现代数据集成解决方案及应用案例介绍(下)
Your SlideShare is downloading.
×
![27
Cosmian 属性基础加密和访问控制
将“访问控制属性”分别分配给用户和数据
Snowflake:
数据、数据库
用户
和
属性
[…] […]
1 超级安全的数据访问控制
Snowflake:
数据、数据库
用户
和
2
X
● 对具...](https://image.slidesharecdn.com/securingdatasharing-220426091421/75/denodo-27-2048.jpg?cb=1667680285)
Check these out next
Recommended
More Related Content
Similar to 利用Denodo平台安全地进行数据共享 (20)
More from Denodo (20)
Recently uploaded (20)
利用Denodo平台安全地进行数据共享
- 1. #DenodoDataFest 凭借基于 Denodo 标签的策略 确保数据共享的安全。 byin@denodo.com Bob Yin,尹寒柏 资深解决方案架构师
- 2. Denodo公司介绍
- 3. 3 Denodo 数据虚拟化的领导者 DENODO 办公室、客户、合作伙伴 遍布北美、欧洲、中东和非洲、亚太地区和拉丁美洲 的全球业务。 客户 客户超过800+,包括所有主要行业的财富500和 全球2000强公司,利用数据虚拟化显著提高了业务 灵活性和投资回报率。 财务状况 有超过40亿美元的私有公司支持。 年增长 60% 以上;可盈利。 领导者 ▪ 自1999年以来,对数据虚拟化的持续关注时间最长 ▪ 2021 Gartner数据集成工具魔力象限领导者 ▪ 2020 Forrester Wave 的领导者 - 大数据结构 ▪ Forrester 2018 Wave 的领导者 - 数据虚拟化 ▪ 增长最快 — 前十大数据集成供应商 ▪ 多次获奖
- 4. 4 Denodo 资源
- 5. 5 Denodo 资源
- 6. 6 Denodo 资源
- 7. #DenodoDataFest 凭借基于 Denodo 标签的策略 确保数据共享的安全。 byin@denodo.com Bob Yin,尹寒柏 资深解决方案架构师
- 8. Agenda 1. 数据共享和 Denodo 2. Denodo 安全模型 3. 资源管理器 4. 语义安全策略 5. 第三方集成:加密数据共享
- 9. 数据共享和 Denodo
- 10. 10 数据共享的重要性 • 提高生产力 • 加强协作 • 扩大机会范围 • 实现高效的数据治理 • 支持去中心化的数据所有权 • 支持自助服务数据平台 • 数据即产品/即企业资产 • 数据货币化/数据服务
- 11. 11 Denodo 数据共享 • 从单一位置访问任何数据 • 隐藏后端的复杂性 • 本地与云 • 格式和协议 • 文档、沿袭、协作... • 跨 SQL、REST、OData、GraphQL、 GeoJSON 等多个标准进行灵活访问 • 安全、受控的数据交付层 SQL API 集市
- 12. Denodo 安全模型
- 13. 13 安全架构
- 14. 14 Denodo 平台身份验证 – 北向 • 客户端应用程序 -> Denodo 平台。 • 对于基于 SQL 的访问: • 用户名和密码 • 通常委托外部 LDAP/AD 服务器进行身份验证 • 使用 Kerberos 进行单点登录/集成 Windows 身份验证 • OAuth 2.0 用于 JDBC 和 ODBC • 对于 Web 应用程序: • SAML、OpenID、OAuth 2.0 身份验证 • 与身份提供程序集成 • 例如 Azure AD、PingFederate、Okta...
- 15. 15 Denodo 平台身份验证 – 南向 • Denodo 平台 -> 数据源。 • 适应每个源的性质的多种选择: • 使用服务帐户作为源。 • Denodo 平台始终使用这些凭据 • 用户/密码、Kerberos、OAuth、AWS auth,等等。 • 使用凭据传递。 • 使用凭据访问数据源,该凭据与北向的 Denodo 平台进行身份验证所用的凭据相同 • 例如用户/密码传递、Kerberos 约束委派,等等。 • 并非所有协议组合都能实现 • 例如,因为 Oauth 令牌中没有密码,所以无法实现 OAuth 到用户/密码的传递
- 16. 16 Denodo 平台授权 • 基于角色的授权 • 可在数据虚拟化层中定义用户/角色并分配特定权限 • 细粒度授权 • 多个权限范围: • 虚拟数据库级别(例如信用风险数据库等) • 视图级别(例如“区域风险暴露”等) • 行级别(筛选未经授权的行) • 列级别: • 允许/阻止访问 • 数据脱敏(隐藏敏感字段)
- 17. 17 基于角色的访问控制 - 权限
- 18. 18 Denodo 平台授权 分层角色定义 在树形架构的任何级别上,现有角色都可以由一个角色来继承和重新定义。
- 19. 资源管理
- 20. 20 基于策略的资源管理 Denodo 拥有一个资源管理器,可以进一步控制和限制访问数据的方式 • 对执行应用限制的特定规则(例如,针对某个角色、一天中的某个时间、 某个特定的表等) • 源保护 • 通过/拒绝取决于一天中的时间 • 某些应用程序的超时更短 • 每个用户或角色的配额(每小时 10 次查询) • 等等
- 21. 21 基于策略的资源管理
- 22. 语义策略
- 23. 23 高级语义层:标签 (8.0u3) • 将 Denodo 语义层扩展到数据交付之外 • 标签、背书、评论、活动使用情况... • 标签添加了额外的语义,可用于: • 数据发现 • 搜索和分类 • 安全性和治理 • 与第三方工具集成 • 从领先的 DG 和元数据管理工具(Collibra 等) 导入标签、类别和术语
- 24. 24 语义治理和安全策略(2021 年第 4 季度) • 根据语义(标签)定义安全规则,不受特定的表和视图影响 • 安全规则适用于多个元素。无需为每个特定的表/视图定义安全性 • 例如,HR 可以看见带有 SSN 的列,另外地除最后 4 位外,都将用 *** 脱敏 • 治理更容易,出错可能性更小 • 允许在整个数据环境中实施安全规则,不受底层技术影响
- 25. 25 策略描述 受策略 影响的 角色 受策略 影响的 列标签 脱敏表达式
- 26. 第三方集成: 加密数据共享
- 27. 27 Cosmian 属性基础加密和访问控制 将“访问控制属性”分别分配给用户和数据 Snowflake: 数据、数据库 用户 和 属性 […] […] 1 超级安全的数据访问控制 Snowflake: 数据、数据库 用户 和 2 X ● 对具有授权属性的数据进行加密,进而提升安全访问策略 ● 受信第三方数据解密服务,可在单一位置撤销数据访问 ● 支持单调性逻辑策略:“或”与“且”的组合;例如:如果满足(a 或 b)且 c,那么就可以访问
- 28. 28 Denodo,基于角色的数据访问控制 属性 机密数据 智能平台 密钥保管库 API / TSL KMIP / TSL 受保护的源 受保护的源 JDBC REST/JSON KMIP / TSL 财务 HR K1 K2
- 29. 29 密码数据共享 数据交付 RDMS SAS API 密码联结 基于角色解密 视图 接口 远程表 联系人 SQL 密码数据 数据具体化 远程表同步 密码 密码(值、属性) 属性 机密数据 智能平台 解密(密钥、密码) API 密钥保管库 投资组合 用户密钥
- 30. 30 受保护的数据取决于用户的角色
- 31. 结语
- 32. 32 结语 • 数据共享是许多数字化转型计划和分析架构的关键部分: • API 经济、自助服务商业智能、数据网格等 • 安全性是维持数据共享计划的主要支柱 • Denodo 提供高级安全功能,能够实现大规模的数据共享 • SSO 和 IdP 集成 • 凭借行、列及脱敏控制,可实现基于角色的访问控制 • 凭借基于标签的安全策略,可实现基于属性的访问控制 • 与第三方工具集成(例如用于加密、混淆等)
- 33. © Copyright Denodo Technologies. All rights reserved Unless otherwise specified, no part of this PDF file may be reproduced or utilized in any for or by any means, electronic or mechanical, including photocopying and microfilm, without prior the written authorization from Denodo Technologies. Thank You!
