Veri Ambarlama - Güvenlik
Bir veri ambarının amacı, büyük miktarda veriyi kullanıcılar için kolayca erişilebilir hale getirmek, böylece kullanıcıların bir bütün olarak işletme hakkında bilgi çıkarmasına olanak sağlamaktır. Ancak verilere, bilgilere erişime engel olabilecek bazı güvenlik kısıtlamaları uygulanabileceğini biliyoruz. Analistin kısıtlı bir veri görüşüne sahip olması durumunda, işletme içindeki trendlerin tam bir resmini yakalamak imkansızdır.
Her bir analistten gelen veriler özetlenebilir ve farklı özetlerin toplanabileceği yönetime aktarılabilir. Özetlerin toplamaları bir bütün olarak toplamanınkiyle aynı olamayacağından, birisi verileri bir bütün olarak analiz etmediği sürece verilerdeki bazı bilgi eğilimlerini gözden kaçırmak mümkündür.
Güvenlik gereksinimleri
Güvenlik özelliklerinin eklenmesi, veri ambarının performansını etkiler, bu nedenle güvenlik gereksinimlerini olabildiğince erken belirlemek önemlidir. Veri ambarı devreye girdikten sonra güvenlik özellikleri eklemek zordur.
Veri ambarının tasarım aşamasında, hangi veri kaynaklarının daha sonra eklenebileceğini ve bu veri kaynaklarını eklemenin etkisinin ne olacağını aklımızda tutmalıyız. Tasarım aşamasında aşağıdaki olasılıkları göz önünde bulundurmalıyız.
Yeni veri kaynaklarının yeni güvenlik ve / veya denetim kısıtlamalarının uygulanmasını gerektirip gerektirmeyeceği?
Zaten genel olarak mevcut olan verilere erişimi kısıtlı olan yeni kullanıcıların ekleyip eklemediği?
Bu durum, gelecekteki kullanıcılar ve veri kaynakları iyi bilinmediğinde ortaya çıkar. Böyle bir durumda, olası gereksinimleri bilmek için iş bilgisini ve veri ambarının amacını kullanmamız gerekir.
Aşağıdaki etkinlikler güvenlik önlemlerinden etkilenir -
- Kullanıcı erişimi
- Veri yükleme
- Veri hareketi
- Sorgu oluşturma
Kullanıcı erişimi
Önce verileri sınıflandırmamız ve ardından kullanıcıları erişebilecekleri verilere göre sınıflandırmamız gerekiyor. Yani kullanıcılar erişebilecekleri verilere göre sınıflandırılır.
Data Classification
Verileri sınıflandırmak için aşağıdaki iki yaklaşım kullanılabilir -
Veriler hassasiyetine göre sınıflandırılabilir. Çok hassas veriler, yüksek düzeyde kısıtlı olarak sınıflandırılır ve daha az hassas veriler daha az kısıtlayıcı olarak sınıflandırılır.
Veriler ayrıca iş işlevine göre sınıflandırılabilir. Bu kısıtlama, yalnızca belirli kullanıcıların belirli verileri görüntülemesine izin verir. Burada kullanıcıları, verilerin yalnızca ilgilendikleri ve sorumlu oldukları kısmını görüntüleyecek şekilde kısıtlıyoruz.
İkinci yaklaşımda bazı sorunlar var. Anlamak için bir örnek verelim. Bir banka için veri ambarını oluşturduğunuzu varsayalım. Veri ambarında depolanan verilerin tüm hesaplar için işlem verileri olduğunu düşünün. Buradaki soru, işlem verilerini kimlerin görmesine izin verildiğidir. Çözüm, verileri işleve göre sınıflandırmaktır.
User classification
Kullanıcıları sınıflandırmak için aşağıdaki yaklaşımlar kullanılabilir -
Kullanıcılar bir organizasyondaki kullanıcıların hiyerarşisine göre sınıflandırılabilir, yani kullanıcılar departmanlara, bölümlere, gruplara vb. Göre sınıflandırılabilir.
Kullanıcılar, rollerine göre departmanlar arasında gruplandırılan kişilerle rollerine göre de sınıflandırılabilir.
Classification on basis of Department
Kullanıcıların satış ve pazarlama departmanından olduğu bir veri ambarı örneği verelim. Farklı departmanlara odaklanan erişim ile yukarıdan aşağıya şirket görünümüne göre güvenliğe sahip olabiliriz. Ancak, farklı düzeylerdeki kullanıcılar için bazı kısıtlamalar olabilir. Bu yapı aşağıdaki diyagramda gösterilmektedir.
Ancak her departman farklı verilere erişirse, her departman için güvenlik erişimini ayrı ayrı tasarlamalıyız. Bu, departman veri reyonları ile sağlanabilir. Bu veri reyonları veri ambarından ayrıldığından, her veri pazarı için ayrı güvenlik kısıtlamaları uygulayabiliriz. Bu yaklaşım aşağıdaki şekilde gösterilmektedir.
Classification Based on Role
Veriler genel olarak tüm departmanlarda mevcutsa, rol erişim hiyerarşisini izlemek yararlıdır. Diğer bir deyişle, verilere genel olarak tüm departmanlar tarafından erişiliyorsa, kullanıcının rolüne göre güvenlik kısıtlamaları uygulayın. Rol erişim hiyerarşisi aşağıdaki şekilde gösterilmektedir.
Denetim Gereklilikleri
Denetim, güvenliğin bir alt kümesi, maliyetli bir faaliyettir. Denetim, sistemde ağır ek yüklere neden olabilir. Bir denetimi zamanında tamamlamak için daha fazla donanıma ihtiyacımız var ve bu nedenle, mümkün olan her yerde denetimin kapatılması önerilir. Denetim gereksinimleri aşağıdaki şekilde kategorize edilebilir:
- Connections
- Disconnections
- Veri erişimi
- Veri değişikliği
Note- Yukarıda belirtilen kategorilerin her biri için, başarıyı, başarısızlığı veya her ikisini birden denetlemek gerekir. Güvenlik nedenleri açısından bakıldığında, arızaların denetimi çok önemlidir. Başarısızlığın denetlenmesi, yetkisiz veya hileli erişimi vurgulayabileceği için önemlidir.
Ağ Gereksinimleri
Ağ güvenliği, diğer menkul kıymetler kadar önemlidir. Ağ güvenlik gerekliliğini göz ardı edemeyiz. Aşağıdaki konuları dikkate almamız gerekiyor -
Verileri veri ambarına aktarmadan önce şifrelemek gerekli mi?
Verilerin alabileceği ağ yollarıyla ilgili kısıtlamalar var mı?
Bu kısıtlamaların dikkatlice değerlendirilmesi gerekir. Hatırlanması gereken noktalar şunlardır -
Şifreleme ve şifre çözme işlemi genel giderleri artıracaktır. Daha fazla işlem gücü ve işlem süresi gerektirir.
Sistem halihazırda yüklü bir sistem ise şifreleme maliyeti yüksek olabilir çünkü şifreleme kaynak sistem tarafından karşılanır.
Veri Hareketi
Verileri taşırken olası güvenlik etkileri vardır. Bazı kısıtlanmış verileri yüklenecek düz bir dosya olarak aktarmamız gerektiğini varsayalım. Veriler veri ambarına yüklendiğinde aşağıdaki sorular ortaya çıkar -
- Düz dosya nerede saklanır?
- Bu disk alanına kimler erişebilir?
Bu düz dosyaların yedeklenmesinden bahsedersek, aşağıdaki sorular ortaya çıkar -
- Şifrelenmiş veya şifresi çözülmüş sürümleri yedekliyor musunuz?
- Bu yedeklemelerin ayrı olarak saklanan özel teyplere yapılması gerekiyor mu?
- Bu kasetlere kimin erişimi var?
Sorgu sonuç kümeleri gibi diğer bazı veri taşıma biçimlerinin de dikkate alınması gerekir. Geçici tablo oluşturulurken sorulan sorular şu şekildedir:
- Bu geçici masa nerede tutulacak?
- Böyle bir tabloyu nasıl görünür kılarsınız?
Güvenlik kısıtlamalarının yanlışlıkla ihlal edilmesinden kaçınmalıyız. Kısıtlanmış verilere erişimi olan bir kullanıcı, erişilebilir geçici tablolar oluşturabilirse, veriler yetkili olmayan kullanıcılar tarafından görülebilir. Kısıtlı verilere erişimi olan kullanıcılar için ayrı bir geçici alana sahip olarak bu sorunun üstesinden gelebiliriz.
Dokümantasyon
Denetim ve güvenlik gereksinimlerinin uygun şekilde belgelendirilmesi gerekir. Bu, gerekçelendirmenin bir parçası olarak ele alınacaktır. Bu belge şu kaynaklardan toplanan tüm bilgileri içerebilir -
- Veri sınıflandırması
- Kullanıcı sınıflandırması
- Ağ gereksinimleri
- Veri taşıma ve depolama gereksinimleri
- Tüm denetlenebilir eylemler
Güvenliğin Tasarım Üzerindeki Etkisi
Güvenlik, uygulama kodunu ve geliştirme zaman çizelgelerini etkiler. Güvenlik aşağıdaki alanı etkiler -
- Uygulama geliştirme
- Veri tabanı tasarımı
- Testing
Uygulama geliştirme
Güvenlik, genel uygulama geliştirmeyi etkiler ve ayrıca veri ambarının yük yöneticisi, ambar yöneticisi ve sorgu yöneticisi gibi önemli bileşenlerinin tasarımını da etkiler. Yük yöneticisi, kaydı filtrelemek ve farklı konumlara yerleştirmek için kod kontrol edilmesini gerektirebilir. Belirli verileri gizlemek için daha fazla dönüştürme kuralı da gerekebilir. Ayrıca, herhangi bir ekstra nesneyi işlemek için fazladan meta veri gereksinimleri olabilir.
Ekstra görünümler oluşturmak ve sürdürmek için, depo yöneticisi güvenliği sağlamak için ekstra kodlar isteyebilir. Verilerin mevcut olmaması gereken bir konuma taşınması için kandırılmasını önlemek için veri ambarına fazladan kontrollerin kodlanması gerekebilir. Sorgu yöneticisi, değişikliklerin herhangi bir erişim kısıtlamasını işlemesini gerektirir. Sorgu yöneticisinin tüm ekstra görünümlerden ve toplamalardan haberdar olması gerekir.
Veri tabanı tasarımı
Veri tabanı düzeni de etkilenir çünkü güvenlik önlemleri uygulandığında görünüm ve tabloların sayısında artış olur. Güvenlik eklemek, veritabanının boyutunu artırır ve dolayısıyla veritabanı tasarımı ve yönetiminin karmaşıklığını artırır. Ayrıca, yedekleme yönetimi ve kurtarma planına karmaşıklık katacaktır.
Test yapmak
Veri ambarını test etmek karmaşık ve uzun bir süreçtir. Veri ambarına güvenlik eklemek, test süresinin karmaşıklığını da etkiler. Testi aşağıdaki iki şekilde etkiler -
Entegrasyon ve sistem testi için gereken süreyi artıracaktır.
Test paketinin boyutunu artıracak test edilecek ek işlevler vardır.