규칙을 사용하여 데이터를 보호하기 위한 계획
데이터 보호 규칙은 데이터 자산 및 사용자의 특성을 기반으로 제어할 데이터 및 영향을 받는 데이터 자산에 대해 수행할 작업을 정의합니다. 통제 팀이 데이터 보호 규칙을 작성하면 통제된 카탈로그에 있는 데이터 자산이 자동으로 보호됩니다. 가상화된 테이블에 규칙을 적용하거나, 데이터 자산의 영구적으로 마스킹된 복사본을 만들거나, IBM Data Virtualization 또는 IBM watsonx.data 같은 심층 적용 솔루션으로 보호되는 데이터에 규칙을 적용하도록 선택할 수도 있습니다.
데이터 보호 규칙은 모든 일반적인 적용 조건이 충족될 때 카탈로그에서 적용됩니다. 적용 조건에는 카탈로그 설정, 사용자의 신원, 데이터 형식 및 데이터를 읽는 도구가 포함될 수 있습니다. 사용자가 통제된 카탈로그의 데이터 자산에 액세스하려고 시도할 때마다 데이터 보호 규칙이 적용을 위해 평가됩니다. 데이터 보호 규칙 적용을 참조하십시오.
데이터 보호 규칙으로 데이터를 보호하려면 다음 태스크를 완료하십시오.
| 태스크 | 필수 여부 | 타이밍 |
|---|---|---|
| 데이터 보호 규칙을 적용하기 위해 개정된 프로토콜 승인 | 예 | 다중 확인 |
| 기본 규칙 동작 변경 | 아니오 | 설치 중에만 |
| 문서 데이터 보호 표준 | 아니오 | 항상(Anytime) |
| 데이터 보호 방법을 정의하는 규칙 작성 | 예 | 항상(Anytime) |
| 마스킹 플로우를 사용하여 데이터를 영구적으로 마스크 | 아니오 | 항상(Anytime) |
| IBM Data Virtualization 통한 데이터 보호 규칙 적용 | 아니오 | 항상(Anytime) |
| IBM watsonx.data를 사용하여 데이터 보호 규칙 적용 | 아니오 | 항상(Anytime) |
| IBM Match 360을 사용하여 데이터 보호 규칙 적용 | 아니오 | 항상(Anytime) |
데이터 보호 규칙을 적용하기 위해 개정된 프로토콜 승인
플랫폼은 데이터 보호 규칙이 적용되는 방법에 대한 이해를 확인하기 위해 여러 태스크에서 프롬프트를 표시합니다.
데이터 보호 규칙은 이제 통제된 카탈로그에서 적용되거나 심층적인 적용 솔루션에 의해 적용됩니다. 심층 적용 솔루션 은 데이터 소스가 다음 서비스 중 하나와 통합될 때 Cloud Pak for Data 외부에 있는 데이터에 대한 규칙을 적용하기 위한 보호 솔루션입니다.
- IBM Data Virtualization
- IBM watsonx.data
심층 적용 솔루션으로 플랫폼을 구성하려면 데이터 소스 정의를 생성하여 데이터 소스 유형을 설정할 수 있습니다. 데이터 소스 유형에 따라 데이터 소스 정의에 연결할 수 있는 연결 유형과 사용 가능한 보호 솔루션 옵션이 결정됩니다. 자세한 내용은 데이터 소스 정의에 대한 보호 솔루션을 참조하세요.
심층 적용 솔루션을 구성하지 않은 경우에는 통제되지 않은 카탈로그 또는 프로젝트에서 자산이 적용되지 않습니다. 심층 적용 솔루션이 구성된 경우에는 데이터가 통제 또는 통제되지 않은 카탈로그에 있는지 또는 프로젝트에 있는지 여부에 관계없이 자산이 보호됩니다. 미리보기에 표시되는 데이터는 심층 적용 솔루션에 의해 적용되기 때문에 노트북 내부에 표시되는 데이터와 일치합니다.
통제된 카탈로그에서 프로젝트로 추가된 자산은 사용자 및 해당 자산이 프로젝트에 추가된 시간을 기반으로 정적 적용 동작을 유지할 수 있습니다.
다음을 수행할 때 개정된 데이터 보호 규칙 적용 프로토콜을 다시 확인하게 됩니다.
- 데이터 보호 규칙 작성
- 프로젝트에 추가를 클릭할 때 통제된 카탈로그에서 프로젝트로 자산을 복사하십시오. 카탈로그 내에서 자산 추가 를 참조하십시오.
기본 규칙 동작 변경
규칙 동작 설정은 데이터 보호 규칙이 적용되는 방법을 판별합니다. 기본적으로 사용자는 규칙에 의해 금지되지 않는 한 데이터 자산에 액세스할 수 있습니다. 여러 규칙이 동일한 데이터 자산에 영향을 미치는 경우 더 안전한 데이터 보호 규칙 및 더 많은 개인용 마스킹 메소드가 우선합니다.
기본 규칙 동작 설정을 변경하려면 데이터 보호 규칙을 작성하기 전에 변경해야 합니다. 그렇지 않으면 설정을 변경하기 전에 모든 기존 규칙을 삭제해야 합니다. 규칙에 가장 단순하거나 더 적합한 데이터 액세스 규칙의 방향을 평가하십시오.
- 기본 데이터 액세스 규칙
- 기본적으로 데이터가 잠금 해제되어 있는지 또는 잠겨 있는지 여부와 데이터에 대한 액세스를 거부하거나 허용하는 규칙을 작성하는지 여부를 선택하십시오. 기본적으로 데이터는 잠금 해제되어 있습니다.
- 규칙 조치 우선순위
- 여러 규칙이 동일한 데이터 값에 적용되거나 계층 구조 적용을 사용할 때 더 안전하거나 더 관대한 규칙이 우선하는지 여부를 선택하십시오. 보안 순서에 따른 조치는 액세스 거부, 마스크, 액세스 허용입니다. 기본적으로 가장 안전한 조치가 우선합니다.
- 계층 구조 적용 동작은 기본 데이터 액세스 규칙 설정에서 잠금 해제 또는 잠금 옵션을 선택하는지 여부에 따라 다릅니다.
- 잠금 해제된 규칙의 경우, 계층 구조 적용 우선순위는 가장 안전한 조치가 우선하는 우선순위와 동일하게 됩니다.
- 잠긴 규칙의 경우 마스크된 데이터 또는 원시 데이터를 보려면 하나 이상의 허용 의사결정이 필요합니다. 마스킹된 결과의 경우 마스크 및 허용 의사결정이 둘 다 필요합니다. 그렇지 않으면 액세스가 거부됩니다.
- 규칙 마스킹 메소드 우선순위
- 데이터를 마스크하는 여러 규칙이 동일한 데이터 값에 적용되는 경우 더 많은 개인용 또는 더 유용한 마스킹을 사용하는 규칙이 우선하는지 여부를 선택하십시오. 개인정보 보호 순서로 표시되는 마스킹 메소드는 Redact, Substitute, Obfuscate입니다. 기본적으로 개인정보 보호정책이 가장 많은 메소드가 우선합니다.
규칙 설정 변경에 대해 자세히 보기
- 규칙 설정 관리
- IBM Knowledge Catalog API: 규칙 적용 설정]( https://cloud.ibm.com/apidocs/knowledge-catalog#updatetenant )
문서 데이터 보호 표준
데이터 보호 규칙 및 규칙의 필수 결과를 작성하는 이유를 설명하는 정책을 작성할 수 있습니다. 정책 및 연관된 통제 규칙은 조직의 표준 및 해당 표준을 준수하는 데이터 자산을 작성하는 방법을 설명합니다. 해당 의미와 서로에 대한 관계를 기반으로 정책을 계층 구조로 구성할 수 있습니다. 통제 규칙은 특정 통제 정책을 구현하는 데 필요한 동작 또는 조치에 대한 비즈니스 설명을 제공합니다. 정책 및 통제 규칙을 적용할 수 없습니다. 그러나 정책에 데이터 보호 규칙을 지정하여 표준에 대한 정보를 준수하는지 확인하는 방법을 링크할 수 있습니다.
정책 및 통제 규칙 작성에 대해 자세히 보기
데이터 보호 방법을 정의하는 규칙 작성
데이터 보호 규칙은 데이터에 대한 액세스를 제어하거나 데이터 값을 마스크하거나 데이터 자산의 행을 필터링하는 방법을 정의합니다. 데이터 보호 규칙은 사용자가 규칙이 적용되는 작업공간에서 자산에 액세스하려고 시도할 때마다 적용에 대해 평가됩니다. 적용은 데이터 자산에 액세스하는 사용자, 사용자가 데이터 자산에 액세스하는 위치 및 데이터 자산 특성이 규칙에 지정된 기준과 일치하는지 여부를 기반으로 합니다.
일반적으로 규칙 기준을 빌드하고 비즈니스 용어, 데이터 클래스 및 분류와 같은 데이터를 설명하는 통제 아티팩트를 사용하여 마스킹을 지정합니다. 데이터 보호 규칙이 특정 데이터 클래스를 기반으로 하는 경우 고급 마스킹 옵션을 지정하여 마스크된 데이터의 유용성을 높일 수 있습니다.
규칙이 통제 아티팩트에 의존하는 경우 적절한 통제 아티팩트가 데이터 자산에 지정되었는지 확인해야 합니다. 예를 들어, 신용카드 번호 데이터 클래스가 지정된 열의 신용카드 번호를 마스크하는 규칙을 작성할 수 있습니다. 신용카드 번호 데이터 클래스가 지정되지 않은 신용카드 데이터가 있는 열은 마스크되지 않습니다.
데이터 보호 규칙은 작성 후 즉시 적용됩니다.
데이터 보호 규칙 작성에 대해 자세히 알아보기
마스킹 플로우를 사용하여 데이터를 영구적으로 마스크
데이터를 마스크하는 데이터 보호 규칙이 있는 경우 마스킹 플로우를 실행하여 통제된 카탈로그에서 데이터 자산의 사본인 영구적으로 마스크된 데이터 자산을 작성할 수 있습니다. 카탈로그의 자산을 프로젝트에 추가하고 마스킹 플로우를 실행한 후 결과 데이터 자산을 카탈로그에 새 자산으로 공개할 수 있습니다. 하나 이상의 테이블을 복사하고 해당 열을 마스크하거나 관련 테이블의 서브세트를 마스크하도록 선택할 수 있습니다. 두 경우 모두 결과 데이터 자산에서 데이터를 필터링하는 조건을 정의할 수 있습니다.
마스킹 플로우에 대해 자세히 알아보기
IBM Data Virtualization 통한 데이터 보호 규칙 적용
데이터에 대한 액세스를 거부하거나 데이터를 마스크하는 데이터 보호 규칙이 있는 경우, 현재 자산의 위치에 관계없이 카탈로그의 가상화된 테이블에 대해 플랫폼 전체에서 해당 규칙을 적용할 수 있습니다. 자산이 통제되거나 통제되지 않은 카탈로그에 있는지 또는 프로젝트에 있는지 여부. 자산의 한 사본이 플랫폼 내의 통제된 카탈로그에 있는 경우.
가상화된 테이블에 대한 규칙 적용에 대해 자세히 알아보기
IBM watsonx.data 를 사용하여 데이터 보호 규칙 적용
데이터에 대한 액세스를 거부하거나 데이터를 마스크하는 데이터 보호 규칙이 있는 경우, 현재 자산의 위치에 관계없이 카탈로그의 테이블에 대해 플랫폼 전체에서 해당 규칙을 적용할 수 있습니다. 자산이 통제되거나 통제되지 않은 카탈로그에 있는지 또는 프로젝트에 있는지 여부. 자산의 한 사본이 플랫폼 내의 통제된 카탈로그에 있는 경우.
IBM watsonx.data 에 대해 자세히 보기
IBM Match 360 을 사용하여 데이터 보호 규칙 적용
데이터에 대한 액세스를 거부하거나 데이터를 마스크하는 데이터 보호 규칙이 있는 경우 마스터 데이터 엔티티 및 레코드 내에서 해당 규칙을 적용할 수 있습니다. IBM Match 360 설정에서 데이터 보호 규칙의 적용을 사용으로 설정해야 합니다.
마스터 데이터에 대한 규칙 적용에 대해 자세히 알아보기
이전 계획 태스크
다음 계획 태스크
상위 주제: 데이터 통제 구현 계획