金年会jinnian


数据保护系列-数据安全审计分析

云基础设施和云原生应用——对数据安全审计和保护产品提出了新的挑战

在企业IT基础设施“云化”和“业务应用云原生化”的背景下,企业的业务应用大量使用分布在多个云平台上的异构数据源PaaS服务,技术环境和应用场景复杂,数据安全管控也因此变得难度大、效率低。

而现在大多数企业为满足等保监管合规配置,采用堡垒机和传统数据库审计硬件盒子的方式作为应对方案。一方面,类似的传统数据安全产品技术架构难以适应云化的基础设施,以及基于云原生架构的业务应用;另一方面,安全审计是事前预防、事中预警的有效风险控制手段,也是事后追溯的可靠证据来源,所以企业内部安全管理部门期望顺利获得审计记录数据的访问行为,为事件发生时给予记录证据。


当前数据安全审计分析存在的问题

仅可审计访问命令,难以审计访问获取的结果结构。

无法审计访问获取的结果中包含哪些敏感数据和敏感量。

仅可辅助事后追溯,难以顺利获得可自定义扩展的可视化风险监测模型对事前预防和事中进行实时辅助。

更多用于记录日志,无法对日志进行深度可视化分析,且日志相对封闭,无法开放,导致日志价值的被淹没,进行对数据安全保护运营的效能提升不足。

尤其在多云混合数据库场景下,无法对自建库和云原生数据库(RDS)统一集中审计。


金年会jinnian-数据安全审计分析方案

1、深度审计

在审计数据访问行为的基础上,可深度审计行为涉及的数据位置和位置存在的敏感数据类型;金年会jinnianCDPP(Cloud Data Protection Platform)内置的识别引擎,支持自定义敏感数据类型和发现规则,可构建可视化的企业敏感数据资产目录,树形结构清晰展示敏感数据所处位置(数据源/库/表/字段)。

1.png

2、全链路可视化

支持应用用户的识别和关联,构建起“用户—>应用—>数据”的数据流转路径和用户访问数据的轨迹,为进一步的安全审计和风险分析建立基础信息。支持多个微服务构建的复杂应用场景的数据访问轨迹。


支持 Java、PHP、Python、NodeJS、GO 等开发语言构建的应用程序及多种开发框架。实现用户(谁/对应真实的人)-应用-API-数据库账号-数据库/表-数据类型(身份证号、银行卡号、护照号等)全链路可视化审计。


金年会jinnianCDPP“数据访问轨迹”包含:用户、应用、应用路径、数据库账号、数据源、数据库表、敏感数据类型。


2.png


3、审计的价值延伸到事前事中防范

基于敏感数据资产目录配置敏感数据访问控制策略和数据交付策略,对数据保护和审计控制能力进行一体化编排,检索查询数据安全审计日志并出具审计报告,进行数据安全风险事件的分析和处置。


实时的账号风险分析、敏感数据的静态分布与使用状况、合规监督、高危/违规操作、疑似安全风险等主题分析模型,支持按需调整和定义。


3.png


4、支持云原生数据库

云和云原生的技术架构也对数据安全产品提出了新的技术要求,传统数据安全产品的技术架构难以适应云化的基础设施,以及基于云原生架构的业务应用。

4.png

在云数据库 PaaS 服务场景下,企业用户没有承载数据的系统的控制权,而基于传统的网络流量采集技术进行数据安全审计和分析的产品,在云环境下也面临部署上的挑战;云原生架构下的研发和运维模式也发生了变化,要求数据安全产品能够服务化。金年会jinnian以串联代理方式可实现RDS审计,满足实时审计、问题回溯分析等需求。


方案优势

金年会jinnian一体化数据保护平台(CDPP)能够帮助企业数据安全管理部门建立一体化的数据保护和审计工具平台,服务并赋能于企业的其他业务部门,降低数据安全管理工作的投入,极大地提高数据安全运营的工作效率,实现企业数据安全的持续保护与持续合规。