みなさん、こんばんは。サニービュー事業部の小寺です。
Amazon Redshiftが動的データマスキング(DDM)をサポートするようになりました。
アップデート内容
元々、ロールベースのアクセス制御、行および列レベルのセキュリティに対応してしました。今回機密データの保護を簡単にする Dynamic Data Masking (DDM) をサポートするようになりました。
マスキングしたいデータは表示方法が選択可能です。例えば、データを完全に隠したり、部分的にワイルドカード文字に置き換えたり、SQL式、Python、Lambda ユーザー定義関数を使用して独自にデータマスキングをすることができます。
そもそもDDMって?
動的データマスキングって何かご存じない方もいらっしゃるかと思います。
動的データマスキング (DDM) は、機密データへの不正アクセスを防止するものです。
DDMは機密データをマスクすることにより、特権のないユーザーへの機密データの公開を制限することができます。 DDM を使うことによって、アプリケーションのセキュリティの設計とコーディングの時間をかなり短縮させて、セキュリティを向上させることができます。
DDMそのものの利用目的としては、アクセスすべきではないユーザーがデータを閲覧することを防ぎ、機密データの公開を制限することです。DDMは、ユーザーが直接データベースに接続し、徹底的なクエリを実行して、機密データの漏えいを防ぐことを目的とはしていません。 動的データ マスクは、その他のRedshift本来のセキュリティ機能 (監査、暗号化、行レベルのセキュリティなど) を補完するという位置づけが良いと考えます。
データベース内の機密データの保護をより強化するために、元々あったRBAC、行および列レベルのセキュリティとの併用が推奨です。
試してみた
Preview モードで Redshift クラスターを作成する必要ありです。また本番環境としての利用は認められていません。
Redshift Serverlessでやってみました。
(1)「サーバーレスダッシュボード」から「create a preview workgroup」をクリックします。
(2)ワークグループを作成します。ワークグループ名を設定し、VPC、サブネットは既存と同様にしました。
(3)新しく名前空間を作成します。
(4)Redshift query editor v2とIAM 認証(Federated User)を用いてクラスターに接続します。
サンプルDBでも良いので接続をして、CREATE MASKING POLICYでポリシーを作り、DBユーザを作成しアタッチします。
ここからの検証としては、ユーザを作って、Federated UserではなくDB認証でアクセスし、DDM機能でマスクされたことが確認できればOKです。
対応リージョン
Amazon Redshift の動的データマスキングのプレビューを利用できるのは2022年11月の発表時点で以下となっています。
・米国東部 (オハイオ)
・米国東部 (バージニア北部)
・米国西部 (オレゴン)
・アジアパシフィック (東京)
・欧州 (アイルランド)
・欧州 (ストックホルム)
