数字经济时代,数据价值的重要性越来越凸显,除研发运维人员外,数据分析、安全合规等人员对数据的访问需求也越来越大。由于数据库自身访问权限维护繁琐、工作量大,目前数据管理人员多采用共享账号方式来满足不同人员的数据访问需求,实际工作中数据库账号私下或公开共享使用的情形屡见不鲜。而由此导致的数据滥用、违规使用、恶意窃取等数据安全事件愈发频繁,潜在风险也越来越高,所以数据库共享账号治理成为了数据管理人员的棘手问题。
1、极易出现数据库凭证泄露
在源数据库上直接开通数据访问账号,尤其开通多个高权限账号,且一个账号多人共享时,数据库账号信息泄露存在极大的风险隐患,从而也加大了数据库数据泄露的风险。
2、使用数据库系统自身的授权工作量巨大
目前,数据管理人员利用数据库系统自身提供的授权机制也可以实现权限的管控。但是,当企业的数据库数量较多、研发运维人数较多、数据和人员变化频繁时,这项任务的工作量会指数式增长,如何处理有效管控与效率,就成为了摆在数据管理人员面前的难题。
3、数据访问无法实施最小权限和精准权限
多人共享账号必然导致企业对数据访问权限无法做到精准配置。因为数据库系统自身的授权维护工作量巨大,往往导致对权限管理过于宽松,甚至没有管理。数据管理人员针对不同需求数据访问人员开通使用同一账号多人共享情况非常普遍,甚至研发运维人员、数据分析人员和安全合规人员使用同一权限账号。这就导致不同数据访问人员有机会访问许多与自己无关的数据,使得一些敏感数据处于无必要的暴露状态,加剧数据泄露等安全风险。
4、数据访问行为无法留痕
目前,无论研发运维人员还是数据分析、安全合规人员,使用的数据库管理运维工具对共享账号大都缺乏安全视角的审计日志。当安全事件发生时,数据安全团队在溯源过程中无法取证和判别共享账号中的具体操作人员及行为轨迹,从而无法找到造成数据泄露的根因。
1、持续自动监测排查共享账号
各数据源中的访问账号,在多个IP出现时,可能为共享账号,通过治理,为应用分配的专用账号,在监测结果中将专用账号过滤后,可分析其他账号是否存在共享使用的情况。
2、审计日志、证据留存
数据安全事件分析溯源工作需要大量安全相关的日志数据作为支撑。 原点安全的 CDPP 产品能够产生详尽的用户访问数据的日志, 数据安全人员既可以使用产品自身的安全分析功能查找蛛丝马迹,防止数据库共享账号中的身份假冒、身份共享、账号滥用等行为。
也可以把原点 CDPP 的数据访问日志导入其他 SIEM 平台,与其他日志数据进行关联分析。一方面,从数据维度关联上下文信息, 如“敏感级别“、”敏感数据类型“,以及提供详尽的数据访问日志和 SQL 请求响应数据;另一方面,在应用用户、应用程序、数据库用户、被访问数据之间的关联关系中,能够完整可视化地呈现数据流转的轨迹。
3、使用虚拟账号精确配置数据库访问权限
原点安全的 CDPP 产品可以通过自身平台构建虚拟数据库访问账号,访问人员通过虚拟账号登录访问,而无需了解数据库本身凭证信息,避免了数据库凭证过渡暴露的问题。
另外,数据库自身提供的访问管控操作复杂,工作量大,而原点安全的 CDPP可实施颗粒度到具体人员的精确管控。在平台上通过虚拟账号轻松、高效、便捷的配置数据库访问人员权限,针对不同人员、不同需求、不同敏感数据进行精确化配置,解决了传统数据库访问产品权限过大或过小的问题,同时也避免了敏感数据无必要的暴露。
原点安全一体化数据保护平台(CDPP)产品能够为企业的数据管理团队提供一整套数据访问权限治理的工具平台,便捷地与各种数据库运维工具、数据管理工具集成,提供统一的数据集定义、用户定义、数据访问权限配置能力。在实现数据保护和安全合规的同时,不仅不影响现有的数据分析类业务,还能够赋能业务部门,实现“自助式“数据访问服务,极大地提高了业务部门使用数据的便捷性,既减轻了数据工程师的日常工作负担,又能够把数据安全管理人员从繁重的权限管理维护手工作业中解放出来。
