Dynamische Datenmaskierung: Das fehlende Puzzleteil in der DBaaS-Sicherheit

Eine effektive Zugriffskontrolle stellt eine erhebliche Herausforderung in Enterprise-Data-Warehouses dar, insbesondere in solchen, die auf Plattformen wie … basieren. SchneeflockeBigQuery und Redshift sind Data-Warehouses, die große Mengen sensibler Daten zentral speichern. Diese Daten wachsen und entwickeln sich stetig weiter, da Unternehmen sie für Analysen und Geschäftsausweitung nutzen. Trotz dieser Dynamik sind die Zugriffskontrollen auf Datenebene oft statisch – sofern sie überhaupt implementiert sind – wodurch diese kritischen Datenbestände potenziellen Sicherheitsrisiken ausgesetzt sind.
Eine der gefragtesten Funktionen in einem datenzentrierten Sicherheitsmodell ist die dynamische Datenmaskierung. Sie verschleiert oder hasht automatisch sensible Daten wie Finanzkontonummern vor unbefugten Benutzern und ermöglicht gleichzeitig volle Transparenz für diejenigen mit den entsprechenden Zugriffsrechten. Beispielsweise benötigen Ihre Datenanalysten möglicherweise weiterhin einen Teil der Kaufdaten für ihre Analysen, aber sicherlich nicht die tatsächlichen, identifizierbaren Kontonummern im Klartext.
Eine Fallstudie aus der Praxis zum Thema Schneeflocke
Einer unserer Kunden hat kürzlich die Klassifizierungslösung von Cyera verwendet und Sanierungsabläufe Um sensible Daten in Snowflake automatisch zu maskieren, zeigen wir Ihnen Schritt für Schritt, wie sie vorgegangen sind und wie der gesamte Workflow in der Praxis abläuft.
Hintergrund:
- Das Data Warehouse des Kunden speicherte häufig Kundentransaktionsdaten mit Kontonummern im Klartext.
- Da ständig neue Datensätze hinzugefügt wurden, wurden diese Kontonummern häufig dem gesamten Datenanalyseteam zugänglich gemacht, was Sicherheits- und Compliance-Risiken mit sich brachte.
- Das Ziel: Kontonummern automatisch erkennen und die Daten so maskieren, dass Datenanalysten nicht die vollständigen Kontonummern sehen können (sondern nur die letzten sechs Ziffern).
Maskenpflicht:
- Der Kunde definierte eine benutzerdefinierte Maskierungsrichtlinie, um alle Ziffern der Kontonummern außer den letzten sechs zu maskieren. Nur die Lageradministratoren hatten die Berechtigung, die vollständigen Kontonummern im Klartext einzusehen.
- Traditionell verlassen sich Administratoren auf manuelle SQL-Befehle, um Maskierungsrichtlinien anzuwenden, zu ändern oder zu entfernen – ein ineffizienter und fehleranfälliger Prozess, der mit den sich ständig weiterentwickelnden Datenlandschaften kaum Schritt halten kann.
Datenklassifizierung mit Cyera:
- Cyera durchsuchte die Snowflake-Datenbank und identifizierte Spalten, die Kontonummern im Klartext enthielten.
- Der Kunde hat einen Workflow konfiguriert, um die von Cyera ermittelte Klassifizierung zu übernehmen und anzuwenden. dynamische Maskierungsrichtlinie in Spalten, die Kontonummern enthalten.
- Während der ursprüngliche Anwendungsfall dieses Kunden unkompliziert war, lernt die fortschrittliche Klassifizierungs-Engine von Cyera kontinuierlich die Umgebung kennen, um neue Datentypen automatisch zu erkennen und zu maskieren.
Dynamisch Anwendung:
- Dieser Workflow wird beim Scannen neuer Daten ausgeführt. Anstatt Maskierungsrichtlinien manuell zu identifizieren und anzuwenden, verlässt sich der Kunde auf Cyera, um neue Spalten mit Kontonummern zu verfolgen, sobald Daten in Snowflake erstellt werden. Dadurch entfällt die Notwendigkeit manueller Eingriffe.
Wichtigste Erkenntnis:
- Mit Cyera können Unternehmen sensible Daten dynamisch identifizieren, die passenden Maskierungsrichtlinien zuweisen und diese ohne aufwändige manuelle Arbeit aktuell halten. Dies reduziert den operativen Aufwand erheblich und stellt sicher, dass neue Daten (z. B. neue Spalten, Tabellen oder Datenbanken), die sensible Informationen enthalten, automatisch maskiert werden.
Ermöglichung dynamischer Sanierungsmaßnahmen in großem Umfang
Dies verdeutlicht zwar die Problematik der Kontonummernmaskierung in Snowflake, ist aber Teil eines umfassenderen Lösungsansatzes, den wir bei Cyera entwickeln. Neben der Maskierung können Unternehmen unsere Plattform auch für Folgendes nutzen:
- Datenklassifizierung und -verschlagwortung
- Cyeras automatisierte Klassifizierungs-Tags kennzeichnen Daten, um sicherzustellen, dass alle sensiblen Daten korrekt gekennzeichnet und verwaltet werden und später dynamisch maskiert werden können.
- Dynamische Zugriffskontrollen
- Die Klassifizierungs-Engine von Cyera unterstützt die Durchsetzung von Least-Privilege-Richtlinien basierend auf der Datensensibilität in Echtzeit. Cyera bietet Sicherheits- und Compliance-Teams kontinuierliche Transparenz darüber, wo sensible Daten gespeichert sind, wie sie verwendet werden und wer Zugriff darauf hat. Unsere Plattform kann Zugriffskontrollen automatisieren, um übermäßigen Zugriff zu minimieren und die Sicherheit sensibler Informationen zu gewährleisten.
- Durchsetzung der Einhaltung
- Cyera aktualisiert automatisch die Berechtigungen für neue oder neu klassifizierte Daten, was für die Einhaltung strenger regulatorischer Standards wie DORA, DSGVO und HIPAA von entscheidender Bedeutung ist.
Dadurch werden Vorteile ermöglicht, wie zum Beispiel:
- Reduzierte Überbeanspruchung: Benutzer und Rollen verfügen nicht mehr über weitreichende Berechtigungen, die sie nicht benötigen.
- Schnelle, automatisierte Behebung: Manuelle Überprüfung oder komplexe Skripte zum Maskieren sensibler Spalten gehören der Vergangenheit an.
- Kontinuierliche Sicherheit: Sobald sich Daten ändern oder neue Daten hinzukommen, aktualisiert Cyera automatisch Klassifizierung, Sensibilität und Richtlinien und gewährleistet so, dass Ihre Sicherheitslage niemals statisch ist.
Sichern Sie Ihre Daten, nicht nur die Netzwerkperimeter.
Daten bilden den neuen Perimeter. Mit zunehmender Verbreitung von Cloud-Lösungen reichen herkömmliche netzwerk- oder anwendungsbasierte Zugriffskontrollen nicht mehr aus, um unberechtigten Zugriff auf sensible Daten zu verhindern. Moderne Angreifer können Perimeterverteidigungen durch Phishing-Angriffe, kompromittierte Zugangsdaten oder sogar durch böswillige Insider leicht umgehen.
Anwendungsbasierte Zugriffskontrollen basieren oft auf statischen Berechtigungen und bieten keinen Einblick in die zugrunde liegenden Daten, wodurch sie gegen Angriffe auf Anmeldeinformationen und Insiderbedrohungen unwirksam sind.
Um dem zu begegnen, verlagern Organisationen ihren Fokus von der Frage „Auf welche Netzwerkressourcen sollte ein Benutzer zugreifen können?“ hin zu „Auf welche spezifischen Daten und unter welchen Bedingungen sollte ein Benutzer zugreifen können?“
Die Sicherung von Daten im Ruhezustand und während der Übertragung sowie die Kontrolle der Zugriffsrechte erfordern heute einen datenzentrierten Ansatz. Die Plattform von Cyera bietet durchgängige Automatisierung – von der Klassifizierung über Zugriffskontrollen und dynamische Maskierung bis hin zu weiteren Prozessen – und stellt sicher, dass sich Ihre Teams auf Innovationen konzentrieren können, ohne Kompromisse bei Compliance oder Sicherheit einzugehen.
Fordern Sie noch heute eine Demo an. um die Cyera-Plattform kennenzulernen.




