客户案例|某 SaaS 企业租户敏感数据保护实践

近年来,随着云计算技术的快速发展,软件即服务(SaaS)在各行业的应用逐渐增多,SaaS 应用给企业数字化发展带来了便捷性、成本效益与可访问性,同时也带来了一系列数据安全风险。作为 SaaS 产品运营服务商,在提供产品服务的同时,会存储使用大量不同企业的各类敏感数据,如果缺乏精细化的安全访问控制措施,将会让企业面临严重的数据泄露风险,带来数据损失与商誉折损。没有客户会忍受自己的数据处在一个高风险的环境中,因此,作为 SaaS 软件供应商必须采取有效的数据安全措施,确保客户敏感数据的安全合规与高效可用。

业务背景与痛点分析

以某 SaaS 供应商 Z 企业为例,Z 企业以 SaaS 产品平台为依托,面向企业客户提供战略分析平台,通过该平台,客户可以快速获取和分析关键数据,帮助企业经营者作出更准确的战略决策。该战略分析平台以接口形式对客户不同数据源的信息进行数据采集与连接,并通过 BI 报表系统进行统一的数据开发和分析。一方面,该企业云平台数据库中存储了大量的客户敏感信息,一旦发生客户敏感信息泄露,将给企业带来巨大损失;另一方面,数据开发人员在制作 BI 报表的过程中需要有足够的敏感数据安全管控措施,来减少保护盲点。

敏感数据可见性差,数据资产多源异构 

作为 SaaS 软件供应商,精准高效的保护客户敏感数据是企业基本职责。Z 企业数据库数量 20+,数据源分布在不同位置,其中 Beta/生产为阿里云(云上)环境,开发/uat 为本地机房环境;同时,数据库类型多样,涉及关系型数据库(MySQL、SQLServer)、非关系型数据库(ES)以及计划接入的 Hive 数据仓库。多源异构、分布分散的数据源增加了客户敏感数据统一管理的难度。另一方面,缺乏敏感数据的发现和识别能力,导致客户敏感数据可见性差,数据资产分布不清。

多租户数据运维场景缺乏精细化的安全管控

该企业 SaaS 战略分析系统软件采用多租户架构设计模式,存在不同租户共用数据库的情况,由于缺乏对内部运维人员数据访问权限的精细化管控,运维人员可以轻易地访问大量客户敏感信息,可能导致数据误操作、恶意访问以及数据泄漏与滥用风险;其次,内部运维人员数据库运维工具账号存在多人共享共用情况,一旦出现安全风险难以自证划清安全责任界限,且运维人员具有增、删、改、查等高权限,增加了数据安全风险。最后,在多租户架构环境中,不同租户数据涉及不同的敏感数据类型,可能有不同的安全需求与法规要求,难以实施统一的安全管控策略与满足合规要求。

数据开发过程中敏感数据暴露面大,缺乏审计溯源能力

数据开发人员在制作帆软报表与分析使用过程中,存在诸多安全风险点:其一,数据开发人员存在多人共用同一个数据库账号进行数据库连接,安全责任界限不清;其二,所有数据开发人员均可自定义添加数据源和添加分析使用数据集,未做适当的权限控制,存在权限过大、数据访问不当的问题,极大增加敏感数据泄露风险;其三,在报表预览和填报阶段,数据开发人员对于敏感数据的查看与访问缺乏日志记录,一旦发生数据泄露、篡改等事件,难以进行追溯和审计。

一体化数据安全管控实现敏感数据可视、可管、可控和可溯

针对以上问题,作为平台运营者,Z 企业需要针对自身 SaaS 系统数据运维场景与数据开发场景,对不同位置、不同类型数据源中的敏感数据进行统一高效的可视可管可控可溯能力建设。此外,Z 企业对于保障业务连续性要求较高,因此,数据安全管理平台自身需简单易用,并具备支持横向扩展与集群高可用的特性。

基于此,原点安全提出了以敏感数据保护为核心的一体化数据安全管控方案,助力 Z 企业实现敏感数据动态实时分类分级能力、安全能力一体化策略管控能力、全链路可视化审计溯源能力建设,保障 SaaS 企业客户敏感数据使用事前、事中、事后的安全防护与风险监测。

图片

实时的一体化敏感数据目录

通过纳管多源异构的数据源形成统一视图,有效屏蔽 ES、SQLServer 等不同数据库类型相关因素,屏蔽阿里云、本地等不同分布位置相关因素带来的复杂性,实现对客户敏感数据的全面覆盖与管理。基于主动探测与被动发现双引擎识别技术,自动构建实时、可视化的客户敏感数据目录;同时,内置不同行业重要数据、敏感数据识别规则模板,支持自定义识别规则及人工协同稽核修正,将数据分类分级成果无缝衔接一体化数据保护技术措施。

图片

细粒度数据访问权限管控

针对 Z 企业 SaaS 战略分析系统软件采用多租户架构设计模式带来访问权限粗糙、账号多人共享、高权限高危风险操作等敏感数据访问权限问题,uDSP 可根据业务场景自定义数据集以及用户/用户组、敏感数据类型、安全级别来配置访问控制策略,实现运维人员仅负责运维分配给他的租户数据,不得操作其他租户的数据,实现数据访问的最小授权。同时有效阻断高风险 SQL 指令的执行,实现高危操作控制、非法攻击阻断、敏感信息泄露阻断、应用违规操作阻断。值得一提的是,管控数据集的设置可通过正则来定义,相对于手工定义有类似特征的数据库表的方式,极大降低运维管理复杂度。

图片

自适应敏感数据动态脱敏

基于敏感数据目录实时联动一体化动态脱敏策略,可根据数据业务场景配置脱敏算法和脱敏规则组合,实现数据访问过程的动态脱敏,当数据库表增加新的敏感数据字段,无需更新策略即可即时生效;内置二十多种常用脱敏算法,支持自定义脱敏算法,支持脱敏还原、数据库返回行数限制、行过滤等能力;提供多点位组合脱敏方案,支持弹性高可用部署,灵活适用各种动态脱敏应用场景,有效收敛 SaaS 战略分析软件系统客户敏感信息暴露面。

图片

全链路的数据安全审计

针对在数据库运维、数据开发与报表预览等场景中敏感数据访问与操作缺乏日志审计的问题,uDSP 平台通过 应用探针组件,有效地关联前端账户到后端的操作,形成统一的日志模型。全面记录数据访问路径和敏感数据上下文信息,动态构建由业务用户、业务应用、API 路径、原点代理账号、数据库账号、访问接入点、数据位置、敏感数据类型等节点组成的数据访问轨迹图,同时可呈现位置、时间、次数等关联信息,可帮助数据安全管理员迅速定位敏感数据的访问记录,实现直观的监控,有效提升事中监督和事后审计溯源能力。

图片

客户收益

  • 针对 SaaS 业务的租户数据运维场景, 实现基于客户租户 ID 的数据管控措施,实现精细化的数据访问控制和动态脱敏,有效避免客户敏感数据泄露风险;

  • 针对 BI 报表开发场景,实现到“专人专户”的最小权限敏感数据管控粒度,同时提供全链路的审计溯源分析能力,实现敏感数据流转轨迹的可视化与可追踪性;

  • 通过 K8S 集群部署应用,具备弹性伸缩与高可扩展性,有效保障业务的实时可用性和系统的高可用性;

  • 一体化的数据安全管控方案有效降低企业成本,一个平台覆盖多种数据安全能力,安全策略统一管理、简单易配,无需管理运维多个单点产品,有效简化运维管理复杂性。

对于 SaaS 企业而言,保护租户敏感数据不仅是一项基本职责,更是企业核心竞争力的关键组成部分。通过实施一体化的数据安全管控方案,Z 企业不仅能够有效应对多源异构数据统一管理难题,还实现了对租户敏感数据的精细化访问控制和动态脱敏使用保护,同时提升数据安全审计能力,保障敏感数据在流转和使用过程中的可视化与可追踪性。一体化数据安全管控措施的落地不仅帮助 Z 企业保护客户利益,有效降低数据泄露风险与运营成本;同时,以数据安全为核心优势的运营模式也加强了 Z 企业的市场竞争力与客户信任度,为在数智化时代实现可持续发展与长期收益奠定了基础

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/748889.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

注意!!2024下《系统架构设计师》易混淆知识点来了,赶紧收藏

宝子们,在复习软考系统架构设计师中,是不是觉得有很多知识点含义比较相近,很多友友刚看的时候,估计会像我一样把它们弄混,作为一个软考老鸟,在这里给大家整理了系构学习过程中易混淆的知识点,大…

Part 8.3.2 树的直径

树的直径被定义为树上最远的两点间的距离。 关于求树的直径的两种方式 HXY造公园 题目描述 现在有一个现成的公园,有 n n n 个休息点和 m m m 条双向边连接两个休息点。众所周知,HXY 是一个 SXBK 的强迫症患者,所以她打算施展魔法来改造…

彩虹PLM系统:引领汽车行业的数字化转型

彩虹PLM系统:引领汽车行业的数字化转型 彩虹PLM系统作为汽车行业数字化转型的引领者,凭借其卓越的技术实力和丰富的行业经验,为汽车行业带来了全面的解决方案。以下是彩虹PLM系统如何引领汽车行业数字化转型的详细分析: 一、整合全…

虚拟机使用的是此版本 VMware Workstation 不支持的硬件版本

复制了同事的VMware镜像,但是他的软件版本和我的不同,于是乎出现了这个报错:虚拟机使用的是此版本 VMwareWorkstation 不支持的硬件版本。 模块“Upgrade”启动失败。 解决办法,直接改.vmx文件的版本信息: 以文本格式打…

ROS学习(17):定位和地图绘制(1)

目录 0.前言 1.定位和建图 1.里程计(Odometry) 2.扫描匹配(Scan Matching) 3.结尾 0.前言 好久不见各位,前段时间忙着考试(6级和一些专业课)和摆烂断更了近30天,现在哥们回来更…

约课健身管理系统小程序源码

健身达人的智能助手 一款基于FastAdminThinkPHPUniapp开发的米扬约课健身管理系统,应用于健身房,健身工作室,运动会所,运动场馆,瑜伽馆,拳馆等泛健身行业的场馆中。米扬约课健身致力于为各种健身场馆打造真…

四川赤橙宏海商务信息咨询有限公司好不好?

在当今数字化浪潮下,电商行业正以前所未有的速度发展,而抖音作为短视频领域的佼佼者,其电商服务更是成为了众多品牌争相布局的热门领域。四川赤橙宏海商务信息咨询有限公司,正是这样一家专注于抖音电商服务的领军企业,…

快速阅读参考文献:kimi请求出战!

学境思源,一键生成论文初稿: AcademicIdeas - 学境思源AI论文写作 上篇文章,我们为大家演示了“如何使用kimi创建论文中的流程图”。今天继续为大家介绍“使用kimi快速阅读学术参考文献”。 在学术研究的海洋中,文献阅读是一项基…

解决chrome浏览器Console控制台无法粘贴代码

【问题】 浏览器调试的时候经常会用到console,粘贴内容进console控制台会报错,严重影响调试效率。 报错内容如下: Warning: Don’t paste code into the DevTools Console that you don’t understand or haven’t reviewed yourself. Thi…

ZAP安全扫描工具

下载地址: 去官网下载:https://www.zaproxy.org/download/ 1.主动扫描 需要登录的网站建议使用主动扫描 也可以绕过登录进行手动扫描 再选择手动扫描后 获取到对应的token 2.自动扫描 3.查看报告 4.扫描策略的使用

Java版本Spring Cloud+SpringBoot b2b2c:Java商城实现一件代发设置及多商家直播带货商城搭建

一、产品简介 我们的JAVA版多商家入驻直播带货商城系统是一款全*面的电子商务平台,它允许商家和消费者在一个集成的环境中进行互动。系统采用先进的JAVA语言开发,提供多商家入驻、直播带货、B2B2C等多种功能,帮助用户实现线上线下的无缝对接…

【python】pop()函数

python pop() ,如何在Python的列表或数组中移除元素 使用 pop() 从列表中删除元素 pop() 语法概述 pop() 方法的语法如下: list_name.pop(index)list_name:列表变量名;内置的 pop() 方法仅需要一个可选参数;可选参…

浅谈逻辑控制器之交替控制器

浅谈逻辑控制器之交替控制器 本文档将详细介绍其中一种重要逻辑控制器——交替控制器 (Interleave Controller),并提供其使用方法和应用场景。 交替控制器概述 交替控制器 (Interleave Controller) 是 JMeter 中的一个高级逻辑控制器,它使你能够按照交…

【vue3】【vant】 移动本草纲目案例发布收藏项目源码

更多项目点击👆👆👆完整项目成品专栏 【vue3】【vant】 移动本草纲目案例发布收藏项目源码 获取源码方式项目说明:其中功能包括 项目包含:项目运行环境文件截图 获取源码方式 加Q群:632562109项目说明&am…

应用案例 | Panorama SCADA:开创性的铁路电气控制系统

案例概况 客户:英国铁路网运营商Network Rail 合作伙伴:Telent Technology Services Ltd 应用:实现对铁路牵引电网的高效管理与精准控制 应用产品:宏集Panorama E2 SCADA系统 一、应用背景 英国铁路网运营商Network Rail计划…

谈论Fail2ban+Nginx处理CC攻击和DDOS攻击

前言:Fail2ban 是一款开源的入侵防御软件,用于防止暴力破解和其他形式的恶意攻击。虽然它主要设计用于检测和阻止基于日志的暴力破解尝试,但也可以用于处理低强度的CC(Challenge Collapsar)和部分DDoS(分布…

Python高精度浮点运算库之mpmath使用详解

概要 在科学计算和工程应用中,精确的数学计算至关重要。Python 作为一种灵活而强大的编程语言,提供了多种数学库,其中 mpmath 库因其高精度浮点运算和丰富的数学函数支持而备受关注。mpmath 库不仅适用于基本的高精度计算,还支持复数运算、矩阵运算和特殊函数计算,广泛应…

Python第三方库GDAL 安装

安装GDAL的方式多种,包括pip、Anaconda、OSGeo4W等。笔者在安装过程中,唯独使用pip安装遇到问题。最终通过轮子文件(.whl)成功安装。 本文主要介绍如何下载和安装较新版本的GDAL轮子文件。 一、GDAL轮子文件下载 打开Github网站…

Swoole v6 能否让 PHP 再次伟大?

大家好,我是码农先森。 现状 传统的 PHP-FPM 也是多进程模型的的运行方式,但每个进程只能处理完当前请求,才能接收下一个请求。而且对于 PHP 脚本来说,只是接收请求和响应请求,并不参与网络通信。对数据库资源的操作…

创纪录!沃飞长空完成新一轮融资,实力获资方认可

作为全球竞逐的战略性新兴产业,今年首次写入政府工作报告的“低空经济”热度正持续提升,在政策、产业等多个层面均有重大突破。行业的飞速发展也吸引了投资界的目光,越来越多资本正投向低空经济。 近期,国内领先的低空出行企业吉…