RowGen

Dies variiert je nach Anwendungsfall, aber soweit RDB-Quellen oder -Ziele involviert sind, werden DBA-Kenntnisse während der Einführung bevorzugt, zusammen mit Wissen über Datenstrukturen und -quellen.

CDO/CISO oder Data Governance/Sicherheitsinteressenvertreter sollten auch an der Definition (Klassifizierung) der sensiblen Datentypen und der auf die Datenklassen anzuwendenden Maskierungsfunktionen (Regeln) beteiligt sein.

Datenwissenschaftler wären hilfreich bei ML/AI-Aspekten im Zusammenhang mit dem Einsatz des DarkShield NER-Modells. BI-/Analytik-Architekten, die mit bestehenden Visualisierungsplattformen vertraut sind, sind hilfreich, um anonymisierte Ausgabedaten, PII-Suchberichte und Betriebsprotokolle für Erkenntnisse und Maßnahmen zu nutzen.

Vertrautheit mit Eclipse, Git, 4GL/3GL (für die API-Nutzung) sowie relevanten Cloud-Verbindungen wäre auch für Produktionsanwender ein gutes Know-how.

TDM-Architekten können auch bei der Definition/Konfiguration sowie bei der Bereitstellung von maskierten, subsettierten oder synthetisierten Daten von Nutzen sein.

Durch die konsistente Anwendung derselben Maskierungsfunktion auf denselben Klartext, jedes Mal automatisch und global. Dies geschieht durch Regeln, die mit mustergleichen Spaltennamen verknüpft sind, oder, noch zuverlässiger, durch integrierte Datenklassen, die an identifizierte Daten gebunden sind. Klassifizierte Daten werden durch robuste integrierte Wertesuchmethoden wie RegEx-Musterübereinstimmungen mit benutzerdefinierten Genauigkeitsschwellenwerten, Nachschlagewertübereinstimmungen, Fuzzy-Match-Algorithmen, benannte Entitäts- und Gesichtserkennungsmodelle oder JSON/XML/CSV/DB-Pfad-(Spalten-)Filter entdeckt/geprüft. Beachten Sie, dass alle IRI Shield-Produkte - FieldShield, DarkShield und CellShield EE - dieselben Datenklassen und deterministischen Maskierungsfunktionen nutzen, um die Konsistenz und damit die Daten- und Referenzintegrität nach der Maskierung in Ihren strukturierten, halbstrukturierten und unstrukturierten Unternehmensquellen zu gewährleisten.

Die integrierte Datenklassifizierungsfunktionalität von IRI macht außerdem formell definierte Primär- und Fremdschlüssel bei der Erstellung von Datenbankschemata überflüssig. Dies unterstützt die Datenintegrität in relationalen Datenbanken ohne Einschränkungen genauso wie in Dateien, Dokumenten und Bildern.

Die Stellen, an denen Einschränkungen definiert werden müssen, um die referentielle Integrität in künstlich erzeugten RDB-Testdaten automatisch zu unterstützen, befinden sich in den IRI-Assistenten für die DB-Subsetierung und die DB-Testdatensynthese. Wenn diese Einschränkungen nicht definiert sind, ist es zwar immer noch möglich, Testdaten für DBs zu subsetten und zu synthetisieren, aber es sind mehr manuelle Eingriffe erforderlich.

Nachdem Sie personenbezogene Daten (PII) in der kostenlosen IRI Workbench IDE (auf Eclipse basierend) für FieldShield, Voracity usw. gefunden und klassifiziert haben, können Sie mit FieldShield oder anderen SortCL-kompatiblen Jobs spezifische Schutzfunktionen auf Feldebene festlegen – entweder ad hoc oder regelbasiert.

Diese statischen Datenmaskierungsfunktionen ermöglichen geschützte Ansichten sensibler Daten (z. B. Sozialversicherungs- oder Telefonnummern, Gehälter, medizinische Codes) in ODBC-verbundenen Datenbanktabellen und sequenziellen Dateien. Dafür stehen 14 verschiedene Techniken zur Verfügung, darunter:

• Feldfilterung (Entfernung)
• Zeichenkettenmanipulation oder Maskierung (Schwärzung)
• Generalisierung von Quasi-Identifikatoren
• Sichere Verschlüsselung und Entschlüsselung
• Reversible und nicht reversible Pseudonymisierung
• ASCII-De/Re-Identifizierung, Kodierung und Big Shifting

Durch die konsistente Anwendung dieser Methoden (z. B. basierend auf Datenklassen oder musterbasierten Spaltenregeln) bleibt die referenzielle Integrität erhalten.

Weitere Möglichkeiten zur Datenmaskierung und Wahrung der referenziellen Integrität in Voracity sind:

• Der integrierte Database-Subsetting-Assistent, der auch Maskierungsfunktionen unterstützt
• Die Generierung synthetischer Testdaten mit dem IRI RowGen DB-Testdaten-Job-Assistenten

Weitere Informationen finden Sie unter den hier angegebenen Links.

Wie sieht es mit dem Zugriff auf Aktivitätsprotokolldaten für Audits und Berichte aus?

Ja. Im Kontext von IRI Voracity, CoSort, FACT, NextForm oder IRI FieldShield und RowGen können Daten und Metadaten über Rollen getrennt werden:

1. DBA-definierte Quell-/Zieldatenzugriffe (Konfigurationsdetails für die in verwaltbaren DSN-Dateien oder Workbench Data Connection Registry-Einstellungen gespeichert werden, die den auf Dateiebene (oder O/S-Login-Ebene) kontrollierten Zugriffsrechten für den Arbeitsbereich unterliegen)
2. Active Directory oder LDAP (O/S)- und/oder Repository (z.B. Git)-gesteuerter Zugriff auf Datendateien, Arbeitsbereiche, Projekte, Daten und Job-Metadaten, ausführbare Dateien, Protokolle usw. oder auf FieldShield- oder DarkShield-Verschlüsselungsschlüssel, die über einen Schlüsselmanager wie Azure Key Vault verwaltet werden.
3. Skript-integrierte IAM- (und letztendlich AD-kompatible) Richtlinien in IRI Workbench-Datenklassen für den Zugriff auf Skript-, Quell- und Feldebene und/oder ausführungs-/änderungsspezifische Berechtigungen (in Vorbereitung)
4. Kontrollen auf Projektebene für IRI-Assets in der Metadaten-integrierten DataSwitch-Plattform oder der API-integrierten Erwin Data Governance oder Plattform (Premium-Optionen).
5. Die neue operative IRI-Governance-Infrastruktur wird 2024 eingeführt und konzentriert sich zunächst auf das IRI-Backend-Datenverarbeitungsprogramm SortCL, das eine zentrale Kontrolldatei verwendet, um Benutzer, Gruppen und Rollen für den Zugriff auf auftragsspezifische Attribute wie Datenquellen, Skripte und Protokolle zu definieren.

Durch Zugriffskontrollen auf Client-Computern oder ActiveDirectory/LDAP und Berechtigungen auf Dateiebene. Darüber hinaus kann entweder die erwin (AnalytiX DS)-Governance-Plattform oder ein beliebiges Eclipse-kompatibles SCCS wie Git für Metadaten-Assets - bei dem Berechtigungen nach Rollen konfigurierbar sind - bestimmte Projekte, Jobs und andere Metadaten-Assets sperren.

Ja, mehrere Rollen/Berechtigungen für IRI FieldShield oder Voracity (usw.) Metadaten-Assets (ddf, Job-Skripte, Flows) usw. können durch Systemadministratoren zugewiesen werden, die diesen Assets richtliniengesteuerte ActiveDirectory- oder LDAP-Objekte zuweisen. Weitere Optionen sind die erwin Data Governance Platform (Premium-Option) oder Eclipse Code Control Hubs wie Git; ein Beispiel finden Sie hier.

Der IRI Test Data Hub innerhalb des ValueLabs TDM-Portals unterstützt auch die Zuweisung und Löschung von Administrator- und Testerrollen. Der Administrator der höchsten Ebene kann auch Genehmigungsrechte für Sicherheitsrichtlinien an andere Administratoren delegieren. Solche Rollenberechtigungen werden auf sehr detaillierten Einzel- oder Gruppenebenen festgelegt, die die DB-Anmeldung, die Ausführungsberechtigung, den Datenzugriff und die Berechtigungen zur Abfrage/Berichterstattung/Wiederherstellung des Audit-Protokolls steuern.

Ja, im Kontext von IRI Voracity (für Profiling, ETL, DQ, MDM, BI, etc. ), CoSort (für Datentransformation), FieldShield (für PII-Erkennung und -Maskierung), NextForm (für Datenmigration, Remapping und Replikation) und RowGen (für TDM und Subsetting) kann der Zugriff auf bestimmte Datenquellen (und Ziele, bis hinunter zur Spaltenebene) durch vom DBA erteilte Berechtigungen oder Berechtigungen auf Dateiebene (verwaltet in DSN-Dateien und der IRI Workbench-Datenverbindungsregistrierung) sowie durch Offenbarungsberechtigungen auf Feldebene, die in (sicherbaren) Jobskripten und Entschlüsselungsschlüsseln gesteuert werden, kontrolliert werden.

Im Zusammenhang mit der optionalen proxy-basierten DDM SQL#-Anwendung für FieldShield können Einzel- und Gruppenrollen mit granular definierten Sicherheitsrichtlinien abgeglichen werden, die das Recht bestimmen, sich mit bestimmten DB-Instanzen zu verbinden, bestimmte SQL-Anweisungen auszuführen, Spalten dynamisch zu maskieren (oder nicht), usw.

Beides, da der Zugriff auf Daten, Metadaten und/oder Jobskripte - sowie die Ausführungserlaubnis - mit objektdefinierten ActiveDirectory-, DBA-Login- und/oder Dateisystem-Kontrollen verbunden ist, die auf einer Richtlinienbasis zu Authentifizierungszwecken auferlegt werden.

IRI bietet auch eine optionale proxy-basierte dynamische Datenmaskierung, die abgefragte Spaltenwerte gemäß spezifischer Richtlinien, die einzelne Benutzer, Benutzerrollen oder Benutzergruppen betreffen, unkenntlich machen kann.

Die aufrufenden Anwendungen können auch zusätzliche Ebenen der Benutzerauthentifizierung einführen, um optional eine Lücke zu schließen oder zusätzliche Datenkontaktpunkte zu schützen.