Introduzione alla sicurezza a livello di riga di BigQuery
Questo documento illustra il concetto di sicurezza a livello di riga, come funziona in BigQuery, quando utilizzare la sicurezza a livello di riga per proteggere i dati e altri dettagli.
Che cos'è la sicurezza a livello di riga?
La sicurezza a livello di riga consente di filtrare i dati e di accedere a righe specifiche di una tabella in base a condizioni utente idonee.
BigQuery supporta già i controlli dell'accesso a livello di progetto, set di dati e tabella, oltre alla sicurezza a livello di colonna tramite i tag di criteri. La sicurezza a livello di riga estende il principio del privilegio minimo abilitando un controllo dell'accesso granulare a un sottoinsieme di dati in una tabella BigQuery mediante criteri di accesso a livello di riga.
Una tabella può avere più criteri di accesso a livello di riga. I criteri di accesso a livello di riga possono coesistere su una tabella con i controlli dell'accesso a livello di colonna, a livello di set di dati, a livello di tabella e a livello di progetto.
Come funziona la sicurezza a livello di riga
A livello generale, la sicurezza a livello di riga prevede la creazione di criteri di accesso a livello di riga su una tabella BigQuery di destinazione. Questi criteri agiscono come filtri per nascondere o visualizzare determinate righe di dati, a seconda che un utente o un gruppo sia incluso in un elenco di dati consentiti. A tutti gli utenti o gruppi non specificamente inclusi nell'elenco consentito viene negato l'accesso.
Un utente autorizzato con i ruoli IAM (Identity and Access Management) Amministratore BigQuery o Proprietario dati BigQuery, può creare criteri di accesso a livello di riga in una tabella BigQuery.
Quando crei un criterio di accesso a livello di riga, devi specificare la tabella in base al nome e specificare gli utenti o i gruppi (denominati grantee-list) che possono accedere a determinati dati di riga. Il criterio include anche i dati che vuoi filtrare, chiamati filter_expression. filter_expression funziona come una clausola WHERE
in una query tipica.
Per istruzioni su come creare e utilizzare un criterio di accesso a livello di riga, consulta Utilizzare la sicurezza a livello di riga.
Consulta la documentazione di riferimento DDL per la sintassi, l'utilizzo e le opzioni complete per la creazione di criteri di accesso a livello di riga.
Esempi di casi d'uso
Filtra i dati delle righe in base alla regione
Considera il caso in cui una tabella dataset1.table1 contiene righe appartenenti a
regioni diverse (indicate dalla colonna region).
La sicurezza a livello di riga consente a un proprietario o un amministratore dei dati di implementare criteri, ad esempio "Gli utenti
in group:apac possono visualizzare solo i partner nella regione APAC".
Il comportamento risultante è che gli utenti nel gruppo sales-apac@example.com possano visualizzare solo le righe in cui Region = "APAC". In modo simile, gli utenti nel gruppo sales-us@example.com possono visualizzare solo le righe nella regione US. Gli utenti che non fanno parte dei gruppi APAC o US non vedono alcuna riga.
Il criterio di accesso a livello di riga denominato us_filter consente l'accesso a
più entità, tra cui il responsabile delle vendite degli Stati Uniti jon@example.com, tutte
che ora possono accedere alle righe appartenenti alla regione US.
Filtra i dati delle righe in base ai dati sensibili
Ora considera un caso d'uso diverso, in cui abbiamo una tabella di dati sugli stipendi.
Il criterio grantee_list limita le query ai membri del dominio aziendale. Inoltre, l'utilizzo della funzione SESSION_USER() limita ulteriormente l'accesso solo alle righe che appartengono all'utente che esegue la query, in base al suo indirizzo email dell'utente. In questo caso, è jim@example.com.
Filtra i dati delle righe in base alla tabella di ricerca
Per fornire un feedback o richiedere assistenza con questa funzionalità, invia un'email a bigquery-row-level-security-support@google.com.Con il supporto di sottoquery, i criteri di accesso alle righe possono fare riferimento ad altre tabelle e utilizzarle come tabelle di ricerca. I dati utilizzati nelle regole di filtro possono essere archiviati in una tabella e un criterio di accesso alla riga di una singola sottoquery può sostituire più criteri di accesso alle righe configurati. Per aggiornare i criteri di accesso alle righe, devi solo aggiornare la tabella di ricerca, che sostituisce più criteri di accesso alle righe. Non è necessario aggiornare ogni singolo criterio di accesso alle righe.
Quando utilizzare la sicurezza a livello di riga rispetto ad altri metodi
Le viste autorizzate, i criteri di accesso a livello di riga e l'archiviazione dei dati in tabelle separate offrono livelli diversi di sicurezza, prestazioni e convenienza. Scegliere il meccanismo giusto per il tuo caso d'uso è importante per garantire il livello adeguato di sicurezza dei tuoi dati.
Confronto con le viste autorizzate: vulnerabilità
Sia la sicurezza a livello di riga che l'applicazione dell'accesso a livello di riga con una vista autorizzata possono presentare vulnerabilità, se utilizzate in modo improprio.
Quando utilizzi le viste autorizzate o i criteri di accesso a livello di riga per la sicurezza a livello di riga, ti consigliamo di monitorare eventuali attività sospette utilizzando l'audit logging.
I canali laterali, come la durata della query, possono far trapelare informazioni sulle righe che si trovano sul bordo di uno shard di archiviazione. Questi attacchi richiedono probabilmente una certa conoscenza delle modalità di sharding della tabella o un numero elevato di query.
Per saperne di più su come prevenire questi attacchi side-channel, consulta Best practice per la sicurezza a livello di riga.
Confronto tra viste autorizzate, sicurezza a livello di riga e tabelle separate
La tabella seguente mette a confronto la flessibilità, le prestazioni e la sicurezza di visualizzazioni autorizzate, criteri di accesso a livello di riga e tabelle separate.
| Metodo | Considerazioni sulla sicurezza | Consiglio |
|---|---|---|
| Visualizzazioni autorizzate |
Consigliato per flessibilità. Può essere vulnerabile a query, durata delle query e altri tipi di attacchi side-channel progettati con cura. | Le visualizzazioni autorizzate sono un'ottima scelta quando devi condividere dati con altri utenti, ma la flessibilità e le prestazioni sono importanti. Ad esempio, puoi utilizzare le viste autorizzate per condividere dati all'interno del tuo gruppo di lavoro. |
| Criteri di accesso a livello di riga | Consigliato per un equilibrio tra flessibilità e sicurezza. Può essere vulnerabile ad attacchi side-channel di durata delle query. | I criteri di accesso a livello di riga sono una buona scelta quando devi condividere dati con altri e vuoi fornire maggiore sicurezza sulle viste o sulle sezioni di tabella. Ad esempio, puoi utilizzare i criteri di accesso a livello di riga per condividere i dati con persone che utilizzano tutte la stessa dashboard, anche se alcune hanno accesso a più dati di altre. |
| Tabelle separate | Consigliato per la sicurezza. Gli utenti non possono dedurre dati senza accedere alla tabella. | Le tabelle separate sono una buona scelta quando hai bisogno di condividere dati con altri e di mantenerli isolati. Ad esempio, puoi utilizzare tabelle separate per condividere dati con partner e fornitori terzi, quando il numero totale di righe deve essere secret. |
Crea e gestisci i criteri di accesso a livello di riga
Per informazioni su come creare, aggiornare (ricreare), elencare, visualizzare ed eliminare i criteri di accesso a livello di riga in una tabella e su come eseguire query sulle tabelle con i criteri di accesso a livello di riga, consulta Utilizzare la sicurezza dell'accesso a livello di riga.
Quote
Per saperne di più su quote e limiti per la sicurezza a livello di riga, consulta Quote e limiti di BigQuery.
Prezzi
La sicurezza a livello di riga è inclusa in BigQuery senza costi aggiuntivi. Tuttavia, un criterio di accesso a livello di riga può influire sul costo dell'esecuzione di una query nei seguenti modi:
Una fatturazione aggiuntiva può essere causata dai criteri di accesso a livello di riga, in particolare dai criteri che includono sottoquery che fanno riferimento ad altre tabelle.
I filtri dei criteri di accesso a livello di riga non partecipano all'eliminazione delle query sulle tabelle partizionate e in cluster. Ciò non significa che legge più dati durante l'esecuzione della query principale. Non sfrutta i predicati dei criteri di accesso alle righe per eliminare ulteriormente.
Con i filtri dei criteri di accesso a livello di riga, non tutti i filtri utente vengono applicati in anticipo. Ciò potrebbe aumentare i dati letti dalle tabelle e potrebbe leggere e fatturare più righe.
Per ulteriori informazioni sui prezzi delle query BigQuery, consulta la pagina relativa ai prezzi di BigQuery.
Limitazioni
Per informazioni sui limiti della sicurezza a livello di riga, consulta Limiti di sicurezza a livello di riga di BigQuery. Le sezioni seguenti documentano ulteriori limitazioni di sicurezza a livello di riga.
Limitazioni delle prestazioni
Alcune funzionalità di BigQuery non subiscono accelerazioni nell'utilizzo di tabelle contenenti criteri di accesso a livello di riga, come BigQuery BI Engine e le viste materializzate.
La sicurezza a livello di riga non partecipa all'eliminazione delle query, che è una funzionalità delle tabelle partizionate. Per ulteriori informazioni, consulta Tabelle partizionate e in cluster. Questa limitazione non rallenta l'esecuzione della query principale.
Potresti riscontrare un piccolo peggioramento delle prestazioni quando esegui query su tabelle con sicurezza a livello di riga.
Per saperne di più su come la sicurezza a livello di riga interagisce con alcuni servizi e funzionalità di BigQuery, consulta Utilizzare la sicurezza a livello di riga con altre funzionalità di BigQuery.
Altre limitazioni
Questa funzionalità potrebbe non essere disponibile quando si utilizzano le prenotazioni create con determinate versioni di BigQuery. Per ulteriori informazioni su quali funzionalità sono abilitate in ogni versione, consulta Introduzione alle versioni di BigQuery.
I criteri di accesso alle righe non sono compatibili con l'SQL precedente. Le query delle tabelle con criteri di accesso a livello di riga devono utilizzare GoogleSQL. Le query SQL legacy vengono rifiutate con un errore.
Non puoi applicare criteri di accesso a livello di riga alle colonne JSON.
Alcune funzionalità di BigQuery non sono compatibili con la sicurezza a livello di riga. Per maggiori informazioni, consulta Utilizzare la sicurezza a livello di riga.
Le operazioni che non riguardano query, inclusi i job degli account di servizio, che richiedono l'accesso completo ai dati della tabella possono utilizzare la sicurezza a livello di riga con il filtro
TRUE. Gli esempi includono la copia di tabelle, i flussi di lavoro di Dataproc e altro ancora. Per maggiori informazioni, consulta Utilizzare la sicurezza a livello di riga.La creazione, la sostituzione o l'eliminazione dei criteri di accesso a livello di riga devono essere eseguiti con istruzioni DDL. È possibile eseguire l'elenco e la visualizzazione dei criteri di accesso a livello di riga tramite la console Google Cloud o lo strumento a riga di comando bq.
Il campionamento delle tabelle non è compatibile con la sicurezza a livello di riga.
I risultati dei criteri delle sottoquery di primo livello sono limitati a 100 MB. Questo limite si applica per ogni criterio di accesso a livello di riga.
Se non è possibile valutare il predicato del criterio di accesso a livello di riga a causa dell'eliminazione di qualsiasi tabella di riferimento, la query ha esito negativo.
I criteri di accesso a livello di riga delle sottoquery supportano solo tabelle BigQuery, tabelle esterne BigLake e tabelle gestite da BigLake.
Audit logging e monitoraggio
Quando vengono letti i dati in una tabella con uno o più criteri di accesso a livello di riga, i criteri di accesso a livello di riga autorizzati per l'accesso in lettura e le eventuali tabelle corrispondenti a cui viene fatto riferimento nelle sottoquery vengono visualizzati nelle informazioni sull'autorizzazione IAM per quella richiesta di lettura.
La creazione e l'eliminazione dei criteri di accesso a livello di riga vengono audit registrate e sono accessibili tramite Cloud Logging. Gli audit log includono il nome del criterio di accesso a livello di riga. Tuttavia, le definizioni filter_expression e grantee_list di un criterio di accesso a livello di riga vengono omesse dai log, in quanto potrebbero contenere informazioni sensibili o sugli utenti. L'elenco e la visualizzazione dei criteri di accesso a livello di riga non vengono controllati.
Per ulteriori informazioni sul logging in BigQuery, consulta Introduzione al monitoraggio di BigQuery.
Per ulteriori informazioni sul logging in Google Cloud, consulta Cloud Logging.
Passaggi successivi
Per informazioni sulla gestione della sicurezza a livello di riga, consulta Utilizzare la sicurezza a livello di riga.
Per informazioni su come funziona la sicurezza a livello di riga con altre funzionalità e servizi di BigQuery, consulta Utilizzare la sicurezza a livello di riga con altre funzionalità di BigQuery.
Per informazioni sulle best practice per la sicurezza a livello di riga, consulta le best practice per la sicurezza a livello di riga in BigQuery.