在每个数据库中给每个人员建立一套数据库账号和权限会产生巨大的运维工作量,因此企业中普遍存在研发测试、数据库运维、外包人员多人共享同一个数据库特权账号的情况,企业一旦发生数据违规使用、数据泄露之类的安全事件,事后追责难以查证到具体人员。同时,多人共享数据库特权账号还存在账号凭证外泄的风险,造成潜在的数据安全隐患。
数据库系统自身提供的认证和授权机制也可以实现精确到个人的账号、权限管控。但是,当企业的数据库数量较多、研发运维人数较多、数据和人员变化频繁时,数据库账号权限的运维工作量会指数级增长。临时权限的审批、开通、回收费时费力,容易造成数据权限的风险敞口。如何处理管控与效率,就成为了摆在数据管理人员面前的难题。
研发测试、数据库运维人员访问数据过程中可能会涉及企业的重要数据、敏感数据。企业亟需对这些场景下的敏感数据访问进行有效的治理,在保证数据库访问和运维业务正常开展的同时,保护企业的重要数据和敏感数据。
研发测试、数据库运维人员在数据库访问和运维过程中可能会有意无意输入高风险的 SQL 指令,例如 drop、update 等,从而造成业务连续性风险。数据管理人员需要精细化到 SQL 指令级别的访问控制技术手段。
很多企业在数据库运维场景中使用了堡垒机和数据库审计产品,但是堡垒机产品针对数据库运维工具的审计日志往往是非结构化的操作录屏文件,很难进行高效率的查询检索;数据库审计日志也往往缺失真实用户的信息。这些割裂的日志很难建起关联,对完整的数据访问审计分析和追踪溯源造成了非常大的障碍。
原点安全“一体化数据安全平台 uDSP”产品能够帮助企业高效解决数据库运维场景下的安全管控难题。
通过使用数据库认证代理功能,回收数据库的特权账号和权限,为每一个数据库访问和运维人员建立代理账号口令,代替数据库真实账号口令,降低数据库特权账号口令的泄露风险。无缝衔接原有的数据库运维管理工具,不改变数据库运维人员的使用习惯。
精细化的数据访问权限控制可根据业务情况自定义数据集以及用户/用户组、敏感数据类型、安全级别来配置访问控制策略。进而允许、拒绝或告警特定用户对特定数据集的访问,具备对高风险 SQL 指令的阻断能力。帮助企业实现数据访问的最小授权。
自动化的数据访问自助授权uDSP 平台支持与外部授权审批流程系统的集成,实现数据访问权限策略的自动化配置,实现审批即授权、承诺即授权。降低数据权限审批流程复杂度,提升数据权限管理效率。
实时更新的敏感数据目录通过自动化的数据访问流量解析技术、敏感数据智能识别技术、数据分类分级自动化标注技术,帮助企业建立起敏感数据资产目录,并有的放矢地配置实施灵活的敏感数据动态脱敏策略。
一体化全链路数据访问日志uDSP 平台能够提供从真实用户、数据库运维工具、数据库/表/字段的全链路数据访问轨迹日志,实现一体化的日志审计能力帮助企业从数据访问行为风险视角进行快速分析和排查定位、追踪溯源,高效率地开展数据安全运营。
