Enmascaramiento dinámico de datos: la pieza que faltaba en la seguridad de DBaaS.

El control de acceso efectivo es un desafío importante en los almacenes de datos empresariales, especialmente aquellos construidos sobre plataformas como Copo de nieveBigQuery y Redshift son algunos ejemplos de almacenes de datos que centralizan grandes volúmenes de información confidencial, la cual crece y evoluciona continuamente a medida que las organizaciones la utilizan para análisis y expansión empresarial. A pesar de esta naturaleza dinámica, los controles de acceso a los datos suelen ser estáticos —si es que se implementan—, lo que expone estos repositorios de datos críticos a posibles riesgos de seguridad.

Una de las funcionalidades más demandadas en un modelo de seguridad centrado en datos es el enmascaramiento dinámico de datos. Esta función oculta o cifra automáticamente los datos confidenciales, como los números de cuenta financiera, impidiendo que usuarios no autorizados accedan a ellos sin autorización, al tiempo que permite una visibilidad completa para quienes tienen los permisos de acceso adecuados. Por ejemplo, es posible que sus analistas de datos necesiten consultar información parcial sobre compras para realizar análisis, pero sin duda no necesitan los números de cuenta reales e identificables en texto plano.

Un estudio de caso real en Snowflake

Uno de nuestros clientes utilizó recientemente la clasificación de Cyera y flujos de trabajo de remediación Para enmascarar automáticamente los datos confidenciales en Snowflake, aquí te mostramos paso a paso cómo lo hicieron, ilustrando el flujo de trabajo completo en acción.

Fondo:

  • El almacén de datos del cliente solía almacenar los datos de las transacciones de los clientes con los números de cuenta en texto plano.
  • A medida que se añadían nuevos conjuntos de datos, estos números de cuenta quedaban expuestos con frecuencia a todo el equipo de análisis de datos, lo que generaba riesgos de seguridad y cumplimiento normativo.
  • El objetivo: detectar automáticamente los números de cuenta y enmascarar los datos para evitar que los analistas de datos vean los números de cuenta completos (en su lugar, solo los últimos seis dígitos).

Política de uso de mascarillas:

  • El cliente definió una política de enmascaramiento personalizada para ocultar todos los dígitos de los números de cuenta excepto los últimos seis. Solo los administradores del almacén tenían permiso para ver los números de cuenta completos en texto plano.
  • Tradicionalmente, los administradores recurren a comandos SQL manuales para aplicar, modificar o eliminar políticas de enmascaramiento, un proceso ineficiente y propenso a errores que tiene dificultades para seguir el ritmo de los entornos de datos en constante evolución.

Clasificación de datos mediante Cyera:

  • Cyera analizó la base de datos de Snowflake e identificó columnas que contenían números de cuenta en texto plano.
  • El cliente configuró un flujo de trabajo para tomar la clasificación identificada por Cyera y aplicar una política de enmascaramiento dinámico a columnas que contienen números de cuenta.
  • Si bien el caso de uso inicial de este cliente era sencillo, el motor de clasificación avanzado de Cyera aprende continuamente del entorno para detectar y enmascarar automáticamente nuevos tipos de datos.

Dinámica Solicitud:

  • Este flujo de trabajo se ejecuta a medida que se escanean los nuevos datos. En lugar de identificar y aplicar manualmente las políticas de enmascaramiento, el cliente confía en Cyera para realizar un seguimiento de las nuevas columnas que contienen números de cuenta a medida que se crean los datos en Snowflake, eliminando la necesidad de intervención manual.

Conclusión principal:

  • Con Cyera, las organizaciones pueden identificar dinámicamente los datos confidenciales, aplicar las políticas de enmascaramiento adecuadas y mantenerlas actualizadas sin necesidad de un trabajo manual interminable. Esto elimina una importante carga operativa y garantiza que, si los nuevos datos (por ejemplo, nuevas columnas, tablas o bases de datos) incluyen información confidencial, esta se enmascare automáticamente.

Facilitando la remediación dinámica a gran escala.

Si bien esto pone de manifiesto el enmascaramiento de números de cuenta en Snowflake, forma parte de un marco de remediación más amplio que estamos desarrollando en Cyera. Además del enmascaramiento, las organizaciones pueden aprovechar nuestra plataforma para:

  • Clasificación y etiquetado de datos
    • El sistema de clasificación automatizada de Cyera etiqueta los datos para garantizar que toda la información confidencial esté correctamente etiquetada y controlada, para luego enmascararla dinámicamente.
  • Controles de acceso dinámicos
    • El motor de clasificación de Cyera ayuda a aplicar políticas de privilegios mínimos basadas en la sensibilidad de los datos en tiempo real. Cyera proporciona a los equipos de seguridad y cumplimiento una visibilidad continua sobre dónde residen los datos confidenciales, cómo se utilizan y quién tiene acceso a ellos. Nuestra plataforma puede automatizar los controles de acceso para minimizar los permisos excesivos y garantizar la seguridad de la información confidencial.
  • Aplicación de la normativa
    • Cyera actualiza automáticamente los permisos para los datos nuevos o reclasificados, lo cual es fundamental para cumplir con las estrictas normas regulatorias como DORA, GDPR y HIPAA.

Esto permite obtener beneficios como:

  • Menor sobreexposición: Los usuarios y los roles ya no tienen privilegios amplios que no necesitan.
  • Corrección rápida y automatizada: Se acabaron las revisiones manuales y los scripts complejos para enmascarar columnas confidenciales.
  • Seguridad continua: a medida que los datos cambian o aparecen nuevos datos, Cyera actualiza la clasificación, la sensibilidad y las políticas, lo que garantiza que su postura de seguridad nunca sea estática.

Proteja sus datos, no solo el perímetro.

Los datos son el nuevo perímetro de seguridad. Con el auge de la nube, los controles de acceso tradicionales basados ​​en redes o aplicaciones resultan insuficientes para impedir el acceso no autorizado a datos confidenciales. Los ciberdelincuentes modernos pueden sortear fácilmente las defensas perimetrales mediante ataques de phishing, credenciales comprometidas o incluso empleados malintencionados.

Los controles de acceso basados ​​en aplicaciones suelen depender de permisos estáticos y carecen de visibilidad sobre los datos subyacentes, lo que los hace ineficaces contra el robo de credenciales y las amenazas internas.

Para abordar esta cuestión, las organizaciones están pasando de preguntarse "¿A qué recursos de red debería tener acceso un usuario?" a "¿A qué datos específicos, y bajo qué condiciones, debería poder acceder un usuario?".

Hoy en día, proteger los datos en reposo y en tránsito, así como controlar quién tiene acceso a ellos, requiere un enfoque centrado en los datos. La plataforma de Cyera ofrece automatización integral —desde la clasificación hasta los controles de acceso, el enmascaramiento dinámico y mucho más—, lo que permite que sus equipos se centren en la innovación sin sacrificar el cumplimiento normativo ni la seguridad.

Solicita una demostración hoy mismo. para experimentar la plataforma Cyera.

Share