資料安全:資料訪問治理完整指南

語言: CN / TW / HK

​想象一下,一位同事登入公司的 HR 門戶檢視他的福利並可以看到其他人的薪水!!什麼?不用擔心,這不會發生,因為這些應用程式是利用多年業務流程的專業知識構建的。這些過程決定了誰可以看到和編輯那裡的資料。        突然間,這些資料被帶入資料湖或資料倉庫。如何在這裡設定資料訪問治理是一個巨大的挑戰。

組織必須保護資料以防止不良事件發生,並仍可用於做出明智的決策。及時向正確的人提供對正確資料的訪問許可權的機制稱為資料訪問治理。

什麼是資料訪問治理?

使用者可以通過多種渠道訪問資料。可以通過應用程式的 UI、直接從資料庫或資料倉庫訪問,或者在某些情況下,可以在資料仍在傳輸中時訪問。資料訪問治理使使用者能夠控制、保護和審計資料的使用,以維護和確保隱私,還保護組織的專有資訊和智慧財產權。

隨著組織努力增加分析,以他們可以使用的格式向各種專案團隊、高管和分析師提供資料至關重要。但是,授予此訪問許可權時會出現許多常見挑戰,以及資料無法免費獲得的複雜原因。

資料平臺之前的資料訪問挑戰

孤立的資料

在一個組織中,資料通常存在於各種不同的系統中,用於不同的目的。例如,一個組織可以針對不同的用例使用多個銷售管理系統,如 SalesForce、SalesLoft 等。當任何人需要資料時,他們不確定哪個應用程式可能擁有什麼資料,通常被稱為資料孤島。如果使用者不知道要在其中找到資料的應用程式,這些孤島使他們很難找到需要的資料。通常,訪問應用程式或倉庫中的資訊需要數週甚至數月的時間,延誤使專案陷入停頓並減緩創新。

資料量和技術限制

有時,應用程式只能顯示一定量的資料。因此,在與應用程式互動時,使用者介面可能會限制資料集的檢視。例如,一個應用程式可能顯示數百個資料集,但特定專案的聚合資料可能達到數百萬甚至數十億個資料集。

要解決這些限制,使用者必須諮詢資料庫管理員。通常,資料庫管理員必須在授予訪問許可權之前對所有機密資料進行模糊處理,但如果沒有適當的自動化過程,這個過程非常耗費人力。

權力鬥爭

資料的力量非常強大,但要保持資料的乾淨和有條理,需要付出大量的努力,需要謹慎和周全考慮。因此,一些應用程式所有者不願將其優化的資料交給其他團隊,就不足為奇了。

對資料訪問的權力鬥爭可能會給組織帶來巨大的問題,因為在這種情況下,不會提供有關資料的支援文件和資訊。這一挑戰提醒我們,培養協作文化與鼓勵資料訪問實踐同樣重要。

資料平臺的興起

為了克服孤立的資料和技術挑戰,組織開始建立資料平臺,通常是資料湖或資料倉庫。要填充資料湖,需要使用大資料技術從各種應用程式中移動所有資料。相反,只需將特定用例的選定關鍵資料移動到資料倉庫中。隨著組織建立資料倉庫和湖泊,出現了各種訪問挑戰。

資料平臺之後的資料訪問管理挑戰

複雜的訪問許可權管理

組織可以使用資料湖或各種類似的平臺來聚合精選資料,以克服孤立的資料和技術限制。但是,將所有應用程式的所有許可權轉移到資料湖中並不容易。

基於角色的許可權是為每個應用程式設計的,通常在使用後經過多年的迭代。從本質上講,在資料湖或倉庫中組合所有內容的實用性極具挑戰性。

隱私合規和監管監督

組織必須遵守隱私合規法規和資訊保安實踐,以使使用者能夠識別風險領域並實施額外的措施來保護機密資料。組織外的許多監管機構都針對個人資料實施法律,對違規行為處以鉅額罰款。這些法律要求保護資料,這也是無法普遍訪問 PII 資料的原因之一。

資料可發現性挑戰

由於現代資料平臺託管來自多個來源的大量資料,因此很難找到正確的資料來源。

為什麼傳統技術不足以在現代保護資料?

傳統上,使用者通過應用程式或自助服務門戶訪問資料。應用程式通常具有明確定義的策略,但對於自助服務,資料是手動管理的並移動到資料倉庫或資料湖。之後,資料被劃分為各種角色,並由 OKTA 和 Active Directory 等角色管理工具進行管理。

形成的組識別具有共同訪問要求的個人,以支援他們在組織中的角色的執行。通過進入組訪問資料,當被分配到組時,訪問會批量開啟。此方法未涵蓋的任何內容都將用於臨時工作流。

但是,臨時訪問通常沒有得到很好的管理。無權訪問的使用者不知道該向誰請求什麼。通常,IT有一個表單,使用者可以在其中請求訪問他們通過電子郵件或通過單個應用程式搜尋發現的資料集。使用者使用此表單編寫整個區域的訪問請求,或與另一個人的訪問許可權相同的訪問請求。

現代資料訪問治理

通過資料治理制定的策略進行自動化資料訪問管理的新興趨勢。資料訪問管理的現代方法使組織能夠通過完整的方法解決最持久的資料訪問管理挑戰。

現代資料訪問擴充套件了傳統方法,以實現自動化、可發現性和簡化的臨時工作流程。這個過程是這樣工作的。需要構建一個數據目錄,將資料分類為不同的組,根據分類設計訪問策略,並針對駐留在分類引數之外的請求使用臨時工作流。通過在資料層自動應用的策略來管理訪問。

在資料目錄中集中元資料

第一步是建立一個集中的資料資產目錄。使用資料資產發現攻擊可以輕鬆實現資料目錄,利用元資料來輕鬆發現,而不會暴露實際資料。使用者可以從許多有利位置搜尋和了解生態系統中的資料,並在需要時請求訪問,這將路由到分配的工作流程以實現快速週轉,簡單、自動化且可擴充套件。

資料分類的最佳實踐

下一步是對可能具有挑戰性的資料進行分類。首先,有許多不同的應用程式需要考慮,並且在這些應用程式中有許多複雜的過程和策略。

其次,分類需要支援解決許多痛點的綜合訪問策略。不僅必須瀏覽各種單獨的應用程式,還需要解決合規性、安全性和其他問題。

為了使組織能夠實現這一點,可以探索資料分類的最佳實踐。第一步是水平劃分資料。

此步驟相對容易,因為橫向分類基於各種業務功能,例如銷售、人力資源、營銷和財務。如果還沒有一套命名約定,那麼開發一個非常簡單。

下一步是對資料進行垂直分類。這部分更具挑戰性。垂直分類旨在將資料劃分為各種分類類別,包括所有權、未分類資料、PII、機密、超級機密和公共。

由於要定義的資料太多,AI 用於根據現有的水平分類和預定義的屬性提供垂直分類。

每個分類都應該有一個確定的訪問所有者,並且該位置應該適合該分類。所有者負責設定訪問策略的引數。

根據分類配置和執行策略

基於分類的訪問策略可以在基於強大訪問策略框架中的分類組的資料治理委員會會議中制定。很可能還需要工具來在資料倉庫或資料湖中配置此策略框架。

策略將側重於角色及其提供的特定許可權。例如,銷售代表可能僅有權訪問未分類資料的元資料,但可以完全訪問分類 PII 的資料。可以為組織中的不同角色編寫儘可能多的策略。

跟蹤訪問策略的一種方法是製作一個訪問矩陣,顯示哪些角色可以與哪些分類進行互動。訪問矩陣顯示組織的訪問策略,並增加了誰可以訪問哪些資料的透明度。來自營銷部門的賬單可以訪問標記為“營銷一般受眾”、“營銷有限”、“銷售一般受眾”以及矩陣指示的任何其他分類的資料。

通過資料資產測繪工具,可以減少檢索資料所需時間和工作量。

用於連續分類的臨時工作流

每天都會建立新的檔案和表格,為組織帶來更多未分類的資料。由於這個量,需要一個臨時工作流來識別這些新表、檔案和報告,以傳送給適當的人以確認分類。

結論

每個組織都是不同的,在訪問治理中處於不同的位置,具有獨特的處理、策略和程式。國外,其實也一直在做分類分級,只是他們的橫向分類與我們說的分類保持一致,而縱向分類則為我們的分級。根據業務形成分類,根據安全級別要求形成分級,只不過他們把這點通過縱向橫向分類來表述了,此前在讀這塊內容時還是粗心了。​