Você chegou até aqui provavelmente por curiosidade para entender como podemos criar o banco de dados mais seguro de todos os tempos. Poderíamos apresentar uma série de recursos, mas vamos focar nas melhorias do SQL Server 2016 na área de segurança de dados.

Always Encrypted

O Always Encrypted é uma feature desenhada para proteger dados sensíveis de sua organização como número de cartão de crédito, CPF, Endereço, ou qualquer outra informação que você acha pertinente para o seu negócio. Essa funcionalidade permite que o cliente criptografe os dados sensíveis dentro da própria aplicação e envie os dados para o banco de dados já criptografados. Toda mágica acontece dentro do driver que realiza a comunicação entre aplicação e SQL Server e permite que os dados possam ser criptografados. Veja abaixo como ficam as informações dentro do Banco de Dados.

 

Agora, temos aqui uma simulação de uma aplicação realizando uma consulta no banco de dados como pode ser visto nas imagens abaixo.

 

Como podemos ver, nossa aplicação manda a consulta padrão que estamos acostumados a realizar, mas vamos ver como a mesma é enviada para o SQL Server.

 

Em nenhum momento a aplicação manda os dados descriptografados para o SQL Server.

Como podem ver o Always Encrypted traz mais segurança, e ao mesmo tempo facilita a implementação por não necessitar de praticamente nenhuma mudança na aplicação ou necessidade de treinamento de sua equipe de desenvolvedores.

 

Dynamic Data Masking

Outra funcionalidade que pode ser adicionada em conjunto com o Always Encrypted é o Dynamic Data Masking. Essa funcionalidade também existente no SQL Server 2016 limita a exposição de dados sensíveis da sua organização. Apesar de ambas as funcionalidades protegerem os seus dados, o Dynamic Data Masking não criptografa o seu dado, ele apenas cria uma espécie de mascaramento da informação baseado em algumas regras. Usuários com permissão elevada podem ainda visualizar os dados puros, mas para os que não possuem, o dado realiza uma mudança na visualização. Confira abaixo como o Dynamic Data Masking protege os seus dados.

Possuímos uma tabela normal chamada Funcionários com alguns campos.

 

Com o seu usuário sysadmin ao realizar uma consulta, você visualiza os dados normalmente.

 

Porém, vamos criar o usuário appERP e vamos apenas dar a permissão de leitura na tabela de funcionários.

 

Row-Level Security

Realizando uma tradução literal da funcionalidade, poderíamos dizer que o Row-Level Security realiza um controle de acesso a informação a nível de registros na tabela de um banco de dados. Imagine que você tem uma equipe de vendas onde todos os vendedores de vários locais do país realizem pedidos que são inseridos em uma única tabela. Nesse cenário pense que você possui gerentes por cada regional e necessita que cada um dos gerentes só tenha acesso aos pedidos de seus vendedores. É para resolver esse tipo de problema que o Row-Level Security sugiu, e o melhor de tudo isso é que seus desenvolvedores não precisam alterar nenhuma linha de código de sua aplicação, pois todo o controle é realizado pelo SQL Server. Vamos ver agora como o Row-Level Security pode ser utilizado.

Logo abaixo temos uma tabela de pedidos com campos comuns.

 

Ao realizar uma consulta nas tabelas de pedidos com o nosso usuário sysadmin podemos ver todos os pedidos.

 

Agora vamos realizar o teste com cada um dos gerentes em específico.

Com o gerente João.

 

Com a gerente Laura.

 

Com o gerente Sergio.

 

Como todos podem ver, realizando configurações apenas no Banco de Dados conseguimos garantir o máximo de segurança das informações importantes da sua organização.

Para quem tiver interesse em conhecer todos os aspectos técnicos a fundo sobre cada uma das funcionalidades acima apresentadas, podem entrar em contato com o time de especialistas na plataforma de dados da GatewayiT. Teremos o maior prazer em ajudar você e sua empresa a atingir o máximo de segurança e confiabilidade.

Espero que todos tenham gostado das novas features de segurança presentes no SQL Server 2016.