?想象一下，一位同事登錄公司的 HR 門戶查看他的福利并可以看到其他人的薪水！！什么？不用擔(dān)心，這不會(huì)發(fā)生，因?yàn)檫@些應(yīng)用程序是利用多年業(yè)務(wù)流程的專業(yè)知識(shí)構(gòu)建的。這些過(guò)程決定了誰(shuí)可以看到和編輯那里的數(shù)據(jù)。        突然間，這些數(shù)據(jù)被帶入數(shù)據(jù)湖或數(shù)據(jù)倉(cāng)庫(kù)。如何在這里設(shè)置數(shù)據(jù)訪問(wèn)治理是一個(gè)巨大的挑戰(zhàn)。

組織必須保護(hù)數(shù)據(jù)以防止不良事件發(fā)生，并仍可用于做出明智的決策。及時(shí)向正確的人提供對(duì)正確數(shù)據(jù)的訪問(wèn)權(quán)限的機(jī)制稱為數(shù)據(jù)訪問(wèn)治理。

什么是數(shù)據(jù)訪問(wèn)治理？

用戶可以通過(guò)多種渠道訪問(wèn)數(shù)據(jù)。可以通過(guò)應(yīng)用程序的 UI、直接從數(shù)據(jù)庫(kù)或數(shù)據(jù)倉(cāng)庫(kù)訪問(wèn)，或者在某些情況下，可以在數(shù)據(jù)仍在傳輸中時(shí)訪問(wèn)。數(shù)據(jù)訪問(wèn)治理使用戶能夠控制、保護(hù)和審計(jì)數(shù)據(jù)的使用，以維護(hù)和確保隱私，還保護(hù)組織的專有信息和知識(shí)產(chǎn)權(quán)。

隨著組織努力增加分析，以他們可以使用的格式向各種項(xiàng)目團(tuán)隊(duì)、高管和分析師提供數(shù)據(jù)至關(guān)重要。但是，授予此訪問(wèn)權(quán)限時(shí)會(huì)出現(xiàn)許多常見(jiàn)挑戰(zhàn)，以及數(shù)據(jù)無(wú)法免費(fèi)獲得的復(fù)雜原因。

數(shù)據(jù)平臺(tái)之前的數(shù)據(jù)訪問(wèn)挑戰(zhàn)

孤立的數(shù)據(jù)

在一個(gè)組織中，數(shù)據(jù)通常存在于各種不同的系統(tǒng)中，用于不同的目的。例如，一個(gè)組織可以針對(duì)不同的用例使用多個(gè)銷售管理系統(tǒng)，如 SalesForce、SalesLoft 等。當(dāng)任何人需要數(shù)據(jù)時(shí)，他們不確定哪個(gè)應(yīng)用程序可能擁有什么數(shù)據(jù)，通常被稱為數(shù)據(jù)孤島。如果用戶不知道要在其中找到數(shù)據(jù)的應(yīng)用程序，這些孤島使他們很難找到需要的數(shù)據(jù)。通常，訪問(wèn)應(yīng)用程序或倉(cāng)庫(kù)中的信息需要數(shù)周甚至數(shù)月的時(shí)間，延誤使項(xiàng)目陷入停頓并減緩創(chuàng)新。

數(shù)據(jù)量和技術(shù)限制

有時(shí)，應(yīng)用程序只能顯示一定量的數(shù)據(jù)。因此，在與應(yīng)用程序交互時(shí)，用戶界面可能會(huì)限制數(shù)據(jù)集的視圖。例如，一個(gè)應(yīng)用程序可能顯示數(shù)百個(gè)數(shù)據(jù)集，但特定項(xiàng)目的聚合數(shù)據(jù)可能達(dá)到數(shù)百萬(wàn)甚至數(shù)十億個(gè)數(shù)據(jù)集。

要解決這些限制，用戶必須咨詢數(shù)據(jù)庫(kù)管理員。通常，數(shù)據(jù)庫(kù)管理員必須在授予訪問(wèn)權(quán)限之前對(duì)所有機(jī)密數(shù)據(jù)進(jìn)行模糊處理，但如果沒(méi)有適當(dāng)?shù)淖詣?dòng)化過(guò)程，這個(gè)過(guò)程非常耗費(fèi)人力。

權(quán)力斗爭(zhēng)

數(shù)據(jù)的力量非常強(qiáng)大，但要保持?jǐn)?shù)據(jù)的干凈和有條理，需要付出大量的努力，需要謹(jǐn)慎和周全考慮。因此，一些應(yīng)用程序所有者不愿將其優(yōu)化的數(shù)據(jù)交給其他團(tuán)隊(duì)，就不足為奇了。

對(duì)數(shù)據(jù)訪問(wèn)的權(quán)力斗爭(zhēng)可能會(huì)給組織帶來(lái)巨大的問(wèn)題，因?yàn)樵谶@種情況下，不會(huì)提供有關(guān)數(shù)據(jù)的支持文檔和信息。這一挑戰(zhàn)提醒我們，培養(yǎng)協(xié)作文化與鼓勵(lì)數(shù)據(jù)訪問(wèn)實(shí)踐同樣重要。

數(shù)據(jù)平臺(tái)的興起

為了克服孤立的數(shù)據(jù)和技術(shù)挑戰(zhàn)，組織開(kāi)始創(chuàng)建數(shù)據(jù)平臺(tái)，通常是數(shù)據(jù)湖或數(shù)據(jù)倉(cāng)庫(kù)。要填充數(shù)據(jù)湖，需要使用大數(shù)據(jù)技術(shù)從各種應(yīng)用程序中移動(dòng)所有數(shù)據(jù)。相反，只需將特定用例的選定關(guān)鍵數(shù)據(jù)移動(dòng)到數(shù)據(jù)倉(cāng)庫(kù)中。隨著組織創(chuàng)建數(shù)據(jù)倉(cāng)庫(kù)和湖泊，出現(xiàn)了各種訪問(wèn)挑戰(zhàn)。

數(shù)據(jù)平臺(tái)之后的數(shù)據(jù)訪問(wèn)管理挑戰(zhàn)

復(fù)雜的訪問(wèn)權(quán)限管理

組織可以使用數(shù)據(jù)湖或各種類似的平臺(tái)來(lái)聚合精選數(shù)據(jù)，以克服孤立的數(shù)據(jù)和技術(shù)限制。但是，將所有應(yīng)用程序的所有權(quán)限轉(zhuǎn)移到數(shù)據(jù)湖中并不容易。

基于角色的權(quán)限是為每個(gè)應(yīng)用程序設(shè)計(jì)的，通常在使用后經(jīng)過(guò)多年的迭代。從本質(zhì)上講，在數(shù)據(jù)湖或倉(cāng)庫(kù)中組合所有內(nèi)容的實(shí)用性極具挑戰(zhàn)性。

隱私合規(guī)和監(jiān)管監(jiān)督

組織必須遵守隱私合規(guī)法規(guī)和信息安全實(shí)踐，以使用戶能夠識(shí)別風(fēng)險(xiǎn)領(lǐng)域并實(shí)施額外的措施來(lái)保護(hù)機(jī)密數(shù)據(jù)。組織外的許多監(jiān)管機(jī)構(gòu)都針對(duì)個(gè)人數(shù)據(jù)實(shí)施法律，對(duì)違規(guī)行為處以巨額罰款。這些法律要求保護(hù)數(shù)據(jù)，這也是無(wú)法普遍訪問(wèn) PII 數(shù)據(jù)的原因之一。 

數(shù)據(jù)可發(fā)現(xiàn)性挑戰(zhàn)

由于現(xiàn)代數(shù)據(jù)平臺(tái)托管來(lái)自多個(gè)來(lái)源的大量數(shù)據(jù)，因此很難找到正確的數(shù)據(jù)源。

為什么傳統(tǒng)技術(shù)不足以在現(xiàn)代保護(hù)數(shù)據(jù)？

傳統(tǒng)上，用戶通過(guò)應(yīng)用程序或自助服務(wù)門戶訪問(wèn)數(shù)據(jù)。應(yīng)用程序通常具有明確定義的策略，但對(duì)于自助服務(wù)，數(shù)據(jù)是手動(dòng)管理的并移動(dòng)到數(shù)據(jù)倉(cāng)庫(kù)或數(shù)據(jù)湖。之后，數(shù)據(jù)被劃分為各種角色，并由 OKTA 和 Active Directory 等角色管理工具進(jìn)行管理。

形成的組識(shí)別具有共同訪問(wèn)要求的個(gè)人，以支持他們?cè)诮M織中的角色的執(zhí)行。通過(guò)進(jìn)入組訪問(wèn)數(shù)據(jù)，當(dāng)被分配到組時(shí)，訪問(wèn)會(huì)批量打開(kāi)。此方法未涵蓋的任何內(nèi)容都將用于臨時(shí)工作流。

但是，臨時(shí)訪問(wèn)通常沒(méi)有得到很好的管理。無(wú)權(quán)訪問(wèn)的用戶不知道該向誰(shuí)請(qǐng)求什么。通常，IT有一個(gè)表單，用戶可以在其中請(qǐng)求訪問(wèn)他們通過(guò)電子郵件或通過(guò)單個(gè)應(yīng)用程序搜索發(fā)現(xiàn)的數(shù)據(jù)集。用戶使用此表單編寫整個(gè)區(qū)域的訪問(wèn)請(qǐng)求，或與另一個(gè)人的訪問(wèn)權(quán)限相同的訪問(wèn)請(qǐng)求。

現(xiàn)代數(shù)據(jù)訪問(wèn)治理

通過(guò)數(shù)據(jù)治理制定的策略進(jìn)行自動(dòng)化數(shù)據(jù)訪問(wèn)管理的新興趨勢(shì)。數(shù)據(jù)訪問(wèn)管理的現(xiàn)代方法使組織能夠通過(guò)完整的方法解決最持久的數(shù)據(jù)訪問(wèn)管理挑戰(zhàn)。

現(xiàn)代數(shù)據(jù)訪問(wèn)擴(kuò)展了傳統(tǒng)方法，以實(shí)現(xiàn)自動(dòng)化、可發(fā)現(xiàn)性和簡(jiǎn)化的臨時(shí)工作流程。這個(gè)過(guò)程是這樣工作的。需要構(gòu)建一個(gè)數(shù)據(jù)目錄，將數(shù)據(jù)分類為不同的組，根據(jù)分類設(shè)計(jì)訪問(wèn)策略，并針對(duì)駐留在分類參數(shù)之外的請(qǐng)求使用臨時(shí)工作流。通過(guò)在數(shù)據(jù)層自動(dòng)應(yīng)用的策略來(lái)管理訪問(wèn)。

在數(shù)據(jù)目錄中集中元數(shù)據(jù)

第一步是創(chuàng)建一個(gè)集中的數(shù)據(jù)資產(chǎn)目錄。使用數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)攻擊可以輕松實(shí)現(xiàn)數(shù)據(jù)目錄，利用元數(shù)據(jù)來(lái)輕松發(fā)現(xiàn)，而不會(huì)暴露實(shí)際數(shù)據(jù)。用戶可以從許多有利位置搜索和了解生態(tài)系統(tǒng)中的數(shù)據(jù)，并在需要時(shí)請(qǐng)求訪問(wèn)，這將路由到分配的工作流程以實(shí)現(xiàn)快速周轉(zhuǎn)，簡(jiǎn)單、自動(dòng)化且可擴(kuò)展。

數(shù)據(jù)分類的最佳實(shí)踐

下一步是對(duì)可能具有挑戰(zhàn)性的數(shù)據(jù)進(jìn)行分類。首先，有許多不同的應(yīng)用程序需要考慮，并且在這些應(yīng)用程序中有許多復(fù)雜的過(guò)程和策略。

其次，分類需要支持解決許多痛點(diǎn)的綜合訪問(wèn)策略。不僅必須瀏覽各種單獨(dú)的應(yīng)用程序，還需要解決合規(guī)性、安全性和其他問(wèn)題。

為了使組織能夠?qū)崿F(xiàn)這一點(diǎn)，可以探索數(shù)據(jù)分類的最佳實(shí)踐。第一步是水平劃分?jǐn)?shù)據(jù)。

此步驟相對(duì)容易，因?yàn)闄M向分類基于各種業(yè)務(wù)功能，例如銷售、人力資源、營(yíng)銷和財(cái)務(wù)。如果還沒(méi)有一套命名約定，那么開(kāi)發(fā)一個(gè)非常簡(jiǎn)單。

下一步是對(duì)數(shù)據(jù)進(jìn)行垂直分類。這部分更具挑戰(zhàn)性。垂直分類旨在將數(shù)據(jù)劃分為各種分類類別，包括所有權(quán)、未分類數(shù)據(jù)、PII、機(jī)密、超級(jí)機(jī)密和公共。

由于要定義的數(shù)據(jù)太多，AI 用于根據(jù)現(xiàn)有的水平分類和預(yù)定義的屬性提供垂直分類。

每個(gè)分類都應(yīng)該有一個(gè)確定的訪問(wèn)所有者，并且該位置應(yīng)該適合該分類。所有者負(fù)責(zé)設(shè)置訪問(wèn)策略的參數(shù)。

根據(jù)分類配置和執(zhí)行策略

基于分類的訪問(wèn)策略可以在基于強(qiáng)大訪問(wèn)策略框架中的分類組的數(shù)據(jù)治理委員會(huì)會(huì)議中制定。很可能還需要工具來(lái)在數(shù)據(jù)倉(cāng)庫(kù)或數(shù)據(jù)湖中配置此策略框架。

策略將側(cè)重于角色及其提供的特定權(quán)限。例如，銷售代表可能僅有權(quán)訪問(wèn)未分類數(shù)據(jù)的元數(shù)據(jù)，但可以完全訪問(wèn)分類 PII 的數(shù)據(jù)。可以為組織中的不同角色編寫盡可能多的策略。

跟蹤訪問(wèn)策略的一種方法是制作一個(gè)訪問(wèn)矩陣，顯示哪些角色可以與哪些分類進(jìn)行交互。訪問(wèn)矩陣顯示組織的訪問(wèn)策略，并增加了誰(shuí)可以訪問(wèn)哪些數(shù)據(jù)的透明度。來(lái)自營(yíng)銷部門的賬單可以訪問(wèn)標(biāo)記為“營(yíng)銷一般受眾”、“營(yíng)銷有限”、“銷售一般受眾”以及矩陣指示的任何其他分類的數(shù)據(jù)。

通過(guò)數(shù)據(jù)資產(chǎn)測(cè)繪工具，可以減少檢索數(shù)據(jù)所需時(shí)間和工作量。

用于連續(xù)分類的臨時(shí)工作流

每天都會(huì)創(chuàng)建新的文件和表格，為組織帶來(lái)更多未分類的數(shù)據(jù)。由于這個(gè)量，需要一個(gè)臨時(shí)工作流來(lái)識(shí)別這些新表、文件和報(bào)告，以發(fā)送給適當(dāng)?shù)娜艘源_認(rèn)分類。

結(jié)論

每個(gè)組織都是不同的，在訪問(wèn)治理中處于不同的位置，具有獨(dú)特的處理、策略和程序。國(guó)外，其實(shí)也一直在做分類分級(jí)，只是他們的橫向分類與我們說(shuō)的分類保持一致，而縱向分類則為我們的分級(jí)。根據(jù)業(yè)務(wù)形成分類，根據(jù)安全級(jí)別要求形成分級(jí)，只不過(guò)他們把這點(diǎn)通過(guò)縱向橫向分類來(lái)表述了，此前在讀這塊內(nèi)容時(shí)還是粗心了。?