全球即時(shí)：簡析云數(shù)據(jù)安全平臺(tái)的關(guān)鍵能力和應(yīng)用評(píng)估

在Gartner發(fā)布的《2021數(shù)據(jù)安全技術(shù)成熟度曲線》中，正式提出DSP的概念，旨在通過使用無代理架構(gòu)，提供對(duì)敏感數(shù)據(jù)的可靠監(jiān)視和訪問管理，實(shí)現(xiàn)跨數(shù)據(jù)類型、存儲(chǔ)孤島和生態(tài)系統(tǒng)的數(shù)據(jù)安全保護(hù)需求。

(資料圖片僅供參考)

云計(jì)算的應(yīng)用催生了一系列新的安全挑戰(zhàn)。云服務(wù)的彈性使企業(yè)能夠毫不費(fèi)力地啟動(dòng)新的數(shù)據(jù)服務(wù)，從而導(dǎo)致無序蔓延的環(huán)境，其中數(shù)據(jù)可以在對(duì)象存儲(chǔ)、托管服務(wù)和非托管數(shù)據(jù)庫之間不斷流動(dòng)。由于許多基礎(chǔ)設(shè)施是由云服務(wù)提供商（CSP）提供的，因此安裝監(jiān)視代理的可能性本質(zhì)上是有限的。與此同時(shí)，數(shù)據(jù)被視為一種競爭優(yōu)勢。公司需要收集和保留更多的業(yè)務(wù)數(shù)據(jù)，并讓更多的團(tuán)隊(duì)對(duì)數(shù)據(jù)進(jìn)行訪問和分析，這也增加了未經(jīng)授權(quán)訪問敏感信息的風(fēng)險(xiǎn)。

雖然很多傳統(tǒng)的安全工具聲稱可以幫助企業(yè)解決這些安全問題，但安全專家深入研究后卻發(fā)現(xiàn)，事情便非如此。以目前較流行的一些安全產(chǎn)品為例：

傳統(tǒng)DLP：主要應(yīng)用于保護(hù)端點(diǎn)、網(wǎng)絡(luò)和本地基礎(chǔ)設(shè)施中的數(shù)據(jù)，通常不能很好地適應(yīng)云環(huán)境帶來的數(shù)據(jù)挑戰(zhàn)；CSP原生安全工具：這些工具會(huì)受到功能和覆蓋范圍的限制，并且無法在多云環(huán)境、大數(shù)據(jù)平臺(tái)和SaaS服務(wù)中執(zhí)行相同的安全策略和控制；CSPM：這一種相對(duì)較新的數(shù)據(jù)安全解決方案，可用于識(shí)別云環(huán)境中的錯(cuò)誤配置和分析風(fēng)險(xiǎn)。但是盡管CSPM工具具有對(duì)云基礎(chǔ)設(shè)施服務(wù)的可見性監(jiān)控，但卻不知道數(shù)據(jù)本身的上下文和內(nèi)容，這使得很多數(shù)據(jù)風(fēng)險(xiǎn)的優(yōu)先級(jí)難以確定；DSPM：這是一種云原生工具，可用于發(fā)現(xiàn)和分類云數(shù)據(jù)存儲(chǔ)中的敏感數(shù)據(jù)。它們可以有效識(shí)別出云上敏感數(shù)據(jù)的特定威脅。然而，這些系統(tǒng)基于了傳統(tǒng)批處理的工作模式，因此在實(shí)時(shí)威脅檢測方面的存在不足；數(shù)據(jù)隱私解決方案（例如，BigID）：這些工具專注于識(shí)別敏感數(shù)據(jù)以滿足法規(guī)遵從性的目的，并沒有提供多少增加安全性的方式。而且在大多數(shù)情況下，它們需要安裝代理。

在此背景下，企業(yè)對(duì)云上數(shù)據(jù)安全平臺(tái)的使用需求開始產(chǎn)生，在Gartner發(fā)布的《2021數(shù)據(jù)安全技術(shù)成熟度曲線》中，正式提出DSP（Data Security Platform）的概念，旨在通過使用無代理架構(gòu)，提供對(duì)敏感數(shù)據(jù)的可靠監(jiān)視和訪問管理，實(shí)現(xiàn)跨數(shù)據(jù)類型、存儲(chǔ)孤島和生態(tài)系統(tǒng)的數(shù)據(jù)安全保護(hù)需求。Gartner的研究人員認(rèn)為，云數(shù)據(jù)安全平臺(tái)必備以下9個(gè)核心功能。

1.建立敏感數(shù)據(jù)清單

能夠發(fā)現(xiàn)和分類敏感數(shù)據(jù)是所有數(shù)據(jù)安全產(chǎn)品的基本要求。云數(shù)據(jù)安全平臺(tái)需要能夠建立最新的敏感數(shù)據(jù)清單，為各項(xiàng)數(shù)據(jù)安全功能的實(shí)現(xiàn)打好基礎(chǔ)。在建立數(shù)據(jù)清單時(shí)，一些關(guān)鍵考慮因素包括：

速度——執(zhí)行（無代理）掃描云環(huán)境和檢測敏感數(shù)據(jù)所需的時(shí)間；規(guī)?！行呙鑠b級(jí)數(shù)據(jù)集而不影響性能的能力；準(zhǔn)確性——識(shí)別所有相關(guān)記錄，同時(shí)最大限度地減少誤報(bào)。

2.數(shù)據(jù)安全態(tài)勢管理

管理云上數(shù)據(jù)安全態(tài)勢意味著要全面分析數(shù)據(jù)風(fēng)險(xiǎn)，并持續(xù)評(píng)估存儲(chǔ)和訪問敏感數(shù)據(jù)的云資源配置，以及適用于這些資源的安全控制措施。云數(shù)據(jù)安全平臺(tái)需要可以持續(xù)檢測并標(biāo)記錯(cuò)誤配置、漏洞和偏離最佳實(shí)踐的情況，從而使敏感數(shù)據(jù)避免處于危險(xiǎn)之中。當(dāng)發(fā)現(xiàn)異常情況時(shí)，平臺(tái)還應(yīng)該提供自動(dòng)化或半自動(dòng)化的修復(fù)措施。

3.云上數(shù)據(jù)合規(guī)

符合監(jiān)管部門的管理要求是企業(yè)云數(shù)據(jù)保護(hù)的一個(gè)重要優(yōu)先事項(xiàng)。對(duì)于云數(shù)據(jù)安全平臺(tái)而言，需要將敏感數(shù)據(jù)資產(chǎn)映射到相關(guān)的合規(guī)性標(biāo)準(zhǔn)，并突出顯示必要的安全控制（如加密、訪問控制或數(shù)據(jù)保留策略）來解決云數(shù)據(jù)合規(guī)性問題。同時(shí)，平臺(tái)還應(yīng)該密切監(jiān)測數(shù)據(jù)流動(dòng)，以查明違反數(shù)據(jù)存儲(chǔ)或隔離要求的數(shù)據(jù)使用行為。

4.訪問管理

通過有效的訪問管理，企業(yè)可以確保云上的敏感信息只能由授權(quán)賬戶訪問，并遵循最小權(quán)限原則。因此，云數(shù)據(jù)安全平臺(tái)需要提供對(duì)用戶權(quán)限的可見性來降低未經(jīng)授權(quán)訪問的風(fēng)險(xiǎn)，幫助管理員監(jiān)控和控制對(duì)敏感數(shù)據(jù)的訪問，并快速識(shí)別訪問特定數(shù)據(jù)集的人員與實(shí)際訪問者之間的偏差或異常。

5.實(shí)時(shí)監(jiān)控和警報(bào)

企業(yè)無法接受數(shù)據(jù)泄露事件的平均檢測時(shí)間（MTTD）為幾天甚至幾周。因此，云數(shù)據(jù)安全平臺(tái)應(yīng)該具有實(shí)時(shí)監(jiān)視和警報(bào)功能，幫助企業(yè)快速識(shí)別和控制對(duì)云數(shù)據(jù)資產(chǎn)的攻擊。由于基于代理的解決方案通常不可行，云數(shù)據(jù)安全平臺(tái)需要使用替代方法（例如監(jiān)視云日志）來識(shí)別與敏感數(shù)據(jù)相關(guān)的異常訪問模式或可疑行為。快速檢測也使安全團(tuán)隊(duì)能夠更有效地減輕云上的安全威脅。

6.影子數(shù)據(jù)檢測

影子數(shù)據(jù)是指未知的、隱藏的或被忽視的敏感信息，這些信息往往都沒有得到適當(dāng)?shù)谋Ｗo(hù)和監(jiān)控。云數(shù)據(jù)安全平臺(tái)需要可以檢測和分類結(jié)構(gòu)化和非結(jié)構(gòu)化存儲(chǔ)中的影子數(shù)據(jù)，使安全團(tuán)隊(duì)能夠解決潛在的漏洞，并降低由于環(huán)境不受監(jiān)控而引發(fā)的相關(guān)安全風(fēng)險(xiǎn)。

7.惡意軟件分析

企業(yè)的內(nèi)部員工和外部客戶可能都會(huì)擁有在公司云環(huán)境中存儲(chǔ)數(shù)據(jù)的權(quán)限。例如，自動(dòng)化機(jī)器學(xué)習(xí)工具可能允許用戶以XLSX文件的形式輸入。然而，這可能導(dǎo)致受惡意軟件感染的文件被上傳到云存儲(chǔ)。云數(shù)據(jù)安全平臺(tái)應(yīng)能夠掃描現(xiàn)有文件和傳入文件中已知的惡意簽名，識(shí)別對(duì)象存儲(chǔ)中的惡意文件，以便對(duì)其進(jìn)行適當(dāng)?shù)母綦x和調(diào)查。

8.改善數(shù)據(jù)衛(wèi)生環(huán)境

長期以來，企業(yè)數(shù)據(jù)安全的重點(diǎn)工作和投入都用在如何保障數(shù)據(jù)的機(jī)密性、一致性和可用性，而對(duì)于數(shù)據(jù)清理/銷毀的投入和重視往往不夠。在合規(guī)形勢異常嚴(yán)峻的今天，如何正確地銷毀數(shù)據(jù)，維護(hù)企業(yè)的數(shù)據(jù)衛(wèi)生環(huán)境，已經(jīng)成了全球性的難題和重大隱患。對(duì)于云數(shù)據(jù)安全平臺(tái)而言，需要能夠在組織未遵循最佳數(shù)據(jù)治理實(shí)踐時(shí)，提醒安全團(tuán)隊(duì)或數(shù)據(jù)所有者來幫助簡化此過程。

9.支持多云環(huán)境

有越來越多的企業(yè)組織開始跨多個(gè)公共云平臺(tái)（例如Azure + Snowflake）存儲(chǔ)數(shù)據(jù)。為了簡化操作和降低復(fù)雜性，云數(shù)據(jù)安全平臺(tái)應(yīng)該允許組織跨多云環(huán)境應(yīng)用相同的安全策略和威脅建模。云服務(wù)提供商提供的本地工具通常缺少此功能。

當(dāng)企業(yè)開始選型部署云數(shù)據(jù)安全平臺(tái)方案時(shí)，可以根據(jù)以下要素來評(píng)估它們是否真正具有以上所列舉的關(guān)鍵功能：

(1) 威脅模型

如果沒有準(zhǔn)確和最新的威脅模型，即使是最強(qiáng)大的威脅檢測引擎也無法滿足企業(yè)的云數(shù)據(jù)安全防護(hù)需求。企業(yè)在選型時(shí)，應(yīng)該首先檢查該方案是否有一個(gè)強(qiáng)大的安全研究團(tuán)隊(duì)提供支持，同時(shí)，該團(tuán)隊(duì)在識(shí)別云環(huán)境的新威脅方面具有經(jīng)過驗(yàn)證的跟蹤記錄。此外，模型還需要能夠根據(jù)新的攻擊向量和防護(hù)漏洞不斷更新模型策略。

(2) 覆蓋范圍

企業(yè)應(yīng)該重點(diǎn)評(píng)估所選型的云數(shù)據(jù)安全平臺(tái)是否能夠全面覆蓋組織當(dāng)前使用或計(jì)劃將來使用的各種云數(shù)據(jù)存儲(chǔ)，這可以包括IaaS、PaaS和DBaaS。企業(yè)還應(yīng)該考慮往平臺(tái)上添加新數(shù)據(jù)源的速度，以及平臺(tái)背后的團(tuán)隊(duì)是否了解與每個(gè)數(shù)據(jù)存儲(chǔ)相關(guān)的最新風(fēng)險(xiǎn)和漏洞。

(3) 可實(shí)現(xiàn)性

企業(yè)應(yīng)該考慮平臺(tái)在應(yīng)用實(shí)現(xiàn)中需要花費(fèi)的資源以及對(duì)現(xiàn)有系統(tǒng)可能產(chǎn)生的影響。數(shù)據(jù)安全平臺(tái)需要將API連接和其他部署進(jìn)行自動(dòng)化設(shè)計(jì)，這將減輕安全運(yùn)營團(tuán)隊(duì)的負(fù)擔(dān)。無代理部署速度更快，并且最小化了所需的權(quán)限——當(dāng)您無法訪問物理服務(wù)器（大多數(shù)PaaS和DBaaS都是這種情況）時(shí)，它通常是唯一可行的選擇。

此外，云數(shù)據(jù)安全平臺(tái)應(yīng)該被設(shè)計(jì)成帶外運(yùn)行模式，這樣就不需要實(shí)時(shí)數(shù)據(jù)庫連接，這樣它就可以持續(xù)監(jiān)視基礎(chǔ)設(shè)施，而不會(huì)直接影響數(shù)據(jù)服務(wù)的性能。在不需要數(shù)據(jù)庫憑證的情況下這樣做可以加快實(shí)現(xiàn)和評(píng)估。

(4) 安全性

云數(shù)據(jù)安全平臺(tái)本身必須也是安全的，要定期檢查是否有任何敏感數(shù)據(jù)離開企業(yè)的合法賬戶并進(jìn)行掃描或分類操作。企業(yè)還應(yīng)該驗(yàn)證供應(yīng)商具有必要的產(chǎn)品安全質(zhì)量認(rèn)證（ISO 27001、SOC 2 Type 2等）。

(5) 系統(tǒng)集成能力

云數(shù)據(jù)安全平臺(tái)還應(yīng)該與企業(yè)整體安全堆棧中的其他工具和能力有效集成。最相關(guān)的通常是SOAR、SIEM和SOC解決方案，因?yàn)檫@些解決方案使企業(yè)能夠根據(jù)數(shù)據(jù)安全平臺(tái)提供的分析報(bào)告采取行動(dòng)。平臺(tái)還應(yīng)該與身份提供者（Identity Provider，IdP）集成，這樣有助于為每個(gè)數(shù)據(jù)資產(chǎn)提供豐富的活動(dòng)身份視圖，從而為敏感數(shù)據(jù)保護(hù)做出準(zhǔn)確的訪問管理策略。

參考鏈接：https://www.dig.security/post/data-security-platform-key-capabilities-and-criteria

關(guān)鍵詞：