По ходу работы нам нужно думать не только о том, чтобы решить аналитическую задачу, но и каким образом будет соблюдаться должная конфиденциальность в плане доступа к данным. Т.к. аналитический ландшафт состоит из нескольких платформ (Loginom + DMP, ClickHouse, BI-система), то нужно понимать возможности контроля доступа к данным на каждой из них.
Скачайте и установите Loginom Community Edition, если он еще не установлен.
Многие считают, что особенностью enterprise-решений является обработка больших объемов данных, сложные алгоритмы или высокая скорость обработки. Хотя в определенной мере это правда, главной отличительной чертой корпоративных решений является именно безопасность. Часто именно она является стоп-фактором на пути внедрения аналитики.
Даже при персональной аналитике можно столкнуться с большими данными или необходимостью использовать машинное обучение. Но при этом вопросы безопасности не будут иметь существенного значения. В противоположность этого в enterprise среде вопросы безопасности актуальны даже если анализируются небольшие наборы данных в Excel.
Безопасность затрагивает различные вопросы, но в разрезе аналитики основных тем три:
Естественно, что все, что касается безопасности актуально только для серверных редакций систем, т.к. в настольных решениях отсутствует большинство инструментов, относящихся в коллективной работе, например, нет механизмов авторизации или совместных ресурсов.
Ниже будут рассмотрены механизмы обеспечения безопасности, реализованные в платформе Loginom.
Основной функционал управления безопасностью находится в разделе Администрирование в серверных версиях Loginom.
Администрирование в Loginom
Пользователи могут быть добавлены как локально (просто создаем пользователя системы), так и через LDAP или OpenID (для взаимодействия с каталогами пользователей в организации).
Добавление пользователей в Loginom
Пользователю можно задать права на определенные действия, в зависимости от его роли. В частности права на изменение сценариев, запуск по расписанию или просмотр отчетов. Дополнительная информация представлена в справке.
Один из вариантов обмена данными или сценариями — общие папки. Работа пользователей (создание / открытие пакетов, загрузка своих данных) идет в каталогах файлового хранилища.
Файловое хранилище — это папка на сервере с Loginom. Его стандартное размещение на сервере при использовании Windows — C:\ProgramData\Loginom\Server\UserStorage.
Файловое хранилище
Для каждого пользователя автоматически создается собственная папка, к которой изначально имеет доступ только он, а также пользователи с полным доступом к файловому хранилищу.
Однако, для работы пользователям Loginom могут потребоваться и общие ресурсы. Для этого в разделе Администрирование можно создавать общие папки. К файлам в этих папкам могут иметь доступ разные пользователи.
Общие папки в Loginom
Папки могут быть доступны как всем пользователям, так и выборочно по списку. Пользователь с доступом к папке имеет права на чтение и запись. Это относится ко всем вложенным папкам.
Доступ к папке
Общие папки удобно использовать как единый источник пакетов-библиотек. Но это не значит, что все библиотеки должны располагаться в одной общей папке.
Например, библиотека DMP дает полный доступ ко всем данным КХД. Поэтому ее (и набор сопутствующих библиотек) имеет смысл держать в отдельной папке, к которой имеет доступ только разработчик КХД.
Аналитикам без права доступа к полному функционалу КХД можно предоставить доступ к готовым витринам, сформировав для них пользователей ClickHouse с соответствующими правами.
Кроме этого в Loginom можно предоставить пользователю возможность подключать пакеты и переиспользовать реализованные в них компоненты, но при этом скрыть реализацию. Для этого нужно зашифровать пакет, например, при помощи специального сервиса — https://enc.loginom.ru/.
Этот функционал полезен, чтобы скрыть алгоритмы работы с данными, которые являются коммерческой тайной, либо ограничить вмешательство пользователя в логику работы компонентов.
Пример применения — компоненты Clickhouse Kit, доступные из зашифрованного пакета.
Компоненты Clickhouse Kit
На сервере обычно работает не один пользователь. Для того, чтобы увидеть, кто в настоящий момент находится на сервере, и какие пакеты у него открыты имеется диспетчер сессий.
Диспетчер сессий в Loginom
Отсюда можно закрывать сессии пользователя (например, если нужно открыть пакет в режиме редактирования, а он занят другим пользователем). Но с точки зрения безопасности полезнее всего логирование. Loginom логирует множество действий пользователей.
По умолчанию логи располагается в папке «C:\ProgramData\Loginom\Server\UserStorage\Server Log» для сервера Windows. По соображениям безопасности эта папка расположена вне файлового хранилища, поэтому увидеть логи просто так не получится. Но можно создать символическую ссылку, чтобы появилась возможность читать эти файлы в сценариях Loginom.
В DMP есть пакет Server Governance Kit. Он работает только на серверных версиях, на полной лицензии. В нем имеется компонент «Парсинг логов», который работает при настройке символической ссылки на папку логов и указании ее в файле настроек.
Парсинг логов
Компонент возвращает разложенные в таблицу логи за определенный диапазон, а также новые записи, которые появились с момента последнего выполнения компонента. Его удобно использовать для мониторинга событий, а также для отправки оповещений, в том числе и тех, что могут касаться безопасности:
Список событий в логах постоянно расширяется.
В Loginom под Linux встроена поддержка journald. Это компонент менеджера служб systemd ОС Linux, отвечающий за сбор, хранение и управление журналами системных сообщений. Он обеспечивает централизованный механизм для записи логов, что упрощает их анализ и управление. Journald предоставляет много возможностей, но требует настройки администратором и его обсуждение выходит за рамки марафона.
При многопользовательской модели доступа, вы можете настроить отдельные учетные записи, которые будут применяться пользователями / сервисами для доступа только к той области КХД, для которых это нужно (управление доступом).
На стороне BI-систем управление безопасностью осуществляется по двум направлениям:
Документация для настройки в DataLens:
Использование Loginom + DMP позволяет реализовать различные стратегии контроля безопасности доступа к данным. Начиная от простых однопользовательских решений до управления и контроля организаций с сотнями пользователей.
Сегодня последний день марафона, но это не значит что это вы увидели все возможности Loginom + Data Monetization Pack. Оставайтесь подписанными на канал, чтобы быть в курсе бесплатных и платных функций, а также рецептов того, как вы можете применять их в своих проектах.
По окончанию обучения, перейдите на страницу. Удалите облако.
Удаление облака
И нажмите удалить сейчас.
Кнопка «Удалить сейчас»
Зайдите на страницу и удалите организацию.
Удаление организации
Укажите срок удаления организации — удалить сейчас.
Срок удаления организации
Подождите до следующего дня и зайдите по ссылке.
Yandex Cloud Billing
Выберите единственный платежный аккаунт и нажмите — еще.
Платежный аккаунт
Затем — удалите его.
Удаление платежного аккаунта
Все! Спасибо за курс!
