怎样才是数据库共享账户治理的正确姿势?
随着数据价值的凸显

数据分析、开发人员、运维人员的

数据库访问需求也愈加频繁

由于数据库众多

精细化的账户权限管理工作不仅成本高、效率低

伴随运维人员的新增、变动

加上三方外包人员的流动频繁

对应管理工作复杂,账号回收慢

为图便利,数据库特权账户共享的现象十分普遍


账户治理1.jpeg


共享账号容易存在弱口令密码、易破解、易丢失

极大增加数据库账户被盗用、冒用、

泄露等安全风险

“事后”更是难以追溯,责任到人成为空话

数据库的“访问权限”如何统一管控

成为当下 DBA 的管理痛点 

👇

账户配图2.png

共享账号导致审计日志无法关联真实用户

堡垒机在数据库运维日志都是“录像”

此类非结构化数据的查询、检索困难

账户配图3.png

实现“最小权限”管理成本忒高

运维人员对数据库进行“增、删、改、查”的

操作难以实现“最小授权”

临时权限的审批、开通、回收费时费力

容易造成数据权限的风险敞口 

现有的数据库管理工具

无法细化至特定用户对特定数据集的访问控制

无法精细化到 SQL 指令级别的访问控制

导致高风险指令难以阻断

账户4.png

权限管控要与企业保护要求

以及敏感数据分类分级成果联动

对敏感数据访问的管控

需要细化到表、到行、到列

账户5.png


原点安全一体化数据保护平台 uDSP 能够为企业的数据安全管理团队提供一整套数据库共享账户和访问权限治理的工具平台,提供统一的敏感数据目录,细粒度的数据集定义、用户定义、数据访问权限配置策略,无缝衔接各种数据库运维工具、数据管理工具,无需改变原有的数据库运维工具和流程,在实现数据保护和安全合规的同时,极大地提高了数据库安全运维的便捷性,提高工作效率。

账户6.png


方案优势与价值


无缝的数据库共享账号治理

通过使用数据库认证代理功能,回收数据库的特权账号和权限,为每一个数据库访问和运维人员建立代理账号口令,代替数据库真实账号口令,降低数据库特权账号口令的泄露风险。无缝衔接原有的数据库运维管理工具,不改变数据库运维人员的使用习惯。


精细化的数据访问权限控制

可根据业务情况自定义数据集以及用户/用户组、敏感数据类型、安全级别来配置访问控制策略。进而允许、拒绝或告警特定用户对特定数据集的访问,具备对高风险 SQL 指令的阻断能力。帮助企业实现数据访问的最小授权。


自动化的数据访问自助授权

uDSP 平台支持与外部授权审批流程系统的集成,实现数据访问权限策略的自动化配置,实现审批即授权、承诺即授权。降低数据权限审批流程复杂度,提升数据权限管理效率。


实时更新的敏感数据目录

通过自动化的数据访问流量解析技术、敏感数据智能识别技术、数据分类分级自动化标注技术,帮助企业建立起敏感数据资产目录,并有的放矢地配置实施灵活的敏感数据动态脱敏策略。


一体化全链路数据访问日志

uDSP 平台能够提供从真实用户、数据库运维工具、数据库/表/字段的全链路数据访问轨迹日志,实现一体化的日志审计能力帮助企业从数据访问行为风险视角进行快速分析和排查定位、追踪溯源,高效率地开展数据安全运营。

账户7.jpeg