?想象一下，一位同事登錄公司的 HR 門戶查看他的福利并可以看到其他人的薪水??！什么？不用擔(dān)心，這不會發(fā)生，因?yàn)檫@些應(yīng)用程序是利用多年業(yè)務(wù)流程的專業(yè)知識構(gòu)建的。這些過程決定了誰可以看到和編輯那里的數(shù)據(jù)。        突然間，這些數(shù)據(jù)被帶入數(shù)據(jù)湖或數(shù)據(jù)倉庫。如何在這里設(shè)置數(shù)據(jù)訪問治理是一個巨大的挑戰(zhàn)。

組織必須保護(hù)數(shù)據(jù)以防止不良事件發(fā)生，并仍可用于做出明智的決策。及時向正確的人提供對正確數(shù)據(jù)的訪問權(quán)限的機(jī)制稱為數(shù)據(jù)訪問治理。

什么是數(shù)據(jù)訪問治理？

用戶可以通過多種渠道訪問數(shù)據(jù)。可以通過應(yīng)用程序的 UI、直接從數(shù)據(jù)庫或數(shù)據(jù)倉庫訪問，或者在某些情況下，可以在數(shù)據(jù)仍在傳輸中時訪問。數(shù)據(jù)訪問治理使用戶能夠控制、保護(hù)和審計數(shù)據(jù)的使用，以維護(hù)和確保隱私，還保護(hù)組織的專有信息和知識產(chǎn)權(quán)。

隨著組織努力增加分析，以他們可以使用的格式向各種項目團(tuán)隊、高管和分析師提供數(shù)據(jù)至關(guān)重要。但是，授予此訪問權(quán)限時會出現(xiàn)許多常見挑戰(zhàn)，以及數(shù)據(jù)無法免費(fèi)獲得的復(fù)雜原因。

數(shù)據(jù)平臺之前的數(shù)據(jù)訪問挑戰(zhàn)

孤立的數(shù)據(jù)

在一個組織中，數(shù)據(jù)通常存在于各種不同的系統(tǒng)中，用于不同的目的。例如，一個組織可以針對不同的用例使用多個銷售管理系統(tǒng)，如 SalesForce、SalesLoft 等。當(dāng)任何人需要數(shù)據(jù)時，他們不確定哪個應(yīng)用程序可能擁有什么數(shù)據(jù)，通常被稱為數(shù)據(jù)孤島。如果用戶不知道要在其中找到數(shù)據(jù)的應(yīng)用程序，這些孤島使他們很難找到需要的數(shù)據(jù)。通常，訪問應(yīng)用程序或倉庫中的信息需要數(shù)周甚至數(shù)月的時間，延誤使項目陷入停頓并減緩創(chuàng)新。

數(shù)據(jù)量和技術(shù)限制

有時，應(yīng)用程序只能顯示一定量的數(shù)據(jù)。因此，在與應(yīng)用程序交互時，用戶界面可能會限制數(shù)據(jù)集的視圖。例如，一個應(yīng)用程序可能顯示數(shù)百個數(shù)據(jù)集，但特定項目的聚合數(shù)據(jù)可能達(dá)到數(shù)百萬甚至數(shù)十億個數(shù)據(jù)集。

要解決這些限制，用戶必須咨詢數(shù)據(jù)庫管理員。通常，數(shù)據(jù)庫管理員必須在授予訪問權(quán)限之前對所有機(jī)密數(shù)據(jù)進(jìn)行模糊處理，但如果沒有適當(dāng)?shù)淖詣踊^程，這個過程非常耗費(fèi)人力。

權(quán)力斗爭

數(shù)據(jù)的力量非常強(qiáng)大，但要保持?jǐn)?shù)據(jù)的干凈和有條理，需要付出大量的努力，需要謹(jǐn)慎和周全考慮。因此，一些應(yīng)用程序所有者不愿將其優(yōu)化的數(shù)據(jù)交給其他團(tuán)隊，就不足為奇了。

對數(shù)據(jù)訪問的權(quán)力斗爭可能會給組織帶來巨大的問題，因?yàn)樵谶@種情況下，不會提供有關(guān)數(shù)據(jù)的支持文檔和信息。這一挑戰(zhàn)提醒我們，培養(yǎng)協(xié)作文化與鼓勵數(shù)據(jù)訪問實(shí)踐同樣重要。

數(shù)據(jù)平臺的興起

為了克服孤立的數(shù)據(jù)和技術(shù)挑戰(zhàn)，組織開始創(chuàng)建數(shù)據(jù)平臺，通常是數(shù)據(jù)湖或數(shù)據(jù)倉庫。要填充數(shù)據(jù)湖，需要使用大數(shù)據(jù)技術(shù)從各種應(yīng)用程序中移動所有數(shù)據(jù)。相反，只需將特定用例的選定關(guān)鍵數(shù)據(jù)移動到數(shù)據(jù)倉庫中。隨著組織創(chuàng)建數(shù)據(jù)倉庫和湖泊，出現(xiàn)了各種訪問挑戰(zhàn)。

數(shù)據(jù)平臺之后的數(shù)據(jù)訪問管理挑戰(zhàn)

復(fù)雜的訪問權(quán)限管理

組織可以使用數(shù)據(jù)湖或各種類似的平臺來聚合精選數(shù)據(jù)，以克服孤立的數(shù)據(jù)和技術(shù)限制。但是，將所有應(yīng)用程序的所有權(quán)限轉(zhuǎn)移到數(shù)據(jù)湖中并不容易。

基于角色的權(quán)限是為每個應(yīng)用程序設(shè)計的，通常在使用后經(jīng)過多年的迭代。從本質(zhì)上講，在數(shù)據(jù)湖或倉庫中組合所有內(nèi)容的實(shí)用性極具挑戰(zhàn)性。

隱私合規(guī)和監(jiān)管監(jiān)督

組織必須遵守隱私合規(guī)法規(guī)和信息安全實(shí)踐，以使用戶能夠識別風(fēng)險領(lǐng)域并實(shí)施額外的措施來保護(hù)機(jī)密數(shù)據(jù)。組織外的許多監(jiān)管機(jī)構(gòu)都針對個人數(shù)據(jù)實(shí)施法律，對違規(guī)行為處以巨額罰款。這些法律要求保護(hù)數(shù)據(jù)，這也是無法普遍訪問 PII 數(shù)據(jù)的原因之一。 

數(shù)據(jù)可發(fā)現(xiàn)性挑戰(zhàn)

由于現(xiàn)代數(shù)據(jù)平臺托管來自多個來源的大量數(shù)據(jù)，因此很難找到正確的數(shù)據(jù)源。

為什么傳統(tǒng)技術(shù)不足以在現(xiàn)代保護(hù)數(shù)據(jù)？

傳統(tǒng)上，用戶通過應(yīng)用程序或自助服務(wù)門戶訪問數(shù)據(jù)。應(yīng)用程序通常具有明確定義的策略，但對于自助服務(wù)，數(shù)據(jù)是手動管理的并移動到數(shù)據(jù)倉庫或數(shù)據(jù)湖。之后，數(shù)據(jù)被劃分為各種角色，并由 OKTA 和 Active Directory 等角色管理工具進(jìn)行管理。

形成的組識別具有共同訪問要求的個人，以支持他們在組織中的角色的執(zhí)行。通過進(jìn)入組訪問數(shù)據(jù)，當(dāng)被分配到組時，訪問會批量打開。此方法未涵蓋的任何內(nèi)容都將用于臨時工作流。

但是，臨時訪問通常沒有得到很好的管理。無權(quán)訪問的用戶不知道該向誰請求什么。通常，IT有一個表單，用戶可以在其中請求訪問他們通過電子郵件或通過單個應(yīng)用程序搜索發(fā)現(xiàn)的數(shù)據(jù)集。用戶使用此表單編寫整個區(qū)域的訪問請求，或與另一個人的訪問權(quán)限相同的訪問請求。

現(xiàn)代數(shù)據(jù)訪問治理

通過數(shù)據(jù)治理制定的策略進(jìn)行自動化數(shù)據(jù)訪問管理的新興趨勢。數(shù)據(jù)訪問管理的現(xiàn)代方法使組織能夠通過完整的方法解決最持久的數(shù)據(jù)訪問管理挑戰(zhàn)。

現(xiàn)代數(shù)據(jù)訪問擴(kuò)展了傳統(tǒng)方法，以實(shí)現(xiàn)自動化、可發(fā)現(xiàn)性和簡化的臨時工作流程。這個過程是這樣工作的。需要構(gòu)建一個數(shù)據(jù)目錄，將數(shù)據(jù)分類為不同的組，根據(jù)分類設(shè)計訪問策略，并針對駐留在分類參數(shù)之外的請求使用臨時工作流。通過在數(shù)據(jù)層自動應(yīng)用的策略來管理訪問。

在數(shù)據(jù)目錄中集中元數(shù)據(jù)

第一步是創(chuàng)建一個集中的數(shù)據(jù)資產(chǎn)目錄。使用數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)攻擊可以輕松實(shí)現(xiàn)數(shù)據(jù)目錄，利用元數(shù)據(jù)來輕松發(fā)現(xiàn)，而不會暴露實(shí)際數(shù)據(jù)。用戶可以從許多有利位置搜索和了解生態(tài)系統(tǒng)中的數(shù)據(jù)，并在需要時請求訪問，這將路由到分配的工作流程以實(shí)現(xiàn)快速周轉(zhuǎn)，簡單、自動化且可擴(kuò)展。

數(shù)據(jù)分類的最佳實(shí)踐

下一步是對可能具有挑戰(zhàn)性的數(shù)據(jù)進(jìn)行分類。首先，有許多不同的應(yīng)用程序需要考慮，并且在這些應(yīng)用程序中有許多復(fù)雜的過程和策略。

其次，分類需要支持解決許多痛點(diǎn)的綜合訪問策略。不僅必須瀏覽各種單獨(dú)的應(yīng)用程序，還需要解決合規(guī)性、安全性和其他問題。

為了使組織能夠?qū)崿F(xiàn)這一點(diǎn)，可以探索數(shù)據(jù)分類的最佳實(shí)踐。第一步是水平劃分?jǐn)?shù)據(jù)。

此步驟相對容易，因?yàn)闄M向分類基于各種業(yè)務(wù)功能，例如銷售、人力資源、營銷和財務(wù)。如果還沒有一套命名約定，那么開發(fā)一個非常簡單。

下一步是對數(shù)據(jù)進(jìn)行垂直分類。這部分更具挑戰(zhàn)性。垂直分類旨在將數(shù)據(jù)劃分為各種分類類別，包括所有權(quán)、未分類數(shù)據(jù)、PII、機(jī)密、超級機(jī)密和公共。

由于要定義的數(shù)據(jù)太多，AI 用于根據(jù)現(xiàn)有的水平分類和預(yù)定義的屬性提供垂直分類。

每個分類都應(yīng)該有一個確定的訪問所有者，并且該位置應(yīng)該適合該分類。所有者負(fù)責(zé)設(shè)置訪問策略的參數(shù)。

根據(jù)分類配置和執(zhí)行策略

基于分類的訪問策略可以在基于強(qiáng)大訪問策略框架中的分類組的數(shù)據(jù)治理委員會會議中制定。很可能還需要工具來在數(shù)據(jù)倉庫或數(shù)據(jù)湖中配置此策略框架。

策略將側(cè)重于角色及其提供的特定權(quán)限。例如，銷售代表可能僅有權(quán)訪問未分類數(shù)據(jù)的元數(shù)據(jù)，但可以完全訪問分類 PII 的數(shù)據(jù)。可以為組織中的不同角色編寫盡可能多的策略。

跟蹤訪問策略的一種方法是制作一個訪問矩陣，顯示哪些角色可以與哪些分類進(jìn)行交互。訪問矩陣顯示組織的訪問策略，并增加了誰可以訪問哪些數(shù)據(jù)的透明度。來自營銷部門的賬單可以訪問標(biāo)記為“營銷一般受眾”、“營銷有限”、“銷售一般受眾”以及矩陣指示的任何其他分類的數(shù)據(jù)。

通過數(shù)據(jù)資產(chǎn)測繪工具，可以減少檢索數(shù)據(jù)所需時間和工作量。

用于連續(xù)分類的臨時工作流

每天都會創(chuàng)建新的文件和表格，為組織帶來更多未分類的數(shù)據(jù)。由于這個量，需要一個臨時工作流來識別這些新表、文件和報告，以發(fā)送給適當(dāng)?shù)娜艘源_認(rèn)分類。

結(jié)論

每個組織都是不同的，在訪問治理中處于不同的位置，具有獨(dú)特的處理、策略和程序。國外，其實(shí)也一直在做分類分級，只是他們的橫向分類與我們說的分類保持一致，而縱向分類則為我們的分級。根據(jù)業(yè)務(wù)形成分類，根據(jù)安全級別要求形成分級，只不過他們把這點(diǎn)通過縱向橫向分類來表述了，此前在讀這塊內(nèi)容時還是粗心了。?