目录

什么是数据访问治理?

目录

数据访问治理是数据治理的战略组成部分。它涉及组织用于管理、监控和控制数据访问的流程和技术。数据访问治理的主要目标是确保正确的人在正确的时间访问正确的数据,同时保护敏感信息免遭未经授权的访问。

 

数据访问治理详解

简而言之,数据访问治理指的是对数据的管理和控制,具体来说,就是回答谁可以访问什么以及他们可以用这些数据做什么。其主要目标是维护组织数据资产的安全性、完整性和隐私性。许多用户和应用程序要求合法访问数据,但实施过多的权限会增加数据泄露的风险。

安全小组要求对数据访问权限进行监督,以确保根据最低权限原则授予这些权限。这种监督要求有工具让他们能够:

  • 识别、分类和监控 敏感数据的访问。
  • 了解哪些用户、应用程序和系统有权限查看或修改敏感数据。
  • 实施限制访问的政策和程序。
  • 对数据资产的历史权限保持清晰的审计跟踪和问责制。
How modern cloud architecture challenges centralized data access governance models
Figure 1: How modern cloud architecture challenges centralized data access governance models

 

合规性和审计中的数据访问治理

企业需要遵守各种数据保护和隐私法规,如 GDPR、HIPAA 和 PCI DSS。这些框架通常会对数据的访问、存储和处理方式提出严格要求。

合规性和审计中数据访问治理的主要方面包括

  • 识别需要更严格 访问控制级别的敏感数据。
  • 应用符合监管要求的细粒度访问控制。
  • 监控和审计访问权限,以发现潜在的违规行为。
  • 在审计前绘制访问控制图并创建报告

 

云安全中的数据治理

由于数据蔓延、权限蔓延和复杂的多云架构,云使数据访问治理变得更加难以管理。访问数据治理是云安全的重要组成部分,因为未经授权的敏感数据暴露通常是勒索软件或知识产权盗窃等网络安全攻击的第一步。

从安全方面来看,有效的数据访问管理包括

  • 映射多个云服务中敏感数据的访问权限,确保只有授权用户和系统才能查看、修改或共享信息。
  • 监控和检测可能预示着安全漏洞或内部威胁的异常访问模式或数据移动。
  • 实施一致的政策和程序,管理不同云环境和平台的访问权限。
  • 对整个组织的数据访问情况保持全面的了解,使安全小组能够有效地确定风险的优先次序,并快速应对突发事件。

 

用于数据访问管理的软件

不同的工具和软件解决方案可以通过提供可见性、控制和报告功能,帮助组织实施有效的数据访问治理。用于数据访问管理的一些常用软件包括

DSPM

数据安全态势管理 (DSPM) 解决方案可全面了解多个云环境中的敏感数据资产、角色和权限。它们还有助于确定访问风险的轻重缓急和管理访问风险,并简化与管理相关的任务。有些解决方案将 DSPM 纳入更广泛的数据安全平台。

身份和访问管理(IAM)

身份和访问管理(IAM) 工具使组织能够跨各种系统和应用程序管理用户身份、访问控制和权限。它们用于撤销或授予权限,但并不了解每个云资源中存储的数据的上下文。例如,Okta、Azure Active Directory 和 AWS 身份和访问管理(IAM)。

数据丢失防护(DLP)

数据丢失防护 (DLP) 解决方案的重点是防止有意或无意的数据丢失。它们可以监控、检测和阻止敏感数据的传输,通常还集成了数据访问治理功能,以帮助管理敏感数据的访问。

 

数据访问治理常见问题

数据治理是一个更广泛的概念,包括对组织数据资产的整体管理、控制和指导。它涉及建立流程、政策和标准,以确保数据质量、一致性和合规性。数据治理侧重于数据架构、数据集成、数据沿袭、元数据管理和主数据管理等方面。

数据访问治理是数据治理的一个具体方面,涉及管理和控制组织内哪些人可以访问哪些数据,以及他们可以对这些数据执行哪些操作。它旨在维护数据资产的安全性、完整性和隐私性,包括实施访问控制策略、监控数据访问以及遵守最低权限访问原则。

监管合规性是指遵守与其业务运营相关的法律、法规、准则和规范。通过确保数据存储、处理和传输实践符合特定行业和地区的法规,如 GDPR、HIPAA 和 CCPA,组织可以避免法律处罚、维护声誉并保护敏感信息免遭安全漏洞。
数据隐私是指保护敏感信息免遭未经授权的访问、使用、披露或修改,同时维护个人控制其个人数据的权利。数据隐私包括使用加密、访问控制、数据匿名化和其他安全措施来保护云中存储和处理的数据。它还涉及到对隐私法律法规的维护,这些法律法规因司法管辖区和行业而异。
风险管理是一个系统过程,用于识别、评估和减轻对组织资产(包括其数据和 IT 基础设施)的潜在威胁。这涉及评估云服务提供商的安全态势、监控漏洞、实施安全控制和制定事件响应计划,以最大限度地减少安全漏洞的影响。有效的风险管理有助于组织保持数据和系统的保密性、完整性和可用性,同时还能支持监管合规性和业务持续性。
在云安全方面,数据管理涉及确保数据的安全存储、备份,以及只有授权用户才能访问。用于实现这一目标的政策、流程和技术包括访问控制、加密、数据分类和数据生命周期管理。
监控和审计涉及持续跟踪和审查组织的基础设施、流程、安全控制和应用程序,以检测和解决潜在的漏洞或威胁。监控包括对网络流量、应用程序性能和用户行为的实时分析,以识别异常情况和潜在的安全事件。审计包括定期审查系统配置、访问控制和安全政策的合规性。这两点都有助于确保云环境的监管合规性,降低违规风险。
政策实施是指实施和执行组织的安全政策、标准和指南,以维护安全、合规的云环境。这包括自动进行安全检查、实施持续的合规性监控,以及将安全性集成到 DevOps 和 DevSecOps 管道中,以确保应用程序、基础设施和数据在其整个生命周期内保持安全。
预防数据泄露的重点是实施积极主动的措施,保护组织的敏感信息免遭未经授权的访问、泄露或窃取。防止数据泄露的安全措施包括对静态和传输中的数据进行加密、应用强大的访问控制以及监控可疑活动。安全软件开发实践、漏洞管理和员工培训也发挥着关键作用。

GDPR 合规性是指一个组织对欧盟《通用数据保护条例》的遵守情况,这是一部于 2018 年 5 月生效的综合性数据隐私法。该条例适用于处理欧盟居民个人数据的任何组织,无论其地理位置如何。

合规性包括实施数据保护措施,如数据最小化、加密和假名化,以及确保尊重数据主体的权利,包括访问权、更正权和删除权。各组织还必须进行数据保护影响评估,根据要求任命一名数据保护官,并在 72 小时内报告数据泄露情况。

HIPAA 法规是指《健康保险可携性和责任法案》,这是一部美国联邦法律,规定了保护患者健康信息隐私和安全的标准。该条例包括《隐私条例》和《安全条例》,前者管理受保护健康信息(PHI)的使用和披露,后者对保障电子 PHI 的保密性、完整性和可用性提出了具体要求。

处理 PHI 的组织,如医疗保健提供方及其业务合作方,必须实施管理、物理和技术保障措施,并确保适当的培训和风险管理措施,以实现 HIPAA 的合规性。

数据访问策略定义了授予、管理和撤销对组织数据和资源的访问权限的规则和准则,从而维护云环境的安全性、隐私性和合规性。典型的数据访问政策包括用户身份验证、授权和 最低权限访问 原则,确保用户拥有执行任务所需的最低权限。数据访问政策还涉及监控和审计访问、跟踪数据使用情况以及审查权限,以最大限度地降低未经授权访问的风险。

用户权限是授予组织内个人或群体与数据、应用程序和其他资源交互的特定访问权限。权限决定了用户可以执行哪些操作,如读取、写入、修改或删除,以及对哪些资源执行操作。

管理云中的用户权限涉及实施基于角色的访问控制(RBAC)或基于属性的访问控制(ABAC),以便根据工作职能或属性分配适当的权限。定期审查和更新权限,结合最低权限原则,有助于防止未经授权的访问,维护安全的云环境。

数据访问监控是持续观测和分析组织数据访问和使用情况的过程,以检测潜在的安全威胁、违反政策或合规性问题。

在云安全中,数据访问监控涉及跟踪用户活动、识别未经授权的访问尝试,以及监控数据传输以发现异常或可疑行为。高级监控解决方案可使用机器学习算法或人工智能来检测异常模式,并生成潜在安全事件警报。

相关内容
DSPM:您需要它吗?
了解数据安全的五种主要方法,以及每种数据安全方法的用例和应用。
2024 年保护数据和人工智能:首席信息安全官需要了解什么
与数据安全专家一起了解数据安全领域的最新进展如何帮助您发现、分类、保护和管理云环境中的数据。
利用 DSPM 和 DDR 确保数据安全
防范数据安全风险。了解数据安全态势管理 (DSPM) 与数据检测和响应 (DDR) 如何填补安全漏洞,加强您的安全 ...
DSPM 和 DDR 购买指南
了解云数据安全提供商应具备的条件,以及 DSPM 和 DDR 如何显著增强组织的安全态势。

获取最新资讯、活动邀请以及威胁警报