.

Prima di iniziare

Queste istruzioni presuppongono che siano stati completati i seguenti prerequisiti:

Regole sulla protezione dei dati create in IBM Knowledge Catalog. Per ulteriori informazioni, vedere Gestione delle regole di protezione dei dati.
Configurate le impostazioni della cache per le regole di protezione dei dati. Per ulteriori informazioni, vedere Configurazione delle impostazioni della cache PEP per le regole di protezione dei dati in Data Virtualization.
Pubblicare e annotare in un catalogo regolamentato gli oggetti che si desidera siano soggetti alle norme sulla protezione dei dati. Per ulteriori informazioni, vedere Pubblicazione di dati virtuali nel catalogo in Data Virtualization.

Informazioni su questa attività

Le norme sulla protezione dei dati specificano quali dati controllare consentendo o negando l'accesso, mascherando i dati o filtrando le righe nei dati virtualizzati.

Quando si pubblicano risorse di dati virtualizzati in un catalogo, esse diventano soggette alle regole di protezione dei dati definite.

Quando IBM Knowledge Catalog è installato sulla stessa istanza di Cloud Pak for Data di Data Virtualization, l'applicazione delle norme sulla protezione dei dati di IBM Knowledge Catalog è sempre abilitata.

È possibile utilizzare i seguenti tipi di regole di protezione dei dati in Data Virtualization :

Nota : Db2 valuta e applica le autorizzazioni (Consenti o Nega) separatamente da RCAC (maschere di colonna e filtri di riga), mentre IBM Knowledge Catalog valuta tutte le norme applicabili in materia di protezione dei dati (incluse sia le autorizzazioni che RCAC) per produrre un'unica decisione. Ad esempio, se una regola di mascheramento di colonne o di filtro di righe dell' IBM Knowledge Catalog e si applica in aggiunta a una regola di autorizzazione Deny, allora l' IBM Knowledge Catalog e nega l'autorizzazione in base alla regola di precedenza delle azioni "Most secure action wins". Ciò significa che la Data Virtualization richiesta di autorizzazione verrà respinta e RCAC non produrrà né applicherà alcuna maschera di colonna o filtro di riga.

Data masking

Il mascheramento dei dati viene utilizzato per nascondere i dati sensibili ma consente comunque agli utenti di utilizzare l'asset.

Per ulteriori informazioni, vedere Masking virtual data (Mascheramento dei dati virtuali) in Data Virtualization.

Filtro a livello di riga

È possibile creare regole di protezione dati per includere o escludere righe nei dati virtualizzati per limitare le righe che gli utenti possono visualizzare. Ad esempio, è possibile definire una regola in modo che i dipendenti possano vedere i dati del cliente associati solo al proprio reparto.

Per ulteriori informazioni, vedere Filtraggio a livello di riga in Data Virtualization.

Guarda il seguente video per una panoramica del controllo degli accessi nella governance e nella protezione dei dati in Data Virtualization.

Questo video fornisce un metodo visivo per apprendere i concetti e le attività presenti in questa documentazione.

IBM Knowledge Catalog DPR e Data Virtualization GRANT

Data Virtualization determina se si ha accesso a un oggetto attraverso controlli di autorizzazion Db2 i (o GRANT) e regole di protezione dei dati (DPR) dell' IBM Knowledge Catalog . IBM Knowledge Catalog I DPR limitano l'accesso agli oggetti governati che sono pubblicati in un catalogo governato.

Il diagramma seguente illustra questo processo: se l'applicazione dei DPR ( IBM Knowledge Catalog ) è abilitata in Data Virtualization, vengono valutati rispetto alle risorse del catalogo IBM Knowledge Catalog per determinare l'autorizzazione ad accedere agli oggetti. Se ti viene concessa l'autorizzazione agli oggetti, Data Virtualization esegue controlli di autorizzazione Db2 i per confermare il tuo accesso. È possibile accedere agli oggetti solo se si è autorizzati in entrambi i casi.

Diagramma che illustra come i DPR ( IBM Knowledge Catalog ) limitino ulteriormente l'accesso agli oggetti governati prima di valutare l'oggetto rispetto all' IBM Knowledge Catalog, e di verificare l'autorizzazione dell' Db2. Se i DPR ( IBM Knowledge Catalog ) non sono abilitati, viene controllata l'autorizzazione dell' Db2, invece di valutare l'oggetto rispetto all' IBM Knowledge Catalog.

Per ulteriori informazioni sulla gestione dell'accesso degli utenti, vedere Gestione dell'accesso agli oggetti virtuali in Data Virtualization.

Per ulteriori informazioni sui controlli di autorizzazione dell' Db2 , vedere Modello di autorizzazione per le viste.

Data Virtualization definizioni delle fonti di dati (DSD)

Una definizione di origine dati (DSD) è un identificatore stabile univoco per le connessioni tra tutti i cataloghi e i progetti che si collegano alla tua particolare Data Virtualization istanza.

Data Virtualization applica i DPR dell' IBM Knowledge Catalog e su ogni oggetto (a Data Virtualization livello) associato al DSD per la sua Data Virtualization, assicurando che i DPR siano applicati in modo coerente indipendentemente da come si accede ai tuoi oggetti in Cloud Pak for Data.

Un DSD viene creato automaticamente per la tua Data Virtualization in Cataloghi > Platform assets catalog quando aggiorni o fornisci un' Data Virtualization.

Per ulteriori informazioni, vedere Protezione dei dati con definizioni delle origini dati.

Nota : se si crea una connessione alla propria Data Virtualization su Cloud Pak for Data con un nome host e una porta che non fanno parte del DSD, aggiungere tale nome host e porta come endpoint al DSD.

Per ulteriori informazioni, vedere Aggiunta di endpoint a una definizione di origine dati nuova o esistente.

Il diagramma seguente illustra le relazioni tra le entità chiave coinvolte nella gestione dei dati in Data Virtualization :

Data Virtualization Istanza identificata dal suo ID istanza.
Definizione origine dati (DSD): le DSD vengono generate automaticamente quando si crea l' Data Virtualization istanza. I DSD memorizzano gli endpoint (host, porte e ID istanza) della tua Data Virtualization istanza e il metodo di protezione che dovrebbe essere applicato alle risorse dati di questa Data Virtualization istanza (come il filtraggio a livello di riga e il mascheramento dei dati).
Connessione a Data Virtualization : Collegamenti da cataloghi e progetti alla tua Data Virtualization istanza.
Catalog/Project data asset: metadati che rappresentano oggetti (come tabelle e viste) nella tua Data Virtualization istanza.

Procedura

Per gestire i propri dati virtuali con regole di protezione dei dati:

Virtualizzare i dati e pubblicarli in un catalogo gestito.
Se si hanno i ruoli di Data Virtualization Ruoli di Manager o Engineer, quando si virtualizzano i dati utilizzando la Data Virtualization console, i dati virtuali vengono pubblicati automaticamente in un catalogo governato, se è stata impostata la pubblicazione in un catalogo. In alternativa, puoi scegliere un catalogo in cui pubblicare i tuoi dati virtuali. Per i dettagli, vedere Pubblicazione di dati virtuali nel catalogo in Data Virtualization.
Il profilo di questi dati viene creato automaticamente se è configurato nelle impostazioni del catalogo. Il profilo di un catalogo di dati include classi di dati e statistiche basate sul campionamento dei dati. La creazione profili assegna automaticamente le classi di dati alle colonne della tabella. Vedere Profili.
Gestire i dati virtuali nel catalogo:
- Assegna classi di dati, termini commerciali e tag creati in IBM Knowledge Catalog alle tabelle e alle colonne virtuali. Per ulteriori informazioni su come assegnare e gestire i termini commerciali in IBM Knowledge Catalog, vedere Modifica delle proprietà delle risorse in un catalogo ( IBM Knowledge Catalog ) e Gestione dell'arricchimento dei metadati.
- Utilizzare le regole di protezione dei dati per consentire o negare l'accesso a una tabella virtuale. Data Virtualization gli utenti possono vedere la tabella virtuale ma non possono visualizzare in anteprima il contenuto della tabella o eseguire azioni sulla tabella o sulle sue colonne quando una regola di negazione si applica alla risorsa dati.
  Un'icona lucchetto () accanto al nome della tabella nella pagina Dati virtualizzati indica che l'accesso ai dati nella tabella è negato da una regola di protezione dei dati. Un'icona lucchetto () potrebbe anche apparire quando un bene nel catalogo non è stato profilato ed è in attesa di assegnazione della classe di dati.
  
  Per accedere alle viste, queste condizioni devono essere soddisfatte.
  - Si dispone delle autorizzazioni richieste per accedere alle visualizzazioni.
  - Il creatore della vista dispone delle autorizzazioni richieste per accedere agli oggetti a cui fa riferimento la vista.
- Per visualizzare l'anteprima di un asset in un catalogo, queste condizioni devono essere soddisfatte.
  - L'utente non è bloccato da alcuna regola di protezione dei dati. Se si è il proprietario dell'asset, non è possibile essere bloccati dalle regole di protezione dei dati.
  - Se all'asset è associata una connessione, queste condizioni devono essere anche true:
    - L'accesso alla connessione non è bloccato da alcuna regola di protezione dei dati.
    - Il nome utente nei dettagli di collegamento ha accesso all'oggetto nell'origine dati.
  Per ulteriori informazioni, vedere Anteprime delle risorse.
- Utilizzare una regola di protezione dei dati per mascherare i dati nelle colonne o filtrare le righe di una tabella virtuale. Utilizzare le regole di data masking per mascherare i dati originali. A seconda del metodo di mascheramento dei dati, i dati vengono redatti, sostituiti o offuscati. Per ulteriori informazioni, vedere Masking virtual data (Mascheramento dei dati virtuali) in Data Virtualization.
  Un'icona lucchetto () accanto al nome della colonna indica che i dati nella colonna sono mascherati da una regola di protezione dei dati.
Nota:
Per impostazione predefinita, l'utente che ha creato l'asset nel catalogo è il proprietario dell'asset. I proprietari di risorse di catalogo sono esenti dalle norme sulla protezione dei dati, ma sono soggetti al controllo degli accessi dell' Data Virtualization. Se l'utente che accede a un oggetto virtuale è anche il proprietario della risorsa corrispondente in IBM Knowledge Catalog, le regole e le politiche di protezione dei dati definite per quell'utente in IBM Knowledge Catalog non vengono applicate in Data Virtualization. Vedere Mascheramento dei dati con criteri per i dettagli.

Quando un oggetto virtuale viene aggiunto a un catalogo e si dispone di almeno una regola di protezione dati di mascheramento o filtro riga o una regola di protezione dati basata su una classe di dati, l'accesso ad essa verrà negato fino a quando non viene completata la creazione del profilo e l'assegnazione delle classi di dati.

Anche il nome utente specificato nella connessione Data Virtualization deve essere autorizzato ad accedere all'oggetto in Data Virtualization, a meno che non si applichi una regola di mascheramento dei dati alla risorsa e all'utente che visualizza l'anteprima.

L'argomento è stato utile?

0/1000