Moderna dataplattformar fortsätter att växa i komplexitet för att möta de förändrade behoven hos datakonsumenter. Dataanalytiker och datavetare kräver snabbare åtkomst till data, men IT, säkerhet och styrning har fastnat och kan inte ta reda på hur man ger åtkomst till data på ett enkelt, säkert och standardiserat sätt över en mängd olika analysverktyg.
Enligt Gartner kommer faktiskt bara 20 procent av organisationer som investerar i informationsstyrning fram till 2022 att lyckas skala sina digitala verksamheter. Som ett resultat designar organisationer ramverk för dataåtkomst som gör det möjligt för dem att övervinna dataleveransutmaningen, bibehålla skalbarhet och säkerställa universella dataauktoriseringar för alla parter.
Varför moderna dataplattformar är så komplexa
Organisationer av alla storlekar fortsätter att utnyttja data för att bättre förstå sina kunder, uppnå konkurrensfördelar och förbättra operativ effektivitet. För att möta dessa behov är det viktigt med en företagsdataplattform som kan hantera komplexiteten i att hantera och använda data.
En av de största utmaningarna som dataplattformsteam står inför idag är hur man gör data universellt tillgänglig från det stora utbudet av olika lagringssystem (datasjöar, datalager, relationsdatabaser, etc.) samtidigt som man möter allt mer komplexa datastyrnings- och efterlevnadskrav på grund av framväxande integritetslagstiftning som GDPR, CCPA, etc.
Denna komplexitet förvärras av kopplingen mellan dataintressentgrupper: den tekniska dataplattformen och dataarkitekturteamen; centraliserad datasäkerhet och efterlevnad; datavetare och analytiker som sitter i de branscher som är chartrade med att generera insikter; och dataägare och förvaltare som ansvarar för att bygga nya dataprodukter.
Utan korrekt dataåtkomst och ett auktoriseringsramverk för att hjälpa till att automatisera processer kommer komplexiteten i att hantera kunddata och personligt identifierbar information (PII) avsevärt påverka produktiviteten och begränsa mängden tillgänglig data som kan användas.
Hur man etablerar molnbaserad datasäkerhet och regelefterlevnad
När dataintressenter inte är i linje, fastnar organisationer på sin dataleveransresa. Detta beror på att datakonsumenter måste kunna hitta rätt datauppsättning, förstå dess sammanhang, lita på dess kvalitet och få tillgång till den i det verktyg de väljer – samtidigt som datasäkerhets- och styrteamen måste lita på att de tillämpar rätt dataauktorisering och styrningspolicyer.
Att accelerera tiden till insikt på dataplattformar kräver ett solidt ramverk som inte bara möter behoven hos alla intressenter, utan också ger möjligheten att skala när systemen expanderar.
När du utformar eller utformar en lösning för att säkerställa ansvarsfull dataanvändning är det viktigt att utveckla ett universellt ramverk för dataauktorisering som inkluderar dessa sex nyckelfunktioner:
1. Utnyttja Attribut-Based Access Control (ABAC)
De flesta organisationer börjar skapa åtkomstkontrollpolicyer med hjälp av rollbaserad åtkomstkontroll (RBAC). Det här tillvägagångssättet är användbart för enkla användningsfall, men eftersom roller är manuella och i sig statiska, kräver varje nytt användningsfall att en ny roll skapas med nya behörigheter som ges till den användaren.
När dataplattformen växer i skala och komplexitet blir resultatet en smärtsam policymiljö som kallas “rollexplosion”. Dessutom har varje system sina egna standarder för att definiera och hantera behörigheter för roller, och RBAC är ofta begränsad till grovkornig åtkomst (t.ex. till en hel tabell eller fil).
Alternativt tillåter ABAC organisationer att definiera dynamiska dataauktoriseringspolicyer genom att utnyttja attribut från flera system för att fatta ett sammanhangsmedvetet beslut om varje individuell begäran om åtkomst.
ABAC, en superuppsättning av RBAC, kan stödja komplexiteten i detaljerade policykrav och utöka dataåtkomst till fler människor och användningsfall via tre huvudkategorier av attribut (användare, resurs och/eller miljö) som kan användas för att definiera policyer.
2. Genomför åtkomstpolicyer dynamiskt
De flesta befintliga lösningar för policytillämpning kräver fortfarande att flera kopior av varje datauppsättning underhålls, och kostnaden för att skapa och underhålla dessa kan snabbt öka. Att bara använda ABAC för att definiera policyer lindrar inte smärtan helt, särskilt när attributen utvärderas mot åtkomstpolicyn vid beslutstillfället. Detta beror på att de fortfarande pekar mot en statisk kopia.
När det krävande jobbet med att definiera attribut och policyer har slutförts, bör de tryckas ner till tillämpningsmotorn för att dynamiskt filtrera och transformera data genom att redigera en kolumn eller tillämpa datatransformationer som anonymisering, tokenisering, maskering eller till och med avancerade tekniker som t.ex. differentiell integritet.
Dynamisk tillämpning är nyckeln till att öka granulariteten i åtkomstpolicyer utan att öka komplexiteten i det övergripande datasystemet. Det är också nyckeln till att säkerställa att organisationen förblir starkt lyhörd för ändrade styrningskrav.
3. Skapa ett enhetligt metadatalager
Om ABAC är motorn som behövs för att driva skalbar, säker dataåtkomst är metadata motorns bränsle. Det ger insyn i vad och var för organisationens datauppsättningar och krävs för att konstruera attributbaserade åtkomstkontrollpolicyer. Ett rikare lager av metadata gör det också möjligt för organisationer att skapa mer detaljerade och relevanta åtkomstpolicyer med den.
Det finns fyra nyckelområden att tänka på när man utformar metadatalivscykeln:
- Tillgång: Hur kan vi möjliggöra sömlös åtkomst via API, för att utnyttja metadata för policybeslut?
- Enande: Hur kan vi skapa ett enhetligt metadatalager?
- Metadatadrift: Hur säkerställer vi att metadata är uppdaterad?
- Upptäckt: Hur kan vi upptäcka ny teknisk och affärsmässig metadata?
Utmaningen är att metadata, precis som data, vanligtvis finns på flera ställen i företaget och ägs av olika team. Varje analysmotor kräver sin egen tekniska metastore, medan ledningsteam upprätthåller affärssammanhang och klassificeringar inom en företagskatalog som Collibra eller Alation.
Därför måste organisationer sammanföra och förena sina metadata så att hela uppsättningen är tillgänglig i realtid för styrning och åtkomstkontroll. I grund och botten görs denna sammanslagning via ett abstrakt lager eftersom det skulle vara orimligt, och nästan omöjligt, att förvänta sig att ha metadata definierade på en enda plats.
Att förena metadata på en kontinuerlig basis etablerar en enda källa till sanning med avseende på data. Detta hjälper till att undvika “metadatadrift” eller “schemadrift” (alias inkonsekvens i datahantering) över tid och möjliggör effektiv datastyrning och affärsprocesser som dataklassificering eller taggning över hela organisationen. Det upprättar också en enhetlig datataxonomi, vilket gör dataupptäckt och åtkomst lättare för datakonsumenter.
Metadatahanteringsverktyg som använder artificiell intelligens för att automatisera delar av metadatalivscykeln är också användbara eftersom de kan utföra uppgifter som att identifiera känsliga datatyper och tillämpa lämplig dataklassificering, automatisera dataupptäckt och schemaslutningar och automatiskt detektera metadatadrift.
4. Aktivera Distributed Stewardship
Att skala säker dataåtkomst är inte bara en fråga om att skala olika typer av policyer och tillämpningsmetoder. Processen för politiskt beslutsfattande måste också kunna skalas, eftersom de tillgängliga typerna av data, och affärskraven som behövs för att utnyttja den, är så olika och komplexa.
På samma sätt som tillämpningsmotorn kan vara en flaskhals om den inte är korrekt utformad, kommer avsaknaden av en åtkomstmodell och användarupplevelse som gör det möjligt för icke-tekniska användare att hantera dessa policyer att komma i vägen för en organisations förmåga att skala åtkomstkontroll.
Effektiv dataåtkomsthantering bör sträva efter att omfatta alla beståndsdelars unika behov, inte hindra dem. Tyvärr kräver många åtkomsthanteringsverktyg komplex förändringshantering och utveckling av skräddarsydda processer och arbetsflöden för att vara effektiva. Företag måste tidigt fråga hur denna åtkomstmodell anpassar sig till deras organisation.
För att möjliggöra distribuerad förvaltning bör åtkomstsystemet stödja två nyckelområden. Delegera först hanteringen av data och åtkomstpolicyer till personer inom branschen (dataförvaltare och administratörer) som förstår data- eller styrningskraven och replikerar centraliserade styrningsstandarder över grupper i organisationen, och se sedan till att förändringar kan spridas konsekvent genom hela organisationen. organisationen.
5. Säkerställ enkel centraliserad revision
Att veta var känslig data finns, vem som har åtkomst till den och vem som har tillstånd att komma åt den är avgörande för att möjliggöra intelligenta åtkomstbeslut.
Detta beror på att redigering är en konsekvent utmaning för ledningsteam, eftersom det inte finns någon enskild standard för alla olika verktyg i den moderna företagsmiljön. Att sammanställa revisionsloggar över olika system så att ledningsteam kan svara på grundläggande frågor är smärtsamt och kan inte skalas.
Även ledningsteamet, trots att de har satt policyerna på toppnivå, har inget sätt att enkelt förstå om deras policyer upprätthålls vid tidpunkten för dataåtkomst och organisationens data faktiskt skyddas.
Centraliserad revision med ett konsekvent schema är avgörande för att generera rapporter om hur data används och kan möjliggöra automatiska dataintrångsvarningar genom en enda integration med företagets SIEM. Organisationer letar också efter lösningar som granskar loggscheman eftersom de gör det möjligt för ledningsteam att svara på granskningsfrågor, eftersom många logghanteringslösningar är mer fokuserade på applikationsloggar.
En annan övervägande är att investera i en grundläggande synlighetsmekanism tidigt i dataplattformsresan för att hjälpa dataförvaltare och ledningsteam att förstå dataanvändning och hjälpa till att visa värdet av plattformen. När företaget väl vet vilken data den har och hur folk använder den, kan teamen utforma effektivare åtkomstpolicyer kring det.
Leta slutligen efter en flexibel, API-driven arkitektur för att säkerställa att ramverket för åtkomstkontroll är framtidssäkert och kan anpassas till dataplattformens behov.
6. Framtidssäkra integrationer
Integrering med en organisations bredare miljö är en nyckelfaktor för varje framgångsrik åtkomstkontroll, eftersom dataplattformen sannolikt kommer att förändras över tiden i takt med att datakällor och verktyg utvecklas. På samma sätt måste ramverket för åtkomstkontroll vara anpassningsbart och stödja flexibla integrationer över dataväven.
En fördel med att använda ABAC för åtkomstkontroll är att attribut kan komma från befintliga system inom organisationen, förutsatt att attribut kan hämtas på ett prestanda sätt för att kunna fatta dynamiska policybeslut.
Att skapa en flexibel grund förhindrar också att organisationen behöver räkna ut hela arkitekturen från dag ett. Istället kan de börja med några viktiga verktyg och användningsfall och lägga till fler när de förstår hur organisationen använder data.
När allt kommer omkring är policyinsikt ett kontinuum och intressanta insikter sitter vid överlappningen av nyckelfrågor som vilken känslig data vi har? Vem kommer åt och varför? Vem ska ha tillgång?
Vissa organisationer väljer att fokusera på öppen källkod av denna anledning eftersom de har möjlighet att anpassa integrationer för att möta deras behov. En viktig faktor är dock att bygga och underhålla dessa integrationer snabbt kan bli ett heltidsjobb.
I det ideala scenariot bör dataplattformsteamet förbli magert och ha låga driftskostnader. Att investera tid i att konstruera och underhålla integrationer kommer sannolikt inte att ge differentiering till organisationen, särskilt med flera högkvalitativa integrationsverktyg som finns i ekosystemet.
Framgång med Universal Data Authorization
Som med alla stora initiativ är det viktigt att ta ett steg tillbaka och utnyttja en design-to-value-strategi när du försöker säkra dataåtkomst. Detta innebär att hitta de datadomäner med högst värde som behöver åtkomst till känsliga data och att aktivera eller avblockera dem först, samt att försöka etablera synlighet om hur data används idag för att prioritera åtgärder.
Organisationer gör betydande investeringar i sina dataplattformar för att låsa upp ny innovation; dock kommer dataansträngningar att fortsätta att blockeras på den sista milen utan ett underliggande ramverk.
Att skala säker, universell dataauktorisering kan vara en enorm möjliggörande av smidighet inom organisationen, men genom att utnyttja de sex principerna ovan kan organisationer säkerställa att de ligger före kurvan och utformar rätt underliggande ramverk som kommer att göra alla intressenter framgångsrika.