解读

面试官问的是“动态遮罩”而非“静态脱敏”，意味着数据在存储层仍是完整明文，只有查询返回给客户端时才被实时改写。
国内金融、运营商项目上线前必须通过等保三级与工信部数据安全评估，动态遮罩能在不改造业务 SQL的前提下，让运维、客服、分析师等低权限角色看到“138****5678”，而高权限角色看到“13812345678”。
Google Cloud SQL for MySQL 8.0 已内置 enterprise_data_masking 插件（对应社区版 data_masking.so），但默认未加载，且仅支持通过数据库函数调用，不支持列级自动策略。因此回答要分三步：①确认插件可用→②创建遮罩函数→③把函数绑定到列或视图，并配合 IAM 做行级/列级授权。
面试时还要主动提到与 Cloud SQL 特有约束的冲突点：

• Cloud SQL 不提供 SUPER 权限，不能执行 INSTALL PLUGIN；必须**在开实例时勾选“企业插件”**或使用 custom flag cloudsql_enterprise_plugins=ON 预加载。
• 动态遮罩函数对只读副本、逻辑导出（mysqldump/SQL 导出）不生效，需要额外做静态脱敏或列级加密。
• 国内合规要求敏感字段出境，Cloud SQL 若开启跨区域只读副本到新加坡或东京，需要评估数据驻留问题。

知识点

1. enterprise_data_masking 插件函数
   mask_phone(phone_string, masking_char, reveal_tail)
   返回 VARCHAR，默认保留前 3 后 4 位，中间用 * 填充。
2. Cloud SQL 插件加载机制
   仅允许通过 cloudsql_enterprise_plugins 实例级参数预加载；用户无 FILE、SUPER，不能在线 INSTALL。
3. 脱敏粒度
   • 列级脱敏：用 VIEW + DEFINER 把遮罩函数封装进去，低权限用户只授予 VIEW 的 SELECT。
   • 行级脱敏：结合 Cloud SQL IAM 数据库身份（Cloud SQL IAM DB User）做 RLS（Row Level Security），但 MySQL 8.0 社区版 RLS 仅企业版支持，Cloud SQL 当前未暴露，需要用安全视图 + 用户变量模拟。
4. 性能与索引
   遮罩函数放在 WHERE 子句会导致索引失效；应先过滤后遮罩，或物化脱敏列（冗余列+触发器）做静态脱敏。
5. 国内合规
   《个人信息保护法》第 51 条要求分级分类；动态遮罩属于技术措施，需配套审计日志（Cloud SQL cloudaudit.googleapis.com 已默认开启）和数据出境评估。

答案

第一步：确认插件已加载
在 Cloud Console → 实例 → 标志位 → 添加 cloudsql_enterprise_plugins=ON，保存后重启实例。
登录数据库执行：

SELECT * FROM information_schema.plugins WHERE plugin_name LIKE '%masking%';

看到 ACTIVE 状态即加载成功。

第二步：创建遮码函数（若插件已带可跳过）
Cloud SQL 企业插件已内置 mask_phone()，可直接使用；若版本差异缺失，可自建 UDF：

CREATE FUNCTION mask_phone(phone VARCHAR(20))
RETURNS VARCHAR(20)
DETERMINISTIC
RETURN CONCAT(LEFT(phone,3), '****', RIGHT(phone,4));

第三步：创建脱敏视图并授权

-- 假设原表
CREATE TABLE user (
  id BIGINT PRIMARY KEY,
  phone VARCHAR(20) NOT NULL
);

-- 脱敏视图
CREATE SQL SECURITY DEFINER VIEW v_user_mask AS
SELECT id, mask_phone(phone) AS phone FROM user;

-- 低权限角色
CREATE ROLE 'app_readonly';
GRANT SELECT ON mydb.v_user_mask TO 'app_readonly';
GRANT SELECT(id, phone) ON mydb.user TO 'dba_role';  -- 高权限角色直接查原表

第四步：验证
以低权限账号登录：

SELECT phone FROM v_user_mask WHERE id=1;
-- 返回 138****5678

以高权限账号登录：

SELECT phone FROM user WHERE id=1;
-- 返回 13812345678

第五步：审计与告警
在 Cloud Logging 创建基于 protoPayload.methodName="cloudsql.instances.query" 的日志指标，若有人尝试 SELECT phone FROM user 且身份不在 dba_role，则触发 Alerting Policy 发送短信到国内运维手机。

拓展思考

1. 动态遮罩 vs 静态脱敏
   动态遮罩适合生产在线查询，但无法防止 DBA 通过备份、binlog、performance_schema 看到明文；国内银行核心系统往往采用列级加密（AES-256）+ 动态遮罩双层方案，密钥托管在 Cloud KMS 的中国主权密钥（Beijing/Shanghai region）里。
2. 与云原生微服务结合
   在 GKE 侧使用 Cloud SQL Auth Proxy 的 auto IAM authentication，把 Kubernetes ServiceAccount 直接映射到 Cloud SQL IAM User，实现Pod 级自动脱敏：同一套 SQL，客服 Pod 绑定只读角色看到掩码，订单 Pod 绑定业务角色看到明文。
3. 性能调优
   若查询量巨大，可在只读副本上创建物化脱敏列（phone_mask），用 generated column 持久化存储 mask_phone(phone)，并在该列建二级索引，避免函数导致全表扫描；同时把客服报表路由到只读副本，减轻主库压力。
4. 合规升级
   2025 年中国版 GDPR 细则将要求敏感个人信息出境前做安全认证；Cloud SQL 若使用跨区域灾备到东京，需要提前在贵州大数据综合试验区完成数据出境安全评估，否则动态遮罩也无法豁免监管罚款。