Единая модель безопасности в Дельта BI
Для многих компаний анализ больших данных становится обыденной задачей. Этому способствует развитие технологий и снижение стоимости систем хранения. Поэтому сегодня многие компании могут собирать и хранить большие объемы разнородных данных. Кроме сбора и хранения данных, часто возникает необходимость их преобразования в удобный для пользователей вид, в чем помогают различные BI-системы.
Согласно исследованию IDC «Аналитика больших данных» более 50% опрошенных заявляют, что одним из ключевых факторов, влияющих на выбор решения для анализа больших данных является безопасность.
Что влияет на выбор решения для анализа Big Data
И такой интерес к безопасности вполне закономерен. Но в процессе внедрения той или иной системы для анализа больших данных возникают сложности с тем как правильно организовать права доступа. С одной стороны, владельцы BI-систем в компании заинтересованы в том, чтобы все, кто будет пользоваться продуктом получали максимальную функциональность, которая нужна для решения их задач. В тоже время, они заинтересованы в том, чтобы в некотором смысле «обезопасить» пользователей от функций, которые им не нужны в моменте, а также предоставлять доступ к данным и функциональным возможностям постепенно, чтобы упростить процесс онбординга или миграции. Например, владелец торговой сети, хочет, чтобы руководители подразделений могли получать и анализировать информацию по своему подразделению, но не имели доступа к информации по другим подразделениям.
Таким образом, для владельцев продукта важна возможность изоляции между пользователями или группами пользователей. В тоже время, у команд сопровождения инфраструктуры могут быть другие требования:
Максимизация «полезной» нагрузки на инсталляцию
Централизация подхода к структурированию контента при минимизации усилий
Централизация подхода к управлению подключениями к данным
Если же речь идет о тех пользователях, которые работают над созданием контента (графики, таблицы, дашборды и т. п.), то для их нормальной работы важны оперативность и гибкость настройки доступа к данным и минимальная зависимость от администраторов. Да и для самих администраторов, зачастую, удобнее делегировать обязанности по предоставлению доступа к тому или иному контенту на уровень ниже. Особенно когда в системе тысячи пользователей и множество разделов, предназначенных для различных групп пользователей. Ну и немаловажно, чтобы рядовые пользователи не смогли увидеть ничего лишнего, при этом имели оперативный доступ ко всей необходимой для их работы информации.
В общем, требований к безопасности систем для анализа данных много и давайте рассмотрим, как с этим обстоят дела у Дельта BI.
В первую очередь, стоит отметить — что Дельта BI является решением уровня Enterprise и позволяет решить и удовлетворить многие требования безопасности больших компаний благодаря гибкой многоуровневой ролевой модели.
Безопасность в Дельта BI
С помощью такой ролевой модели можно управлять тем, как пользователи могут взаимодействовать с контентом, как они могут получать доступ к тем или иным функциям и данным. Плюс к этому, в системе есть отдельный инструмент, который позволяет эффективно управлять ролями на разных уровнях.
Всего в системе предусмотрено 4 уровня.
Уровень безопасности приложения
Это первый входной уровень, в рамках которого регулируется доступ к самому приложению и определяется логика изоляции пользователей друг от друга. На этом уровне основными понятиями являются провайдер аутентификации, клиент и лицензия.
Во многих компаниях на уровне регламентов, зачастую, закреплены различные требования к средствам и методам аутентификации в бизнес-приложениях. И Дельта BI поддерживает различные варианты аутентификации: Open ID, Active Directory, SAML, Open LDAP и другие.
Важно отметить, что, на уровне инсталляции, тип аутентификации может быть выбран только один, на текущий момент в Дельте BI смешанных вариантов аутентификации нет.
Система также поддерживает аутентификацию программными средствами через API. Это актуально при встраивании контента в сторонние веб-ресурсы или, как вариант, автоматизации каких-нибудь задач администрирования.
Важно отметить, что тип аутентификации также определяет некоторые функциональные возможности продукта, например, возможность использования групп Active Directory при конфигурации доступа к контенту.
Немаловажным аспектом ролевой модели является лицензия. Именно лицензия определяет пользовательские возможности в плане доступности для них определенных модулей Дельта BI.
Лицензирование в Дельта BI
Например, такой тип лицензии, как Professional, обеспечивает максимальную доступность к большинству функций системы.
Тип лицензии Analyst предоставляет доступ к разработке контента, но без разработки модели данных, какой-то бизнес-логики и формул. Т.е. пользователи с таким типом лицензии будут иметь ограниченные возможности по разработке ETL-процессов и формул, но смогут разрабатывать контент на основании готовых моделей данных и формул. Кроме того, сохраняется часть функционала по работе с публикациями и презентациями.
Тип лицензии Viewer актуален чаще всего для бизнес-пользователей. При этом у таких пользователей есть возможность сохранить просматриваемый контент, так сказать, в личную песочницу и отредактировать его там.
Что касается Basic, то это новый тип лицензии, появившийся в версии Дельта 2023. Пользователи Basic не могут залогиниться в системе, но могут получать доступ к контенту через встраивание дашбордов в сторонние веб-ресурсы.
Еще одной важной частью настроек безопасности в Дельте являются клиенты (их также называют доменами и tenant). Клиенты позволяют поделить единый инстанс Дельта BI на
несколько независимых друг от друга доменов и таким образом обеспечить изоляцию
контента и пользователей друг от друга. Это также позволяет выработать более
структурированный подход к администрированию и управлению пользователями и
контентом, потому что внутри каждого клиентов можно назначить одного или нескольких администраторов, ответственных за него.
Клиент в Дельта BI
Использование различных клиентов внутри инсталляции может быть актуально в случаях, когда необходимо, например, делить контент по направлениям бизнеса (маркетинг, продажи, HR, логистика, финансы). Использование клиентов позволяет более эффективно отслеживать пользовательскую активность и распределение лицензий, потому что логирование внутри системы ведется с учетом разделения по клиентам.
По умолчанию в Дельта BI имеется один общий клиент default. Поддержка нескольких клиентов является отдельно лицензируемым функционалом версии 2023. Для его активации требуется активация специальной настройки в консоли администратора. Несмотря на то, что домены являются независимыми друг от друга, всегда есть ситуации, когда контентом необходимо поделиться между пользователями разных доменов. Для таких случаев в Дельта BI предусмотрены возможности кросс-доменного контента и кросс-доменных ролей доступа.
Уровень функциональной безопасности
Профиль в Дельта BI
В Дельта BI уровень функциональной безопасности определяет какие возможности есть у пользователя в тех модулях системы, доступ к которым определен лицензией.
Основным понятием на данном уровне является пользовательский профиль, который позволяет сужать функционал для пользователей, не меняя при этом тип лицензии. Именно профиль определяет, есть ли у пользователя возможность добавлять подключение к источникам данных, работать с созданием контента, вычислений и т.п.
С помощью профиля, например, можно предоставить новому пользователю, который только осваивает функционал Дельты, возможность построения модели данных или создания контента. А в дальнейшем, с ростом его навыков, сменить профиль и добавить новый функционал.
Создание профилей происходит через консоль администратора и примечательно, что создавать профили можно для разных типов лицензий и разных доменов (tenant).
Уровень безопасности контента
На данном уровне в Дельте можно будет определить к каким объектам контента и к каким папкам пользователи смогут получить доступ, а также какими полномочиями по управлению контентом они будут обладать.
По умолчанию в Дельте предусмотрено 3 раздела для хранения контента.
Первый — это личная песочница пользователя, называемая «Мое содержимое». В ней, каждый пользователь сможет сохранять созданный им контент, который будет доступен только ему и администраторам. Для других пользователей доступ к личной песочнице закрыт, но им можно будет поделиться, переместив контент в другие папки, предусмотренные в системе.
Например, во второй раздел, где содержатся папки рабочих групп, которые соответствуют ролям доступа. Особенность данного раздела — все пользователи, относящиеся к определенной роли доступа, имеют одинаковый доступ на весь контент, который размещен в соответствующей групповой папке.
И третий раздел — содержит общедоступный публичный контент, который могут просматривать все пользователи системы. Но, стоит отметить, что весь контент делится по доменам. Поэтому пользователи будут видеть общий контент только внутри своего домена, либо кросс-доменный контент, если это предварительно настроено. Кроме того, для контента, размещенного в публичном разделе, можно независимо настраивать права для ролей на чтение, запись (изменение и сохранение) и управление.
Роли в Дельта BI
Также стоит отметить, что в каждом из вышеописанных разделов можно дополнительно создавать подпапки, чтобы структурировать контент по разным темам (финансы, события, продажи, KPI и т.п.) или видам (модели, формулы, обнаружения, презентации).
Уровень безопасности данных
Уровень безопасности данных определяет, к каким серверам данных, базам данных и моделям данных могут получить доступ пользователи.
Например, в консоли администратора Дельта BI можно выбрать определенное подключение, перейти в настройки безопасности и выбрать права на чтение и на запись. Кроме того, можно раскрыть следующий уровень настроек, где будут отображаться базы и модели
данных, и для каждой из них тоже устанавливать определенные правила для тех или
иных ролей. В том числе, можно настроить так, чтобы пользователь не мог подключиться
непосредственно к самим сырым данным в определенной базе, но мог подключиться к
уже существующим семантическим моделям, которые сформированы над ней.
Управление ролями в Дельта BI
На уровне моделей данных настройки прав позволяют управлять видимостью отдельных элементов на уровне измерений и мер, а также настраивать row и column level security.
Видимость элементов в Дельта BI
Подводя итог, хотелось бы подчеркнуть, что обеспечение надежности и защиты данных в BI системах является ключевым элементом успешного функционирования организации. Дельта BI предоставляет довольно широкий функционал, связанный с безопасностью, обеспечивает гибкость и удобство использования, тем самым создает надежную основу для эффективного анализа данных, обеспечивая бизнес-пользователей необходимой свободой безопасного и продуктивного взаимодействия с информацией.
