Dynamische Datenmaskierung: Das fehlende Puzzlestück in der DBaaS-Sicherheit

Effektive Zugriffskontrolle ist eine große Herausforderung in unternehmensweiten Data Warehouses, insbesondere bei Plattformen wie Snowflake, BigQuery und Redshift. Diese Data Warehouses zentralisieren große Mengen sensibler Daten, die ständig wachsen und sich weiterentwickeln, da Unternehmen sie für Analysen und Geschäftsausbau nutzen. Trotz dieser dynamischen Entwicklung sind Zugriffskontrollen auf Datenebene oft statisch – sofern sie überhaupt implementiert werden – und setzen diese kritischen Datenbestände potenziellen Sicherheitsrisiken aus.

Eine der am meisten gefragten Funktionen in einem datenzentrierten Sicherheitsmodell ist das dynamische Datenmaskieren. Die dynamische Maskierung verschleiert oder hasht automatisch sensible Daten, wie z. B. Finanzkontonummern, für unbefugte Benutzer, während sie Benutzern mit entsprechenden Zugriffsrechten die vollständige Sicht auf die Daten ermöglicht. Beispielsweise müssen Ihre Datenanalysten möglicherweise weiterhin teilweise Kaufdaten für Analysen einsehen, benötigen jedoch keinesfalls die tatsächlichen, identifizierbaren Kontonummern im Klartext.

Eine praxisnahe Fallstudie in Snowflake

Einer unserer Kunden hat kürzlich die Klassifizierung und Remediation-Workflows von Cyera genutzt, um sensible Daten in Snowflake automatisch zu maskieren. Hier ist eine Schritt-für-Schritt-Darstellung, wie sie dabei vorgegangen sind, die den End-to-End-Workflow in Aktion zeigt.

Hintergrund:

• Das Data Warehouse des Kunden speicherte Kundentransaktionsdaten häufig mit Kontonummern im Klartext.
• Als neue Datensätze hinzugefügt wurden, wurden diese Kontonummern häufig dem gesamten Data-Analytics-Team offengelegt, was Sicherheits- und Compliance-Risiken verursachte.
• Das Ziel: Kontonummern automatisch erkennen und die Daten maskieren, damit Datenanalysten nicht die vollständigen Kontonummern sehen können (stattdessen nur die letzten sechs Ziffern).

Maskierungsrichtlinie:

• Der Kunde hat eine benutzerdefinierte Maskierungsrichtlinie erstellt, um alle bis auf die letzten sechs Ziffern der Kontonummern zu maskieren. Nur die Lagerverwalter hatten die Berechtigung, die vollständigen Klartext-Kontonummern zu sehen.
• Traditionell verlassen sich Administratoren auf manuelle SQL-Befehle, um Maskierungsrichtlinien anzuwenden, zu ändern oder zu entfernen – ein ineffizienter und fehleranfälliger Prozess, der mit den sich ständig verändernden Datenlandschaften kaum Schritt halten kann.

Datenklassifizierung über Cyera:

• Cyera hat die Snowflake-Datenbank gescannt und Spalten mit Kontonummern im Klartext identifiziert.
• Der Kunde hat einen Workflow konfiguriert, um die von Cyera erkannte Klassifizierung zu übernehmen und eine dynamische Maskierungsrichtlinie auf Spalten mit Kontonummern anzuwenden.
• Während der anfängliche Anwendungsfall dieses Kunden einfach war, lernt Cyeras fortschrittliche Klassifizierungs-Engine kontinuierlich die Umgebung, um neue Datentypen automatisch zu erkennen und zu maskieren.

Dynamische Anwendung:

• Dieser Workflow wird ausgeführt, sobald neue Daten gescannt werden. Anstatt Maskierungsrichtlinien manuell zu identifizieren und anzuwenden, verlässt sich der Kunde auf Cyera, um neue Spalten mit Kontonummern zu verfolgen, sobald Daten in Snowflake erstellt werden. Dadurch entfällt die Notwendigkeit manueller Eingriffe.

Wichtigste Erkenntnis:

• Mit Cyera können Organisationen sensible Daten dynamisch identifizieren, die richtigen Maskierungsrichtlinien zuweisen und diese ohne endlosen manuellen Aufwand aktuell halten. Dadurch entfällt eine große operative Belastung und es wird sichergestellt, dass neue Daten (z. B. neue Spalten, Tabellen oder Datenbanken), die sensible Informationen enthalten, automatisch maskiert werden.

Aktivierung der dynamischen Behebung im großen Maßstab

Während dies das Maskieren von Kontonummern in Snowflake hervorhebt, ist es Teil eines größeren Sanierungsrahmens, den wir bei Cyera entwickeln. Zusätzlich zum Maskieren können Organisationen unsere Plattform für Folgendes nutzen:

• Datenklassifizierung & -kennzeichnung
  
  • Cyera’s automatisierte Klassifizierung versieht Daten mit Tags, um sicherzustellen, dass alle sensiblen Daten korrekt gekennzeichnet und verwaltet werden, damit sie später dynamisch maskiert werden können.
• Dynamische Zugriffskontrollen
  
  • Cyera's Klassifizierungs-Engine hilft dabei, Least-Privilege-Richtlinien basierend auf der aktuellen Datensensitivität durchzusetzen. Cyera bietet Sicherheits- und Compliance-Teams kontinuierliche Transparenz darüber, wo sich sensible Daten befinden, wie sie genutzt werden und wer Zugriff darauf hat. Unsere Plattform kann Zugriffskontrollen automatisieren, um übermäßige Berechtigungen zu minimieren und sicherzustellen, dass sensible Informationen geschützt bleiben.
• Durchsetzung der Compliance
  
  • Cyera aktualisiert Berechtigungen für neue oder umklassifizierte Daten automatisch, was entscheidend ist, um strenge regulatorische Standards wie DORA, DSGVO und HIPAA einzuhalten.

Diese ermöglichen Vorteile, wie zum Beispiel:

• Reduzierte Überbelichtung: Benutzer und Rollen haben keine weitreichenden Berechtigungen mehr, die sie nicht benötigen.
• Schnelle, automatisierte Behebung: Kein manuelles Überprüfen oder komplexes Scripting mehr, um sensible Spalten zu maskieren.
• Kontinuierliche Sicherheit: Wenn sich Daten ändern oder neue Daten hinzukommen, aktualisiert Cyera die Klassifizierung, Sensitivität und Richtlinien entsprechend, sodass Ihre Sicherheitslage niemals statisch ist.

Schützen Sie Ihre Daten, nicht nur den Perimeter

Daten sind der neue Perimeter. Mit zunehmender Cloud-Nutzung versagen herkömmliche netzwerk- oder anwendungsbasierte Zugriffskontrollen dabei, den unbefugten Zugriff auf sensible Daten zu verhindern. Moderne Bedrohungsakteure können Perimeter-Schutzmaßnahmen leicht durch Phishing-Angriffe, kompromittierte Zugangsdaten oder sogar böswillige Insider umgehen.

Anwendungsbasierte Zugriffskontrollen basieren häufig auf statischen Berechtigungen und bieten keine Einsicht in zugrunde liegende Daten, wodurch sie bei der Abwehr von Kompromittierung von Zugangsdaten und Insider-Bedrohungen unwirksam sind.

Um dem entgegenzuwirken, verlagern Organisationen ihren Fokus von der Frage „Auf welche Netzwerkressourcen sollte ein Benutzer zugreifen?“ hin zu „Auf welche spezifischen Daten und unter welchen Bedingungen sollte ein Benutzer zugreifen dürfen?“

Heutzutage erfordert die Sicherung von Daten im Ruhezustand und während der Übertragung sowie die Kontrolle darüber, wer Zugriff darauf hat, einen datenorientierten Ansatz. Die Plattform von Cyera bietet eine durchgängige Automatisierung – von der Klassifizierung über Zugriffskontrollen, dynamische Maskierung und mehr – und stellt so sicher, dass sich Ihre Teams auf Innovation konzentrieren können, ohne dabei Compliance oder Sicherheit zu vernachlässigen.

Fordern Sie noch heute eine Demo an, um die Cyera-Plattform kennenzulernen.