数据保护系列-数据库共享账号治理
数字经济时代,数据价值的重要性越来越凸显,除研发运维人员外,数据分析、安全合规等人员对数据的访问需求也越来越大。由于数据库自身访问权限维护繁琐、工作量大,目前数据管理人员多采用共享账号方式来满足不同人员的数据访问需求,实际工作中数据库账号私下或公开共享使用的情形屡见不鲜。而由此导致的数据滥用、违规使用、恶意窃取等数据安全事件愈发频繁,潜在风险也越来越高,所以数据库共享账号治理成为了数据管理人员的棘手问题。
当前数据库共享账号存在的问题
1、极易出现数据库凭证泄露
在源数据库上直接开通数据访问账号,尤其开通多个高权限账号,且一个账号多人共享时,数据库账号信息泄露存在极大的风险隐患,从而也加大了数据库数据泄露的风险。
2、使用数据库系统自身的授权工作量巨大
目前,数据管理人员利用数据库系统自身提供的授权机制也可以实现权限的管控。但是,当企业的数据库数量较多、研发运维人数较多、数据和人员变化频繁时,这项任务的工作量会指数式增长,如何处理有效管控与效率,就成为了摆在数据管理人员面前的难题。
3、数据访问无法实施最小权限和精准权限
多人共享账号必然导致企业对数据访问权限无法做到精准配置。因为数据库系统自身的授权维护工作量巨大,往往导致对权限管理过于宽松,甚至没有管理。数据管理人员针对不同需求数据访问人员开通使用同一账号多人共享情况非常普遍,甚至研发运维人员、数据分析人员和安全合规人员使用同一权限账号。这就导致不同数据访问人员有机会访问许多与自己无关的数据,使得一些敏感数据处于无必要的暴露状态,加剧数据泄露等安全风险。
4、数据访问行为无法留痕
目前,无论研发运维人员还是数据分析、安全合规人员,使用的数据库管理运维工具对共享账号大都缺乏安全视角的审计日志。当安全事件发生时,数据安全团队在溯源过程中无法取证和判别共享账号中的具体操作人员及行为轨迹,从而无法找到造成数据泄露的根因。
原点-数据库共享账号治理方案
1、持续自动监测排查共享账号
各数据源中的访问账号,在多个IP出现时,可能为共享账号,通过治理,为应用分配的专用账号,在监测结果中将专用账号过滤后,可分析其他账号是否存在共享使用的情况。
2、审计日志、证据留存
数据安全事件分析溯源工作需要大量安全相关的日志数据作为支撑。 原点安全的 CDPP 产品能够产生详尽的用户访问数据的日志, 数据安全人员既可以使用产品自身的安全分析功能查找蛛丝马迹,防止数据库共享账号中的身份假冒、身份共享、账号滥用等行为。
也可以把原点 CDPP 的数据访问日志导入其他 SIEM 平台,与其他日志数据进行关联分析。一方面,从数据维度关联上下文信息, 如“敏感级别“、”敏感数据类型“,以及提供详尽的数据访问日志和 SQL 请求响应数据;另一方面,在应用用户、应用程序、数据库用户、被访问数据之间的关联关系中,能够完整可视化地呈现数据流转的轨迹。
3、使用虚拟账号精确配置数据库访问权限
原点安全的 CDPP 产品可以通过自身平台构建虚拟数据库访问账号,访问人员通过虚拟账号登录访问,而无需了解数据库本身凭证信息,避免了数据库凭证过渡暴露的问题。
另外,数据库自身提供的访问管控操作复杂,工作量大,而原点安全的 CDPP可实施颗粒度到具体人员的精确管控。在平台上通过虚拟账号轻松、高效、便捷的配置数据库访问人员权限,针对不同人员、不同需求、不同敏感数据进行精确化配置,解决了传统数据库访问产品权限过大或过小的问题,同时也避免了敏感数据无必要的暴露。
方案优势
原点安全一体化数据保护平台(CDPP)产品能够为企业的数据管理团队提供一整套数据访问权限治理的工具平台,便捷地与各种数据库运维工具、数据管理工具集成,提供统一的数据集定义、用户定义、数据访问权限配置能力。在实现数据保护和安全合规的同时,不仅不影响现有的数据分析类业务,还能够赋能业务部门,实现“自助式“数据访问服务,极大地提高了业务部门使用数据的便捷性,既减轻了数据工程师的日常工作负担,又能够把数据安全管理人员从繁重的权限管理维护手工作业中解放出来。
数据保护系列-数据库共享账号治理相关推荐
- .NET 并行(多核)编程系列之七 共享数据问题和解决概述
.NET 并行(多核)编程系列之七 共享数据问题和解决概述 原文:.NET 并行(多核)编程系列之七 共享数据问题和解决概述 .NET 并行(多核)编程系列之七 共享数据问题和解决概述 前言:之前的文 ...
- PG系列数据库TPCH测试文档
PG系列数据库TPCH测试文档 该文档适用于使用postgresql语法的数据库 一.机器环境 此次测试只为走通该测试的测试流程,准备的服务器是本地虚拟化的机器,故性能不具备参考价值 主机名 ip 内 ...
- 云数据库时代,华为GaussDB系列数据库走向市场第一
在信息化社会,数据是企业管理决策最有效的资源.而数据库技术是管理信息系统.办公自动化系统.决策支持系统等各类信息系统的核心.数据库系统经过将近五十年的发展,如今随着大数据时代的到来,数据库也迎来了属于 ...
- 黑马博客——详细步骤(九)项目功能的实现之mongoDB数据库添加账号
5. mongoDB数据库添加账号 1. 以系统管理员的方式运行powershell 2. 连接数据库 mongo 3. 查看数据库 show dbs 4. 切换到admin数据库 use admin ...
- mongooseDB数据库添加账号
mongooseDB数据库添加账号 有2种账号:超级管理员.普通用户 必须先创建超级管理员账号,再创建 普通用户账号 以系统管理员的方式运行 powershell 连接数据库 mongo 查看数据库 ...
- Oracle默认数据库角色账号密码
Oracle默认数据库角色账号密码 角色 账号 密码 普通用户 SCOTT tiger 普通管理员 SYSTEM manager 超级管理员 SYS change_on_install
- mongodb数据库添加账号
以下步骤可以为mongodb数据库添加账号 1.以系统管理员的身份运行powershell (在cmd也可以操作) 2.连接数据库 mongo 3.查看数据库 show dbs 4.切换到admin数 ...
- 数据库添加账号(mongoDB)
mongoDB数据库添加账号 大概删库跑路的前辈太多了,觉得可以设个账号(哈哈哈) 不多哔哔,具体操作如下:每一步都有示例图(哦豁,详尽) 实操开始 1,以管理员身份运行powershell(额~略了 ...
- 使用 AccountManager 实现系统内共享账号
前言 在开发过程中我们可能遇到自家应用间共享账号的场景.例如 APP1 登录成功后,启动 APP2 时自动完成登录并与 APP1 共享账号信息. Android 为我们提供了AccountManage ...
- mysql导出权限授权_本文实例讲述了mysql数据库创建账号、授权、数据导出、导入操作。分享给大家供大家参考,具体如下:1、账号创建及授权grant all privileg...
本文实例讲述了mysql数据库创建账号.授权.数据导出.导入操作.分享给大家供大家参考,具体如下: 1.账号创建及授权 grant all privileges on *.* to 'yangxin' ...
最新文章
- 转: IO设计模式:Reactor和Proactor对比
- Linux下的mysql设置表不区分大小写
- centos中的mysql安装配置,Linux下安装配置MySQL
- python装饰器实例-python装饰器案例
- node 原生实现服务端 websocket
- 数据可用不可见!揭秘蚂蚁区块链摩斯安全计算平台
- jmeter从mysql取值_Jmeter获取数据库值并作为参数请求(转载)
- Linux: I/O多路转接之epoll(有图有代码有真相!!!)
- 暴露的全局方法_面试刷题36:线程池的原理和使用方法?
- Sequelize Model
- 虚拟机中使linux系统分辨率变大
- 单片机和opencv_OpenCV开发笔记(六十四):红胖子8分钟带你深入了解SURF特征点...
- android 监听软键盘在页面的展开和隐藏
- 史上最全idea插件开发入门实战(傻瓜式教程)
- CTF—古典密码(凯撒密码、维吉尼亚密码、培根密码等)
- matplotlib-19 堆积图
- 财务管理系统-数据库模块
- 【java基础】同比和环比
- 【毕业设计】基于java web的医院预约挂号系统
- 支付宝公布2019集五福攻略,准备好薅羊毛的正确姿势