在Gartner發(fā)布的《2021數(shù)據(jù)安全技術(shù)成熟度曲線》中，正式提出DSP的概念，旨在通過使用無代理架構(gòu)，提供對敏感數(shù)據(jù)的可靠監(jiān)視和訪問管理，實現(xiàn)跨數(shù)據(jù)類型、存儲孤島和生態(tài)系統(tǒng)的數(shù)據(jù)安全保護需求。

(資料圖片僅供參考)

云計算的應(yīng)用催生了一系列新的安全挑戰(zhàn)。云服務(wù)的彈性使企業(yè)能夠毫不費力地啟動新的數(shù)據(jù)服務(wù)，從而導(dǎo)致無序蔓延的環(huán)境，其中數(shù)據(jù)可以在對象存儲、托管服務(wù)和非托管數(shù)據(jù)庫之間不斷流動。由于許多基礎(chǔ)設(shè)施是由云服務(wù)提供商（CSP）提供的，因此安裝監(jiān)視代理的可能性本質(zhì)上是有限的。與此同時，數(shù)據(jù)被視為一種競爭優(yōu)勢。公司需要收集和保留更多的業(yè)務(wù)數(shù)據(jù)，并讓更多的團隊對數(shù)據(jù)進行訪問和分析，這也增加了未經(jīng)授權(quán)訪問敏感信息的風(fēng)險。

雖然很多傳統(tǒng)的安全工具聲稱可以幫助企業(yè)解決這些安全問題，但安全專家深入研究后卻發(fā)現(xiàn)，事情便非如此。以目前較流行的一些安全產(chǎn)品為例：

傳統(tǒng)DLP：主要應(yīng)用于保護端點、網(wǎng)絡(luò)和本地基礎(chǔ)設(shè)施中的數(shù)據(jù)，通常不能很好地適應(yīng)云環(huán)境帶來的數(shù)據(jù)挑戰(zhàn)；CSP原生安全工具：這些工具會受到功能和覆蓋范圍的限制，并且無法在多云環(huán)境、大數(shù)據(jù)平臺和SaaS服務(wù)中執(zhí)行相同的安全策略和控制；CSPM：這一種相對較新的數(shù)據(jù)安全解決方案，可用于識別云環(huán)境中的錯誤配置和分析風(fēng)險。但是盡管CSPM工具具有對云基礎(chǔ)設(shè)施服務(wù)的可見性監(jiān)控，但卻不知道數(shù)據(jù)本身的上下文和內(nèi)容，這使得很多數(shù)據(jù)風(fēng)險的優(yōu)先級難以確定；DSPM：這是一種云原生工具，可用于發(fā)現(xiàn)和分類云數(shù)據(jù)存儲中的敏感數(shù)據(jù)。它們可以有效識別出云上敏感數(shù)據(jù)的特定威脅。然而，這些系統(tǒng)基于了傳統(tǒng)批處理的工作模式，因此在實時威脅檢測方面的存在不足；數(shù)據(jù)隱私解決方案（例如，BigID）：這些工具專注于識別敏感數(shù)據(jù)以滿足法規(guī)遵從性的目的，并沒有提供多少增加安全性的方式。而且在大多數(shù)情況下，它們需要安裝代理。

在此背景下，企業(yè)對云上數(shù)據(jù)安全平臺的使用需求開始產(chǎn)生，在Gartner發(fā)布的《2021數(shù)據(jù)安全技術(shù)成熟度曲線》中，正式提出DSP（Data Security Platform）的概念，旨在通過使用無代理架構(gòu)，提供對敏感數(shù)據(jù)的可靠監(jiān)視和訪問管理，實現(xiàn)跨數(shù)據(jù)類型、存儲孤島和生態(tài)系統(tǒng)的數(shù)據(jù)安全保護需求。Gartner的研究人員認(rèn)為，云數(shù)據(jù)安全平臺必備以下9個核心功能。

1.建立敏感數(shù)據(jù)清單

能夠發(fā)現(xiàn)和分類敏感數(shù)據(jù)是所有數(shù)據(jù)安全產(chǎn)品的基本要求。云數(shù)據(jù)安全平臺需要能夠建立最新的敏感數(shù)據(jù)清單，為各項數(shù)據(jù)安全功能的實現(xiàn)打好基礎(chǔ)。在建立數(shù)據(jù)清單時，一些關(guān)鍵考慮因素包括：

速度——執(zhí)行（無代理）掃描云環(huán)境和檢測敏感數(shù)據(jù)所需的時間；規(guī)模——有效掃描pb級數(shù)據(jù)集而不影響性能的能力；準(zhǔn)確性——識別所有相關(guān)記錄，同時最大限度地減少誤報。

2.數(shù)據(jù)安全態(tài)勢管理

管理云上數(shù)據(jù)安全態(tài)勢意味著要全面分析數(shù)據(jù)風(fēng)險，并持續(xù)評估存儲和訪問敏感數(shù)據(jù)的云資源配置，以及適用于這些資源的安全控制措施。云數(shù)據(jù)安全平臺需要可以持續(xù)檢測并標(biāo)記錯誤配置、漏洞和偏離最佳實踐的情況，從而使敏感數(shù)據(jù)避免處于危險之中。當(dāng)發(fā)現(xiàn)異常情況時，平臺還應(yīng)該提供自動化或半自動化的修復(fù)措施。

3.云上數(shù)據(jù)合規(guī)

符合監(jiān)管部門的管理要求是企業(yè)云數(shù)據(jù)保護的一個重要優(yōu)先事項。對于云數(shù)據(jù)安全平臺而言，需要將敏感數(shù)據(jù)資產(chǎn)映射到相關(guān)的合規(guī)性標(biāo)準(zhǔn)，并突出顯示必要的安全控制（如加密、訪問控制或數(shù)據(jù)保留策略）來解決云數(shù)據(jù)合規(guī)性問題。同時，平臺還應(yīng)該密切監(jiān)測數(shù)據(jù)流動，以查明違反數(shù)據(jù)存儲或隔離要求的數(shù)據(jù)使用行為。

4.訪問管理

通過有效的訪問管理，企業(yè)可以確保云上的敏感信息只能由授權(quán)賬戶訪問，并遵循最小權(quán)限原則。因此，云數(shù)據(jù)安全平臺需要提供對用戶權(quán)限的可見性來降低未經(jīng)授權(quán)訪問的風(fēng)險，幫助管理員監(jiān)控和控制對敏感數(shù)據(jù)的訪問，并快速識別訪問特定數(shù)據(jù)集的人員與實際訪問者之間的偏差或異常。

5.實時監(jiān)控和警報

企業(yè)無法接受數(shù)據(jù)泄露事件的平均檢測時間（MTTD）為幾天甚至幾周。因此，云數(shù)據(jù)安全平臺應(yīng)該具有實時監(jiān)視和警報功能，幫助企業(yè)快速識別和控制對云數(shù)據(jù)資產(chǎn)的攻擊。由于基于代理的解決方案通常不可行，云數(shù)據(jù)安全平臺需要使用替代方法（例如監(jiān)視云日志）來識別與敏感數(shù)據(jù)相關(guān)的異常訪問模式或可疑行為。快速檢測也使安全團隊能夠更有效地減輕云上的安全威脅。

6.影子數(shù)據(jù)檢測

影子數(shù)據(jù)是指未知的、隱藏的或被忽視的敏感信息，這些信息往往都沒有得到適當(dāng)?shù)谋Ｗo和監(jiān)控。云數(shù)據(jù)安全平臺需要可以檢測和分類結(jié)構(gòu)化和非結(jié)構(gòu)化存儲中的影子數(shù)據(jù)，使安全團隊能夠解決潛在的漏洞，并降低由于環(huán)境不受監(jiān)控而引發(fā)的相關(guān)安全風(fēng)險。

7.惡意軟件分析

企業(yè)的內(nèi)部員工和外部客戶可能都會擁有在公司云環(huán)境中存儲數(shù)據(jù)的權(quán)限。例如，自動化機器學(xué)習(xí)工具可能允許用戶以XLSX文件的形式輸入。然而，這可能導(dǎo)致受惡意軟件感染的文件被上傳到云存儲。云數(shù)據(jù)安全平臺應(yīng)能夠掃描現(xiàn)有文件和傳入文件中已知的惡意簽名，識別對象存儲中的惡意文件，以便對其進行適當(dāng)?shù)母綦x和調(diào)查。

8.改善數(shù)據(jù)衛(wèi)生環(huán)境

長期以來，企業(yè)數(shù)據(jù)安全的重點工作和投入都用在如何保障數(shù)據(jù)的機密性、一致性和可用性，而對于數(shù)據(jù)清理/銷毀的投入和重視往往不夠。在合規(guī)形勢異常嚴(yán)峻的今天，如何正確地銷毀數(shù)據(jù)，維護企業(yè)的數(shù)據(jù)衛(wèi)生環(huán)境，已經(jīng)成了全球性的難題和重大隱患。對于云數(shù)據(jù)安全平臺而言，需要能夠在組織未遵循最佳數(shù)據(jù)治理實踐時，提醒安全團隊或數(shù)據(jù)所有者來幫助簡化此過程。

9.支持多云環(huán)境

有越來越多的企業(yè)組織開始跨多個公共云平臺（例如Azure + Snowflake）存儲數(shù)據(jù)。為了簡化操作和降低復(fù)雜性，云數(shù)據(jù)安全平臺應(yīng)該允許組織跨多云環(huán)境應(yīng)用相同的安全策略和威脅建模。云服務(wù)提供商提供的本地工具通常缺少此功能。

當(dāng)企業(yè)開始選型部署云數(shù)據(jù)安全平臺方案時，可以根據(jù)以下要素來評估它們是否真正具有以上所列舉的關(guān)鍵功能：

(1) 威脅模型

如果沒有準(zhǔn)確和最新的威脅模型，即使是最強大的威脅檢測引擎也無法滿足企業(yè)的云數(shù)據(jù)安全防護需求。企業(yè)在選型時，應(yīng)該首先檢查該方案是否有一個強大的安全研究團隊提供支持，同時，該團隊在識別云環(huán)境的新威脅方面具有經(jīng)過驗證的跟蹤記錄。此外，模型還需要能夠根據(jù)新的攻擊向量和防護漏洞不斷更新模型策略。

(2) 覆蓋范圍

企業(yè)應(yīng)該重點評估所選型的云數(shù)據(jù)安全平臺是否能夠全面覆蓋組織當(dāng)前使用或計劃將來使用的各種云數(shù)據(jù)存儲，這可以包括IaaS、PaaS和DBaaS。企業(yè)還應(yīng)該考慮往平臺上添加新數(shù)據(jù)源的速度，以及平臺背后的團隊是否了解與每個數(shù)據(jù)存儲相關(guān)的最新風(fēng)險和漏洞。

(3) 可實現(xiàn)性

企業(yè)應(yīng)該考慮平臺在應(yīng)用實現(xiàn)中需要花費的資源以及對現(xiàn)有系統(tǒng)可能產(chǎn)生的影響。數(shù)據(jù)安全平臺需要將API連接和其他部署進行自動化設(shè)計，這將減輕安全運營團隊的負(fù)擔(dān)。無代理部署速度更快，并且最小化了所需的權(quán)限——當(dāng)您無法訪問物理服務(wù)器（大多數(shù)PaaS和DBaaS都是這種情況）時，它通常是唯一可行的選擇。

此外，云數(shù)據(jù)安全平臺應(yīng)該被設(shè)計成帶外運行模式，這樣就不需要實時數(shù)據(jù)庫連接，這樣它就可以持續(xù)監(jiān)視基礎(chǔ)設(shè)施，而不會直接影響數(shù)據(jù)服務(wù)的性能。在不需要數(shù)據(jù)庫憑證的情況下這樣做可以加快實現(xiàn)和評估。

(4) 安全性

云數(shù)據(jù)安全平臺本身必須也是安全的，要定期檢查是否有任何敏感數(shù)據(jù)離開企業(yè)的合法賬戶并進行掃描或分類操作。企業(yè)還應(yīng)該驗證供應(yīng)商具有必要的產(chǎn)品安全質(zhì)量認(rèn)證（ISO 27001、SOC 2 Type 2等）。

(5) 系統(tǒng)集成能力

云數(shù)據(jù)安全平臺還應(yīng)該與企業(yè)整體安全堆棧中的其他工具和能力有效集成。最相關(guān)的通常是SOAR、SIEM和SOC解決方案，因為這些解決方案使企業(yè)能夠根據(jù)數(shù)據(jù)安全平臺提供的分析報告采取行動。平臺還應(yīng)該與身份提供者（Identity Provider，IdP）集成，這樣有助于為每個數(shù)據(jù)資產(chǎn)提供豐富的活動身份視圖，從而為敏感數(shù)據(jù)保護做出準(zhǔn)確的訪問管理策略。

參考鏈接：https://www.dig.security/post/data-security-platform-key-capabilities-and-criteria

關(guān)鍵詞：