客户案例|某 SaaS 企业租户敏感数据保护实践

近年来,随着云计算技术的快速发展,软件即服务(SaaS)在各行业的应用逐渐增多,SaaS 应用给企业数字化发展带来了便捷性、成本效益与可访问性,同时也带来了一系列数据安全风险。作为 SaaS 产品运营服务商,在提供产品服务的同时,会存储使用大量不同企业的各类敏感数据,如果缺乏精细化的安全访问控制措施,将会让企业面临严重的数据泄露风险,带来数据损失与商誉折损。没有客户会忍受自己的数据处在一个高风险的环境中,因此,作为 SaaS 软件供应商必须采取有效的数据安全措施,确保客户敏感数据的安全合规与高效可用。

业务背景与痛点分析

以某 SaaS 供应商 Z 企业为例,Z 企业以 SaaS 产品平台为依托,面向企业客户提供战略分析平台,通过该平台,客户可以快速获取和分析关键数据,帮助企业经营者作出更准确的战略决策。该战略分析平台以接口形式对客户不同数据源的信息进行数据采集与连接,并通过 BI 报表系统进行统一的数据开发和分析。一方面,该企业云平台数据库中存储了大量的客户敏感信息,一旦发生客户敏感信息泄露,将给企业带来巨大损失;另一方面,数据开发人员在制作 BI 报表的过程中需要有足够的敏感数据安全管控措施,来减少保护盲点。

敏感数据可见性差,数据资产多源异构 

作为 SaaS 软件供应商,精准高效的保护客户敏感数据是企业基本职责。Z 企业数据库数量 20+,数据源分布在不同位置,其中 Beta/生产为阿里云(云上)环境,开发/uat 为本地机房环境;同时,数据库类型多样,涉及关系型数据库(MySQL、SQLServer)、非关系型数据库(ES)以及计划接入的 Hive 数据仓库。多源异构、分布分散的数据源增加了客户敏感数据统一管理的难度。另一方面,缺乏敏感数据的发现和识别能力,导致客户敏感数据可见性差,数据资产分布不清。

多租户数据运维场景缺乏精细化的安全管控

该企业 SaaS 战略分析系统软件采用多租户架构设计模式,存在不同租户共用数据库的情况,由于缺乏对内部运维人员数据访问权限的精细化管控,运维人员可以轻易地访问大量客户敏感信息,可能导致数据误操作、恶意访问以及数据泄漏与滥用风险;其次,内部运维人员数据库运维工具账号存在多人共享共用情况,一旦出现安全风险难以自证划清安全责任界限,且运维人员具有增、删、改、查等高权限,增加了数据安全风险。最后,在多租户架构环境中,不同租户数据涉及不同的敏感数据类型,可能有不同的安全需求与法规要求,难以实施统一的安全管控策略与满足合规要求。

数据开发过程中敏感数据暴露面大,缺乏审计溯源能力

数据开发人员在制作帆软报表与分析使用过程中,存在诸多安全风险点:其一,数据开发人员存在多人共用同一个数据库账号进行数据库连接,安全责任界限不清;其二,所有数据开发人员均可自定义添加数据源和添加分析使用数据集,未做适当的权限控制,存在权限过大、数据访问不当的问题,极大增加敏感数据泄露风险;其三,在报表预览和填报阶段,数据开发人员对于敏感数据的查看与访问缺乏日志记录,一旦发生数据泄露、篡改等事件,难以进行追溯和审计。

一体化数据安全管控实现敏感数据可视、可管、可控和可溯

针对以上问题,作为平台运营者,Z 企业需要针对自身 SaaS 系统数据运维场景与数据开发场景,对不同位置、不同类型数据源中的敏感数据进行统一高效的可视可管可控可溯能力建设。此外,Z 企业对于保障业务连续性要求较高,因此,数据安全管理平台自身需简单易用,并具备支持横向扩展与集群高可用的特性。

基于此,原点安全提出了以敏感数据保护为核心的一体化数据安全管控方案,助力 Z 企业实现敏感数据动态实时分类分级能力、安全能力一体化策略管控能力、全链路可视化审计溯源能力建设,保障 SaaS 企业客户敏感数据使用事前、事中、事后的安全防护与风险监测。

图片

实时的一体化敏感数据目录

通过纳管多源异构的数据源形成统一视图,有效屏蔽 ES、SQLServer 等不同数据库类型相关因素,屏蔽阿里云、本地等不同分布位置相关因素带来的复杂性,实现对客户敏感数据的全面覆盖与管理。基于主动探测与被动发现双引擎识别技术,自动构建实时、可视化的客户敏感数据目录;同时,内置不同行业重要数据、敏感数据识别规则模板,支持自定义识别规则及人工协同稽核修正,将数据分类分级成果无缝衔接一体化数据保护技术措施。

图片

细粒度数据访问权限管控

针对 Z 企业 SaaS 战略分析系统软件采用多租户架构设计模式带来访问权限粗糙、账号多人共享、高权限高危风险操作等敏感数据访问权限问题,uDSP 可根据业务场景自定义数据集以及用户/用户组、敏感数据类型、安全级别来配置访问控制策略,实现运维人员仅负责运维分配给他的租户数据,不得操作其他租户的数据,实现数据访问的最小授权。同时有效阻断高风险 SQL 指令的执行,实现高危操作控制、非法攻击阻断、敏感信息泄露阻断、应用违规操作阻断。值得一提的是,管控数据集的设置可通过正则来定义,相对于手工定义有类似特征的数据库表的方式,极大降低运维管理复杂度。

图片

自适应敏感数据动态脱敏

基于敏感数据目录实时联动一体化动态脱敏策略,可根据数据业务场景配置脱敏算法和脱敏规则组合,实现数据访问过程的动态脱敏,当数据库表增加新的敏感数据字段,无需更新策略即可即时生效;内置二十多种常用脱敏算法,支持自定义脱敏算法,支持脱敏还原、数据库返回行数限制、行过滤等能力;提供多点位组合脱敏方案,支持弹性高可用部署,灵活适用各种动态脱敏应用场景,有效收敛 SaaS 战略分析软件系统客户敏感信息暴露面。

图片

全链路的数据安全审计

针对在数据库运维、数据开发与报表预览等场景中敏感数据访问与操作缺乏日志审计的问题,uDSP 平台通过 应用探针组件,有效地关联前端账户到后端的操作,形成统一的日志模型。全面记录数据访问路径和敏感数据上下文信息,动态构建由业务用户、业务应用、API 路径、原点代理账号、数据库账号、访问接入点、数据位置、敏感数据类型等节点组成的数据访问轨迹图,同时可呈现位置、时间、次数等关联信息,可帮助数据安全管理员迅速定位敏感数据的访问记录,实现直观的监控,有效提升事中监督和事后审计溯源能力。

图片

客户收益

  • 针对 SaaS 业务的租户数据运维场景, 实现基于客户租户 ID 的数据管控措施,实现精细化的数据访问控制和动态脱敏,有效避免客户敏感数据泄露风险;

  • 针对 BI 报表开发场景,实现到“专人专户”的最小权限敏感数据管控粒度,同时提供全链路的审计溯源分析能力,实现敏感数据流转轨迹的可视化与可追踪性;

  • 通过 K8S 集群部署应用,具备弹性伸缩与高可扩展性,有效保障业务的实时可用性和系统的高可用性;

  • 一体化的数据安全管控方案有效降低企业成本,一个平台覆盖多种数据安全能力,安全策略统一管理、简单易配,无需管理运维多个单点产品,有效简化运维管理复杂性。

对于 SaaS 企业而言,保护租户敏感数据不仅是一项基本职责,更是企业核心竞争力的关键组成部分。通过实施一体化的数据安全管控方案,Z 企业不仅能够有效应对多源异构数据统一管理难题,还实现了对租户敏感数据的精细化访问控制和动态脱敏使用保护,同时提升数据安全审计能力,保障敏感数据在流转和使用过程中的可视化与可追踪性。一体化数据安全管控措施的落地不仅帮助 Z 企业保护客户利益,有效降低数据泄露风险与运营成本;同时,以数据安全为核心优势的运营模式也加强了 Z 企业的市场竞争力与客户信任度,为在数智化时代实现可持续发展与长期收益奠定了基础

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/36237.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

韩国锂电池工厂火灾:行业安全警钟再次敲响

三天前,6月24日上午,韩国京畿道华城市一电池厂突发火灾,造成严重人员伤亡,其中包括多名中国籍员工。这一事件不仅令人痛心,更为全球锂电池行业安全敲响了警钟。 事发当天,电池厂内堆放锂电池成品的区域突然…

TypeError: %c requires int or char

踩坑:在用python写脚本查询sql数据时,使用%s来替换sql语句里的变量,结果一直报,而其他sql使用同样的方法正常,最后发现是因为sql语句里有模糊查询 like "%测试%",这里的%被误以为%s,解…

Mendix 创客访谈录|Mendix开发制造业客户复杂应用的强大实力

本期创客 郑立 Eviden中国低代码服务团队负责人 大家好,我是郑立,目前担任Eviden中国低代码服务团队的负责人,Mendix是Eviden中国在低代码领域的最重要的合作伙伴,目前我们在多个制造业客户中推广和实施Mendix低代码项目&#xff…

[MQTT]Mosquitto的權限管理_使用者/密碼(pwfile)和訪問控制清單(aclfile)

延續Mosquitto的內網連接(intranet)和使用者/密碼權限設置文章,經解讀mosquitto官網文檔,在權限管理部分,除了設置使用者/密碼(pwfile)之外,還有訪問控制清單(Access Control List, aclfile)可以設置。經過測試,同時設…

Linux 中变量的取用与设定

优质博文:IT-BLOG-CN Linux是一个多人多任务的环境,每个人登录系统都能取得一个bash shell,每个人都能够使用bash下达mail这个指令来接收自己的邮箱等等。问题是,bash如何得知你的邮箱是那个文件?这就需要『变量』的帮…

基于Java的宠物领养管理系统【附源码】

摘 要 近些年来,随着科技的飞速发展,互联网的普及逐渐延伸到各行各业中,给人们生活带来了十分的便利,宠物管理系统利用计算机网络实现信息化管理,使整个宠物领养的发展和服务水平有显著提升。 本文拟采用IDEA开发工具…

《分析模式》漫谈07-怎样把一张图从不严谨改到严谨

DDD领域驱动设计批评文集 做强化自测题获得“软件方法建模师”称号 《软件方法》各章合集 下图是《分析模式》原书第2章的图2.10,里面有一些错误和考虑不周的地方: 2004中译本和2020中译本的翻译如下: 基本上都是照搬,没有改过…

【02-02】SpringMVC基于注解的应用

一、请求处理 1、常用注解 RequestMapping 作用:用来匹配客户端发送的请求(用来处理URL映射,将请求映射到处理方法中),可以在类或者方法上使用。 用在类上,可以将请求模块化,避免请求方法中的…

【Java Web】三大域对象

目录 一、域对象概述 二、三大域对象 三、域对象使用相关API 一、域对象概述 一些可用于存储数据和传递数据的对象被称为域对象,根据传递数据范围的不同,我们称之为不同的域,不同的域对象代表不同的域,共享数据的范围也不同。 二、…

【小红书标题打造】规则+底层逻辑解析|辅助工具|爆款必备

前言 大家好,我是一名自媒体工具人,今天不是教大家去自己写标题(现在这个时代自己写真没必要)而是教大家了解爆款标题的相关知识以及辨别。后面会附赠 安装此文规则生成标题的输出工具。在这个工具发展庞大的时代,如果…

【知识图谱系列】一步步指导:安装与配置JDK和Neo4j的完美搭配

本文将提供详细的步骤,介绍如何下载、安装和配置Java开发工具包(JDK)以及流行的图形数据库Neo4j。将从选择合适的JDK版本开始,然后是下载和配置环境变量,接着以同样的方式处理Neo4j。最后,会通过一些检查步…

Windows应急响应靶机 - Web3

一、靶机介绍 应急响应靶机训练-Web3 前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。 这是他的服务器&#xff…

YouCompleteMe插件安装方法简述

一、前言 YouCompleteMe是VIM中进行C/C 开发的重要工具,可以极大提升linux下C/C开发效率。 YCM需要高版本的gcc (8.0以上版本,支持C17) 和 vim(8.0以上,支持python3.6以上) 二、编译gcc_8.3 1. 获取源码 wget https:…

Shopee API接口——获取商家店铺商品列表

一、引言 在跨境电商领域,Shopee作为东南亚地区领先的电商平台,为众多商家提供了广阔的市场和丰富的销售机会。本文将详细介绍如何通过Shopee API获取商家店铺商品列表,并探讨其应用场景。 二、核心功能介绍 Shopee API获取商家店铺商品列…

Studying-代码随想录训练营day21| 669.修建二叉搜索树、108.将有序数组转换为二叉搜索树、538.把二叉搜索树转换为累加树、二叉树总结

第21天,二叉树最后一篇,冲💪 目录 669.修建二叉搜索树 108.将有序数组转换为二叉搜索树 538.把二叉搜索树转换为累加树 二叉树总结 669.修建二叉搜索树 文档讲解:代码随想录修建二叉搜索树 视频讲解:手撕修建二叉…

API-元素尺寸与位置

学习目标: 掌握元素尺寸与位置 学习内容: 元素尺寸与位置仿京东固定导航栏案例实现bilibili点击小滑块移动效果 元素尺寸与位置: 使用场景: 前面案例滚动多少距离,都是我们自己算的,最好是页面滚动到某个…

[leetcode]圆圈中最后剩下的数字/ 破冰游戏

. - 力扣(LeetCode) class Solution {int f(int num, int target) {if (num 1) {return 0;}int x f(num - 1, target);return (target x) % num;} public:int iceBreakingGame(int num, int target) {return f(num, target);} };

程序猿大战Python——Python与MySQL交互一

pymysql模块的安装 目标:了解如何安装pymysql模块? 当要使用Python和MySQL数据库进行交互,需要借助一个第三方模块:pymysql。 在使用pymysql模块前,先进行安装: pip install pymysql 有时使用pip instal…

从零开始做题:有手就行

1 题目 2 解题 ARPHCR工具破解 得到flag DASCTF{2b3767763885a019b65bbfe9d1136c3b}

数据结构与算法笔记:高级篇 - 向量空间:如何实现一个简单的音乐推荐系统?

概述 很多人喜都喜爱听歌,以前我们用 MP3 听歌,现在直接通过音乐 App 在线就能听歌。而且,各种音乐 App 的功能越来越强大,不仅可以自己选歌听,还可以根据你听歌的喜好,给你推荐你可能会喜好的音乐&#x…