云数据仓库中的数据安全思虑
发布时间:2022-07-05 14:47:43 所属栏目:大数据 来源:互联网
导读:近年来,由于云计算与云存储具有一定的廉价性和可扩展性,云数据仓库(Cloud data warehouses,CDW)得到了广泛的应用并飞速发展。同时,CDW不但能够存储比本地数据库更多的数据,而且可以通过现代化数据管道,简化了ETL的各种流程,因此许多企业都开始用它
|
近年来,由于云计算与云存储具有一定的廉价性和可扩展性,云数据仓库(Cloud data warehouses,CDW)得到了广泛的应用并飞速发展。同时,CDW不但能够存储比本地数据库更多的数据,而且可以通过现代化数据管道,简化了ETL的各种流程,因此许多企业都开始用它来开展大规模的数据分析业务。 其实,早在十多年前,公有云服务提供商便开始以平台即服务(PaaS)的模式发布云端数据仓库了。其中,Google的BigQuery和Amazon的Redshift都能够让组织在几分钟内,完成对CDW的部署,而无需额外安装数据库,或配置服务器。通过将数据从本地迁移到CDW(已被认为是现代数据栈的一部分),数据消费者和生产者在数据的访问过程中,获得了极大的便利性。在某些CDW平台中,企业甚至不需要DBA去维护数据的索引。其整个数据库的管理工作会变得异常简单。 当然,此类技术也面临着包括敏感数据的泄漏、隐私的暴露、数据结构的治理,以及满足合规等方面的挑战。在本文中,我们将和您讨论在将数据迁移到CDW过程中的各种安全注意事项。 迁移到云数据仓库后的安全性问题 我们之所以要将数据迁移到云端数据仓库中,就是为了允许更多的用户去访问我们的数据,并能够从数据中创造更大的价值。这就是业界常说的 “数据民主化(data democratization)”。与此同时,由于CDW是在所谓的“共享责任模型”上实现的,因此云服务提供商需要承担诸如:物理安全、操作系统安全和补丁、甚至是维护基本数据库软件等责任。而这些并非租户企业所需要参与的。因此,他们应当将注意力放在云端的数据安全上。这些往往不只是企业中安全专业团队的责任,而需要数据工程师,乃至业务团队的参与,需要大家共同制定和践行相关的安全策略。 加密 租户企业必须确保存储的静态数据、以及连接的传输中数据,都得到必要的加密。从安全的角度来说,这些不但对于降低中间人(MITM)的攻击、肆意访问到存储数据的风险是必需的;而且对于满足合规性,也是非常必要的。在一些主流的CDW平台中,它们会在默认情况下,对静态和传输中的数据进行加密。而其他的平台,则需要您手动配置对存储数据的加密,并在访问数据的过程中,强制采用加密协议。 授权 在数据仓库安全性中,最难管控的部分莫过于授权了。此处的授权是指:一旦用户通过了数据仓库的身份验证,就应该准确授予他们可以访问哪些数据、以及在什么级别上进行访问。不同的CDW有着不同的授权机制。例如,Snowflake具有严格的、基于角色的访问控制模型(RBAC),而Amazon的Redshift最近也推出了自己的RBAC模型。 总的说来,CDW在授权过程中往往面临着如下安全挑战: 由于用户量和数据种类比较庞大,因此许多用户往往需要频繁地更改其数据访问的相关权限,这就会给数据工程团队造成工作量上的压力。 企业通常会忽略执行“撤销对用户不再需要的数据访问权限”的流程。 难以出于合规性和安全性的通用需求,及时、准确地跟踪用户对于敏感数据的访问。 用户经常被授予过多的访问权限。 在CDW运行一段时间后,如果我们无法恪守明确的访问规则,他们的访问权限就会很快变得复杂、且难以管理。对此,企业需要启用自动化的数据访问授权、创建和执行明确的安全策略,以及应用到不同数据仓库环境的安全访问规则。 细粒度的访问控制 在云数据仓库的语境中,我们认为针对诸如:表、视图、模式、以及数据库的访问控制,属于“粗粒度”对象管理。除此之外,我们还会碰到居多“细粒度”管理的安全需求。也就是说,我们需要对于某些用户是否能够仅访问表中的特定行(即,行级别安全性),以及根据用户或其角色,对数据的操作能力予以动态屏蔽。同样,在此方面,不同的CDW也具有不同的能力。在某些平台中,您可以通过使用现成的函数和视图,来设计并实现此类策略;而在其他的平台上,您可能需要自行创建策略,并将其应用于数据对象上。当然,如果数据量和类型过大的话,则需要通过自动化控制机制,来实现大规模数据访问的全覆盖。 (编辑:拼字网 - 核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐