데이터 보호 규칙에 대한 규칙 규칙

규칙 규칙을 설정하려면 규칙 설정 관리 UI를 사용하거나 규칙 적용 설정 API를 호출하여 ' governance_access_type '을 다음 값 중 하나로 설정합니다:

데이터 위치 규칙에 대한 규칙 규칙

규칙 규칙을 설정하려면 규칙 설정 관리 UI를 사용하거나 규칙 적용 설정 API를 호출하여 ' governance_dlr_type '을 다음 값 중 하나로 설정합니다:

규칙 조치 우선순위

규칙 조치 우선순위는 사용자가 자산에 대해 갖는 가장 안전한, 가장 관대한 또는 계층 구조 적용 액세스 권한을 지정합니다. 관대한 순서로 조치는 액세스 허용, 마스크 및 필터, 액세스 거부입니다.

이 우선순위를 적용하는 예제는 인적 자원 자산이 인적 자원 부서 간에 공유되는 것입니다. 규칙 규칙은 액세스를 거부하도록 설정됩니다. 규칙은 자산이 인적 자원 문서로 표시되는지 여부를 지정하고 사용자가 인적 자원 사용자 그룹 내에 있는 경우 액세스를 허용합니다. 다른 규칙은 규칙에 직원 재무 정보가 포함된 경우 해당 정보를 마스크해야 함을 나타냅니다.

직원 재무 정보는 작업, 급여 및 퇴직 데이터를 결합하는 테이블이 있는 데이터베이스에 보관됩니다. 작업 테이블에는 모든 유형의 직원에 대한 데이터와 직원의 퇴직 상태를 표시하는 RetireType 열이 있습니다. 세 번째 규칙은 RetireType 컬럼의 값이 Retired인 경우 모든 행을 제외합니다.

모든 규칙이 적용되는 경우 첫 번째 규칙의 Allow access 의사결정은 Most secure action wins인 경우 두 번째 규칙의 데이터를 마스크하는 의사결정에 의해 무효화됩니다. 세 번째 규칙은 RetireType 이 Retired로 설정된 모든 행을 필터링합니다.

규칙 조치 우선순위로서의 계층 구조 적용

보다 제한적인 데이터 액세스가 필요하고 더 일반적인 규칙을 작성하려는 경우 계층 구조 적용이 특히 중요합니다. 그러나 사용자 및 데이터 유형의 각 액세스 조합에 대한 분리 규칙을 작성하여 결과 동작을 수행할 수 있습니다. 규칙 조치 우선순위로서 계층 구조 적용 옵션은 두 개의 개별 질문으로 생각하여 단순화된 사고 프로세스를 제공합니다.

1. 누가 어떤 자산에 대한 액세스 권한을 부여받을 수 있습니까? 그런 다음 특정 데이터 유형을 마스킹하는 많은 질문을 제거하고 Allow 또는 Deny의 두 가지 옵션으로만 의사결정을 단순화할 수 있습니다.

2. 마스킹이 필요한 데이터 그러면 액세스 부여에 대한 첫 번째 질문의 상태를 대부분 무시할 수 있습니다. 이제 더 추상적인 마스킹 규칙을 작성할 수 있습니다 (예: 데이터 자산에 데이터 클래스의 열이 포함된 경우 sensitive personal data 데이터 클래스가 있는 열 수정 sensitive personal data). 계층 구조 구성 외부의 이 규칙에는 마스킹이 적용된 자산에 대한 내재적 액세스 권한 부여가 포함됩니다.

규칙 의사결정 우선순위를 계층 구조 적용 으로 설정하는 옵션은 규칙 설정 관리 마법사에서 설정하거나 또는 access_decision_precedence API에 대한 HIERARCHICAL 값을 설정하여 설정할 수 있습니다. 계층 구조 적용 설정은 데이터 보호 규칙에 대한 두 계층 평가를 구성합니다. 첫 번째 계층은 마스킹 조치를 고려하지 않고 Allow 또는 Deny 조치가 되는 의사결정에 대한 규칙을 평가합니다. 그런 다음 첫 번째 계층의 의사결정이 Allow 액세스인 경우에만 두 번째 계층이 Transform 조치가 있는 규칙을 고려하여 평가됩니다. 마스크된 데이터 또는 원시 데이터를 보려면 하나 이상의 Allow 의사결정이 필요합니다.

• Locked 규칙의 경우 이 Allow 의사결정은 Allow 조치가 있는 규칙으로만 수행할 수 있습니다. Locked 규칙에서 Transform 또는 Mask 의사결정을 생성하는 규칙이 있지만 액세스 권한을 부여하는 Allow 규칙이 없는 경우 결과는 Deny로 유지됩니다. 그러나 Allow 및 Transform조치가 있는 여러 규칙이 있는 경우 Allow 는 Transform 평가를 진행하고 결합된 결과 의사결정은 결과 마스킹 조치입니다.
• Unlocked 규칙의 경우 첫 번째 계층 구조의 Allow 의사결정은 Deny가 되는 효과적인 규칙이 없는 경우에만 달성할 수 있으므로 계층 구조 우선순위는 가장 안전한 조치 우선 (RESTRICTIVE API 옵션) 우선순위와 같습니다. 따라서 Deny 조치 및 Transform 조치가 모두 있는 경우 계층 구조 적용 (HIERARCHICAL API 옵션) 및 가장 안전한 조치 우선 (RESTRICTIVE API 옵션) 모두의 결과는 Deny 조치입니다.

마스킹 메소드 우선순위

마스킹 메소드 우선순위는 가장 개인정보 보호정책 또는 가장 많은 유틸리티에서 데이터 값의 변환을 지정합니다. 우선순위는 규칙 조치가 마스크일 때 적용되며 데이터 값이 마스크되는 방법을 판별합니다. 개인정보 보호 순서로 표시되는 마스킹 메소드는 Redact, Substitute, Obfuscate입니다. 유틸리티 순서로 표시되는 마스킹 메소드는 Obfuscate, Substitute, Redactdlqslek입니다.

이 우선순위를 적용하는 예로는 신용 카드 번호를 난독화해야 함을 지정하는 규칙을 작성한 회계사가 있습니다. 번호를 마스크하면 청구 담당자만 카드 번호를 보고 상품을 반품하려는 고객을 지원할 수 있습니다. 회계사가 영업 부서에 있는 경우 모든 신용 카드 번호를 수정하는 다른 규칙을 작성했습니다.

판매 부서와 청구 부서 모두에 있는 직원이 동일한 신용카드 정보에 액세스할 때 두 마스킹 방법 모두 동일한 데이터에 대해 작동합니다. 규칙 규칙이 가장 안전한 경우 마스킹 메소드 우선순위는 영업에서 액세스하는 정보를 수정합니다. 그러나 직원이 청구 부서에 있기 때문에 해당 직원은 난독화된 신용카드 번호의 마지막 4자리숫자를 볼 수 있습니다.

시나리오: 규칙 및 우선순위 설정

Clarice는 규칙 설정 관리에서 다음 옵션을 선택했습니다.

• 규칙: 모든 작성자 거부 허용 (AEAD) 규칙을 따르는 잠금 해제된 데이터 액세스 규칙입니다.
• 규칙 조치 우선순위: 가장 관대한 조치가 우선합니다.
• 규칙 마스킹 메소드 우선순위: 개인정보 보호정책이 가장 많은 메소드

시나리오: 데이터 보호 규칙 작성

Clarice는 다음 직원 스프레드시트의 데이터를 보호하기 위해 세 가지 규칙을 작성합니다.

규칙 1: If the user group is the Sales team, then deny access to the data in the asset. 영업 팀의 모든 사용자가 Clarice가 소유한 데이터를 볼 수 없습니다.

규칙 2: If the asset name is Employee Spreadsheet and it contains columns named Last Name, Email Address, then mask by obfuscating all columns named Last Name and Email Address. 다음 예제는 Finance의 누군가가 액세스할 때 직원 스프레드시트에서 난독화된 성 및 이메일 주소 열을 표시합니다.

규칙 3: If the user group is the Sales team and that user is accessing the Employee Spreadsheet, then mask by redacting the column named Email Address. 다음 예제는 영업 팀이 스프레드시트에 액세스할 때 관대한 규칙 우선순위로 인해 액세스가 거부되지 않음을 보여줍니다. 난독화된 성을 볼 수 있습니다. 그러나 Clarice가 가장 개인용 마스킹 방법 우선순위를 선택했기 때문에 이메일 주소가 수정되었습니다.