Acerca del enmascaramiento de datos
El enmascaramiento de datos permite definir reglas que ocultan o eliminan categorías de información confidencial a los usuarios que no tienen una necesidad específica de verla.
Cloud Guard aplica las reglas de enmascaramiento a información confidencial que de lo contrario se mostraría en la página Problemas, en los detalles de los problemas y en el historial.
Descripción
Los diferentes países tienen requisitos diferentes en cuanto a la severidad con que se debe restringir el acceso a la información confidencial. Está obligado a cumplir con los requisitos nacionales sobre privacidad de datos del país, en el que se aloje el estado de informe de Cloud Guard. Para buscar la región de informe, consulte Visualización de la región de informe.
La región de informes de Cloud Guard NO es lo mismo que la región principal de OCI.
El enmascaramiento de datos permite eliminar selectivamente información confidencial sobre problemas para aquellos usuarios no autorizados. El objetivo es restringir la visualización de diferentes categorías de información solo a los usuarios cuya función de trabajo requiera que vean ese tipo de información. Cada regla de enmascaramiento de datos especifica las categorías de información confidencial sobre problemas que se deben eliminar para:
- Un grupo de usuarios de IAM concreto
- en una combinación especificada de destinos de Cloud Guard.
Además, puede aplicar reglas de enmascaramiento de datos en dos niveles:
- Global: las reglas se aplican globalmente a todo el arrendamiento de OCI.
- Destino: las reglas solo se aplican a destinos especificados de Cloud Guard.
La mejor práctica es definir reglas de enmascaramiento en los diferentes niveles de la siguiente forma:
- Destino: las reglas que tienen la mayor prioridad. Configure los grupos de usuarios administradores de IAM que desea permitir que vean las diferentes categorías de información confidencial en este nivel y elimine únicamente aquellas categorías que las funciones de trabajo de los usuarios de los diferentes grupos no requieren que vean.
- Global (Global): las reglas que tienen la prioridad más baja. Considere la posibilidad de eliminar toda la información confidencial sobre problemas en este nivel.
El modo de aplicar las reglas de enmascaramiento en los diferentes niveles se detalla en Creación de una regla de enmascaramiento.
Cómo se resuelven las reglas de enmascaramiento en conflicto en el mismo nivel
Puede estar seguro de que un usuario concreto pertenece a varios grupos. Y puede esperar que dos o varios de esos grupos tengan reglas de enmascaramiento con configuraciones que entren en conflicto con respecto a lo que está eliminado para esos grupos.
Conflicto de mismo nivel: un conflicto entre reglas en el mismo nivel (global, destino) surge cuando un mismo usuario pertenece a dos grupos y las reglas de enmascaramiento definidas en el mismo nivel para esos grupos eliminan categorías de manera diferente: la regla de un grupo elimina una categoría de información confidencial y la regla del otro grupo no. Cada vez que se produce este tipo de conflicto, la regla más restrictiva tiene prioridad y la categoría se elimina para ese usuario.
Cómo se resuelven las reglas de enmascaramiento en conflicto en diferentes niveles
La intención del diseño del enmascaramiento de datos es permitir crear reglas de enmascaramiento de datos en un nivel inferior que sustituyan las reglas de un nivel superior. Por lo tanto, en el nivel global, puede especificar en las reglas que toda la información confidencial se elimine para todos los usuarios y, a continuación, en niveles inferiores, puede especificar que las categorías seleccionadas no se eliminen para los usuarios seleccionados.
Conflicto de nivel diferente: un conflicto entre reglas de niveles diferentes (global, tipo de servicio, destino) surge cuando un mismo usuario pertenece a dos grupos y las reglas de enmascaramiento definidas en los diferentes niveles para esos grupos eliminan categorías de manera diferente: un grupo elimina una categoría de información confidencial y el otro grupo no. Cada vez que se produce este tipo de conflicto, la regla asignada al grupo del nivel inferior tiene prioridad: la eliminación de la categoría depende de la regla del grupo del nivel inferior.
Los conflictos de las reglas de enmascaramiento de datos en el mismo nivel se resuelven antes que los conflictos en niveles diferentes.