客户案例|某 SaaS 企业租户敏感数据保护实践

news2024/12/28 5:12:54

近年来,随着云计算技术的快速发展,软件即服务(SaaS)在各行业的应用逐渐增多,SaaS 应用给企业数字化发展带来了便捷性、成本效益与可访问性,同时也带来了一系列数据安全风险。作为 SaaS 产品运营服务商,在提供产品服务的同时,会存储使用大量不同企业的各类敏感数据,如果缺乏精细化的安全访问控制措施,将会让企业面临严重的数据泄露风险,带来数据损失与商誉折损。没有客户会忍受自己的数据处在一个高风险的环境中,因此,作为 SaaS 软件供应商必须采取有效的数据安全措施,确保客户敏感数据的安全合规与高效可用。

业务背景与痛点分析

以某 SaaS 供应商 Z 企业为例,Z 企业以 SaaS 产品平台为依托,面向企业客户提供战略分析平台,通过该平台,客户可以快速获取和分析关键数据,帮助企业经营者作出更准确的战略决策。该战略分析平台以接口形式对客户不同数据源的信息进行数据采集与连接,并通过 BI 报表系统进行统一的数据开发和分析。一方面,该企业云平台数据库中存储了大量的客户敏感信息,一旦发生客户敏感信息泄露,将给企业带来巨大损失;另一方面,数据开发人员在制作 BI 报表的过程中需要有足够的敏感数据安全管控措施,来减少保护盲点。

敏感数据可见性差,数据资产多源异构 

作为 SaaS 软件供应商,精准高效的保护客户敏感数据是企业基本职责。Z 企业数据库数量 20+,数据源分布在不同位置,其中 Beta/生产为阿里云(云上)环境,开发/uat 为本地机房环境;同时,数据库类型多样,涉及关系型数据库(MySQL、SQLServer)、非关系型数据库(ES)以及计划接入的 Hive 数据仓库。多源异构、分布分散的数据源增加了客户敏感数据统一管理的难度。另一方面,缺乏敏感数据的发现和识别能力,导致客户敏感数据可见性差,数据资产分布不清。

多租户数据运维场景缺乏精细化的安全管控

该企业 SaaS 战略分析系统软件采用多租户架构设计模式,存在不同租户共用数据库的情况,由于缺乏对内部运维人员数据访问权限的精细化管控,运维人员可以轻易地访问大量客户敏感信息,可能导致数据误操作、恶意访问以及数据泄漏与滥用风险;其次,内部运维人员数据库运维工具账号存在多人共享共用情况,一旦出现安全风险难以自证划清安全责任界限,且运维人员具有增、删、改、查等高权限,增加了数据安全风险。最后,在多租户架构环境中,不同租户数据涉及不同的敏感数据类型,可能有不同的安全需求与法规要求,难以实施统一的安全管控策略与满足合规要求。

数据开发过程中敏感数据暴露面大,缺乏审计溯源能力

数据开发人员在制作帆软报表与分析使用过程中,存在诸多安全风险点:其一,数据开发人员存在多人共用同一个数据库账号进行数据库连接,安全责任界限不清;其二,所有数据开发人员均可自定义添加数据源和添加分析使用数据集,未做适当的权限控制,存在权限过大、数据访问不当的问题,极大增加敏感数据泄露风险;其三,在报表预览和填报阶段,数据开发人员对于敏感数据的查看与访问缺乏日志记录,一旦发生数据泄露、篡改等事件,难以进行追溯和审计。

一体化数据安全管控实现敏感数据可视、可管、可控和可溯

针对以上问题,作为平台运营者,Z 企业需要针对自身 SaaS 系统数据运维场景与数据开发场景,对不同位置、不同类型数据源中的敏感数据进行统一高效的可视可管可控可溯能力建设。此外,Z 企业对于保障业务连续性要求较高,因此,数据安全管理平台自身需简单易用,并具备支持横向扩展与集群高可用的特性。

基于此,原点安全提出了以敏感数据保护为核心的一体化数据安全管控方案,助力 Z 企业实现敏感数据动态实时分类分级能力、安全能力一体化策略管控能力、全链路可视化审计溯源能力建设,保障 SaaS 企业客户敏感数据使用事前、事中、事后的安全防护与风险监测。

图片

实时的一体化敏感数据目录

通过纳管多源异构的数据源形成统一视图,有效屏蔽 ES、SQLServer 等不同数据库类型相关因素,屏蔽阿里云、本地等不同分布位置相关因素带来的复杂性,实现对客户敏感数据的全面覆盖与管理。基于主动探测与被动发现双引擎识别技术,自动构建实时、可视化的客户敏感数据目录;同时,内置不同行业重要数据、敏感数据识别规则模板,支持自定义识别规则及人工协同稽核修正,将数据分类分级成果无缝衔接一体化数据保护技术措施。

图片

细粒度数据访问权限管控

针对 Z 企业 SaaS 战略分析系统软件采用多租户架构设计模式带来访问权限粗糙、账号多人共享、高权限高危风险操作等敏感数据访问权限问题,uDSP 可根据业务场景自定义数据集以及用户/用户组、敏感数据类型、安全级别来配置访问控制策略,实现运维人员仅负责运维分配给他的租户数据,不得操作其他租户的数据,实现数据访问的最小授权。同时有效阻断高风险 SQL 指令的执行,实现高危操作控制、非法攻击阻断、敏感信息泄露阻断、应用违规操作阻断。值得一提的是,管控数据集的设置可通过正则来定义,相对于手工定义有类似特征的数据库表的方式,极大降低运维管理复杂度。

图片

自适应敏感数据动态脱敏

基于敏感数据目录实时联动一体化动态脱敏策略,可根据数据业务场景配置脱敏算法和脱敏规则组合,实现数据访问过程的动态脱敏,当数据库表增加新的敏感数据字段,无需更新策略即可即时生效;内置二十多种常用脱敏算法,支持自定义脱敏算法,支持脱敏还原、数据库返回行数限制、行过滤等能力;提供多点位组合脱敏方案,支持弹性高可用部署,灵活适用各种动态脱敏应用场景,有效收敛 SaaS 战略分析软件系统客户敏感信息暴露面。

图片

全链路的数据安全审计

针对在数据库运维、数据开发与报表预览等场景中敏感数据访问与操作缺乏日志审计的问题,uDSP 平台通过 应用探针组件,有效地关联前端账户到后端的操作,形成统一的日志模型。全面记录数据访问路径和敏感数据上下文信息,动态构建由业务用户、业务应用、API 路径、原点代理账号、数据库账号、访问接入点、数据位置、敏感数据类型等节点组成的数据访问轨迹图,同时可呈现位置、时间、次数等关联信息,可帮助数据安全管理员迅速定位敏感数据的访问记录,实现直观的监控,有效提升事中监督和事后审计溯源能力。

图片

客户收益

  • 针对 SaaS 业务的租户数据运维场景, 实现基于客户租户 ID 的数据管控措施,实现精细化的数据访问控制和动态脱敏,有效避免客户敏感数据泄露风险;

  • 针对 BI 报表开发场景,实现到“专人专户”的最小权限敏感数据管控粒度,同时提供全链路的审计溯源分析能力,实现敏感数据流转轨迹的可视化与可追踪性;

  • 通过 K8S 集群部署应用,具备弹性伸缩与高可扩展性,有效保障业务的实时可用性和系统的高可用性;

  • 一体化的数据安全管控方案有效降低企业成本,一个平台覆盖多种数据安全能力,安全策略统一管理、简单易配,无需管理运维多个单点产品,有效简化运维管理复杂性。

对于 SaaS 企业而言,保护租户敏感数据不仅是一项基本职责,更是企业核心竞争力的关键组成部分。通过实施一体化的数据安全管控方案,Z 企业不仅能够有效应对多源异构数据统一管理难题,还实现了对租户敏感数据的精细化访问控制和动态脱敏使用保护,同时提升数据安全审计能力,保障敏感数据在流转和使用过程中的可视化与可追踪性。一体化数据安全管控措施的落地不仅帮助 Z 企业保护客户利益,有效降低数据泄露风险与运营成本;同时,以数据安全为核心优势的运营模式也加强了 Z 企业的市场竞争力与客户信任度,为在数智化时代实现可持续发展与长期收益奠定了基础

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1868523.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

活动|华院计算受邀参加2024全球人工智能技术大会(GAITC),探讨法律大模型如何赋能社会治理

6月22至23日,备受瞩目的2024全球人工智能技术大会(GAITC)在杭州市余杭区未来科技城隆重举行。本届大会以“交叉、融合、相生、共赢”为主题,集“会、展、赛”为一体,聚“产、学、研”于一堂。值得一提的是,…

论文速览 | IEEE Signal Processing Letters, 2024 | 基于时空上下文学习的事件相机立体深度估计

论文速览 | IEEE Signal Processing Letters, 2024 | 基于时空上下文学习的事件相机立体深度估计 1 引言 在计算机视觉领域,立体深度估计一直是一个备受关注的研究热点。传统的基于帧的方法虽然取得了长足的进步,但在处理运动模糊、低照度和平坦区域等挑战性场景时仍面临诸多…

203. 移除链表元素【链表】【C++】

题目描述 题目描述 给你一个链表的头节点 head 和一个整数 val ,请你删除链表中所有满足 Node.val val 的节点,并返回 新的头节点 。 示例 1: 输入:head [1,2,6,3,4,5,6], val 6 输出:[1,2,3,4,5] 示例 2&#x…

RabbitMQ的Direct交换机

Direct交换机 BindingKey 在Fanout模式中,一条消息,会被所有订阅的队列都消费。但是,在某些场景下,我们希望不同的消息被不同的队列消费。这时就要用到Direct类型的Exchange。 在Direct模型下: 队列与交换机的绑定&a…

爬虫是什么?

目录 1.什么是互联网爬虫? 2.爬虫核心? 3.爬虫的用途? 4.爬虫分类? 5.反爬手段? 1.什么是互联网爬虫? 如果我们把互联网比作一张大的蜘蛛网,那一台计算机上的数据便是蜘蛛网上的一个猎物,而爬虫程序…

【vue3】【vant】 移动端中国传统文化和民间传说案例

更多项目点击👆👆👆完整项目成品专栏 【vue3】【vant】 移动端中国传统文化和民间传说案例 获取源码方式项目说明:其中功能包括项目包含:项目运行环境运行截图和视频 获取源码方式 加Q群:632562109项目说…

APP 自动化测试框架如何设计?

自动化测试框架是为了增强测试效率和准确性而设计的工具。它可以帮助开发人员和测试人员在软件开发周期中自动执行各种测试任务。在本文中,我们将从零开始详细介绍如何设计一个自动化测试框架。 1. 确定测试需求: 在设计测试框架之前,首先需…

本安防爆手机为什么能在石油化工行业使用

本安防爆手机专为石油化工行业等易燃易爆环境设计,具备严格的防爆安全标准和环境适应性,确保在石油化工厂的作业安全使用。这些手机不仅具备普通手机的通讯功能,更能有效防止电火花等潜在点火源的产生,为石油化工工作人员提供可靠…

Todesk远程连接Ubuntu卡100%,以及小窗口打不开

Todesk远程连接Ubuntu卡100%,以及小窗口打不开 使用Todesk远程连接Ubuntu一直卡100%进不去还有todesk里的小悬浮窗打开就会小时(小下拉框会消失) 使用Todesk远程连接Ubuntu一直卡100%进不去 还有todesk里的小悬浮窗打开就会小时(小…

使用 Java Swing 和 XChart 创建多种图表

在现代应用程序开发中,数据可视化是一个关键部分。本文将介绍如何使用 Java Swing 和 XChart 库创建各种类型的图表。XChart 是一个轻量级的图表库,支持多种类型的图表,非常适合在 Java 应用中进行快速的图表绘制。 1、环境配置 在开始之前&…

Web应用安全测试-专项漏洞(一)

Web应用安全测试-专项漏洞(一) 专项漏洞部分注重测试方法论,每个专项仅列举一个例子。实际测试过程中,需视情况而定。 文章目录 Web应用安全测试-专项漏洞(一)Web组件(SSL/WebDAV)漏…

AI职场调研 - 被AI替代的工作分析报告

研究背景 随着人工智能(AI)技术的快速发展,其在职场中的应用日益广泛,引发了对工作被AI替代的担忧。本研究旨在分析在自由职业市场中,哪些工作更有可能被AI替代,并探讨AI对工作市场的实际影响。 研究目标 识别最有可能被AI替代…

DevExpress Office File API教程 - 如何使用AI服务增强Word文档可访问性和语言支持?

DevExpress Office File API是一个专为C#, VB.NET 和 ASP.NET等开发人员提供的非可视化.NET库。有了这个库,不用安装Microsoft Office,就可以完全自动处理Excel、Word等文档。开发人员使用一个非常易于操作的API就可以生成XLS, XLSx, DOC, DOCx, RTF, CS…

不会还有人没有用过git rebase合并分支吧?一文详解git merge与git rebase区别

文章目录 什么是git merge?使用git merge的场景git merge的示例 什么是git rebase?使用git rebase的场景git rebase的示例 git merge与git rebase的区别如何选择git merge和git rebase?结论 🎉欢迎来到Java学习路线专栏~探索Java中…

技术流 | 运维平台大型“生产事故”录播和实战重现

【本文作者:擎创科技 资深专家禹鼎侯】 本文写于2021年,最近重读觉得特别有现场感。这也是运维人面对生产环境时遇到的各种惊心动魄的事件之一。惊险,但又顺利解决。是最好的结果。 事情是酱紫的。 那天上午,轻轻松松完成了一个新…

自媒体内容创作者必备:ChatGPT助你提升文章质量

随着自媒体的迅猛发展,越来越多的人加入到内容创作的行列。然而,要在这个竞争激烈的领域脱颖而出,不仅需要创意和独特的观点,更需要高质量的文章内容。在这方面,ChatGPT作为一个智能写作助手,能够帮助自媒体…

第三届仿真模拟、电子信息科学与技术国际学术会议(SMEI 2024,8月02-04)

随着仿真模拟技术的成熟和进步,仿真模拟技术越来越广泛地应用于工业工程、管理科学、社会经济、交通运输、生态环境、军事装备等各个科学领域,并深刻影响着信息技术和信息产业的发展。围绕仿真模拟、电子信息科学与技术等方面内容,为更好地促…

昇思25天学习打卡营第4天|MindSpore快速入门-FCN图像语义分割

FCN图像语义分割 全卷积网络(Fully Convolutional Networks,FCN)是UC Berkeley的Jonathan Long等人于2015年在Fully Convolutional Networks for Semantic Segmentation[1]一文中提出的用于图像语义分割的一种框架。 FCN是首个端到端&#…

SAP 自动登录

文章目录 前言一、程序介绍/笔者需求二、程序原理介绍 a.基本原理 b.为什么不设置界面? c.为什么用户信息不走配置文件? d.注意事项 三、如何使用 a.下载程序 b.配置并执行登录 …

大模型笔记1: Longformer环境配置

论文: https://arxiv.org/abs/2004.05150 首先保证电脑上配置了git. git环境配置: https://blog.csdn.net/Andone_hsx/article/details/87937329 3.1、找到git安装路径中bin的位置,如:D:\Program Files\Git\bin 找到git安装路径中git-core的…