数据安全平台(DSP,Data Security Platforms)的概念来源于Gartner的《2021数据安全技术成熟度曲线》,DSP定义为以数据安全为中心的产品和服务,旨在跨数据类型、存储孤岛和生态系统集成数据的独特保护需求。
市场上均出现了提供不同安全能力及组合的数据安全平台或数据安全管理平台,本文主要根据Gartner的文章,分析解读数据安全平台概念形成的原因、发展趋势以及核心的数据安全能力,再结合当前国外典型厂商的产品,从概念和产品了解DSP的建设和落地路线。
主要驱动力
当前数据安全合规要求以及数据安全存在的风险,都要求企业在组织架构、安全架构、数据保护工具等方面进行改善:
保护职能和职责变化:大量的业务活动导致数据量增多,广泛存在于本地、云不同的位置,并且在系统中不断的流动,这对原有数据安全团队的保护职能和职责带来很大的变化。
重复建设和建设周期长:为了满足合规检查,以产品为中心的数据安全建设,存在重复建设和建设周期长的情况
传统管控方式致使数据泄露风险大:采用传统的安全工具和管控模式,无法适应各类数据流通场景,阻止了数据的有效利用,导致数据泄露风险大
安全产品缺乏协同管理:各安全产品缺乏有效的联动和统一管理,传统的竖井式的安全控制措施,导致功能的理解和限制较大。
现有集成方案难以满足防护需求:数据保护的技术一直在更新,需求复杂性的,导致供应商整合和集成这些技术难以很好的满足需求
DSP的发展
下图展示了自 2009 年以来数据安全控制能力汇集情况,一些能力很早就存在,但产品能力都是孤立的,但逐步汇集成数据安全平台后,这些安全能力的协同管理也是当前大多数DSP所积极推进的。
数据安全产品能力的汇集和扩展一般基于核心产品能力进行横向扩展,一类从数据脱敏的功能扩展,横向扩展到DAM数据库活动监控能力、数据处理所需的数据标记化和数据掩码能力;另一类从访问控制能力扩展,通过动态数据脱敏网关的产品重建审计日志,增加DAM能力,数据发现功能,扩展数到据访问治理的能力;还有一类是从基于数据发现和数据分类的能力进行扩展。
图一:数据安全控制能力汇聚示意图
DSP的未来发展状态
从孤立的数据安全产品过渡到数据安全平台,能够显著提高数据的业务利用率和价值,从而实现更简单、一致的端到端数据安全。Gartner认为未来的数据安全防护平台DSP应具有如下主要的特点:
安全策略的一致性和可视化:敏感数据、数据存储的安全策略和规则的一致的可视性,敏感数据的可视性和控制是DSP的关键功能。
数据分类应采用语义功能来判断,而不应依赖预配置的标识符。
整合的策略控制平面,DSP管理控制平面与数据类型和控制对象分离,集中管理数据安全策略,保持数据安全规则的一致性,与环境高度集成,而无需考虑数据或所需的控制目标。
高级别集成和简化部署,以API方式和云交付,比如代理软件或网关,以最小侵入性方式创建DSP的架构,可作为独立工具和基于云的服务产品提供。
Gartner把数据安全的相关概念分成了人员流程层、DSP数据安全平台层、辅助的数据安全基础架构三层,DSP 处于中间。与图一的现状不同,这张图从顶层规划的角度,从甲方视角分层定义了数据安全所需的各类能力,区分了数据安全的基础能力。
人员流程层主要通过处理定义的数据策略和流程来保护公司数据,并主要通过DSP的技术执行。辅助的数据安全基础架构包括了基础通用的数据安全能力,如增强隐私加密、密钥和机密管理、文件加密、磁盘加密、安全数据传输。
图二:DSP在数据安全概念中的位置
DSP平台主要能力及工具
DLP(数据泄漏防护)
DLP技术旨在阻止数据不应该的移动、使用或存放。DLP不单认为是个产品套件,有时也通常被视为一种能力,可能在DSP、SaaS 和IaaS 环境中作为原生的控制,也是安全Web和邮件网关、端点保护平台、云访问安全代理 (CASB) 和防火墙各类产品中的一个安全功能。
数据发现和分类工具
用于搜索数据并分配类别,大多数该类工具都基于模式匹配和敏感度级别的相关性方式执行操作,记录在存储库或作为文档的标记或标签。目前大多供应商正添加基于AI / ML的功能,使能够找出某些含义,摆脱模式匹配方式。
数据访问治理(DAG)
这类产品专注于为非结构化数据实施数据安全访问策略。包含 DAG 的DSP通常提供功能如下:
数据发现
数据分类
数据所有者识别
文件共享的活动监视和审核
网络连接存储 (NAS)
文档存储库,如 Microsoft OneDrive
SaaS内容协作平台,如Box
Directory 服务,例如 Azure Active Directory
扩展的DAG 产品也包含对关系数据存储中的数据治理,例如能够收集用户和角色分配(以及分析权限)、发现敏感数据以及监视数据存储中的数据库用户的活动和相关配置。
大多数安全问题的根源是源于对数据的访问。例如,对数据访问的控制不力可能导致数据泄露或通过勒索软件丢失数据,并且还使DLP等控制变得复杂化。数据访问控制应尽可能执行最小特权原则,并且现有工具跨越了身份和访问管理(IAM)与DSP之间的边界,具体的执行主要通过 IAM 技术完成,数据访问治理能力则通常是DSP的一部分。
数据活动监控(DAM)
能对数据的变化或权限的提升实时检测并告警,对于检测潜在的内部威胁或外部黑客活动,满足合规性要求非常重要。目前DAM除了基于代理的模式监控传统数据库服务器,还可支持使用云数据库API和云API发现数据滥用的信息,但通过API的方式可能无法评估高特权用户(如数据库管理员、系统管理员或云服务提供商 (CSP) 工程师)的能力。
数据脱敏(Data Masking)
数据脱敏转换数据,使其无法读取或至少无法识别,从而允许以合规的方式进行处理。DSP将数据脱敏作为专用的功能或作为作为标记化功能的一部分,其中可以在数据标记化后将数据脱敏对外使用。
静态数据脱敏(SDM)
用于创建数据集的去标识化副本,该操作通常作为计划的批处理任务,或者作为工作流的一部分自动启动。动态数据脱敏 (DDM) 本质上是一种访问控制,当应用程序或人员访问数据时实时应用脱敏操作,因此,DDM 仅为使用中的数据提供保护。当策略授权时,有权限的用户可以访问原始数据。相反,未授权访问敏感信息的实体将获得脱敏后的数据。非结构化/半结构化编辑 (USR) 可以通过数据编辑技术保护敏感的非结构化(PDF、Excel 文件、文本文件、日志文件等)和半结构化(XML、JSON 等)内容。
数据库加密(字段/记录)
字段级加密 (FLE) 可以保护各个字段和文档,所有密钥管理、加密和解密操作都仅在数据库服务器外部进行。启用 FLE 后,失陷的管理员或用户在获取对数据库、底层文件系统或服务器内存内容的访问权限时(例如,通过抓取或进程检查)将只能看到不可读的加密数据。在关系数据库中启用FLE时,则通常使用标记化功能,列级加密在Microsoft SQL Server 2018及更高版本的一部分更为普遍。由于加密的字段和列不容易处理,实际使用中经常放弃FLE或列级安全性。
标记化
标记化和格式保留加密 (FPE)是通过在将数据字段的值加载到应用程序或数据存储区时,其值替换为替换字段来保护数据字段。因为算法被设计为可逆的,应用程序或用户如果需要实际数据值,则可以将替代项转换回来,这些算法提供实际值和令牌之间唯一且一致的映射,从而保持引用的完整性,标记化的使用场景也越来越多。
数据风险分析
数据风险分析是一种数据安全的一种方法,从数据据分类标签、数据访问权限、行为数据以及数据存储的配置或漏洞等维度,来计算各类数据风险评分和其他数据风险指标,并执行数据风险分析,用于在泄露发生之前修复差距。
DSP 能够在不同程度上具备数据风险分析能力。例如,部分DSP 有一个大屏展示,其中使用业务厂商自定义的方式计算数据风险,并以颜色区分或使用百分比分数显示。
隐私增强计算 (PEC)技术
PEC技术是在数据在不安全或潜在的敌对环境(如计算云或数据生态)中使用,并保护数据,以实现安全的数据处理和数据分析。硬件技术(可信执行环境)提供了可以处理数据的安全环境(也称为“机密计算”),基于软件的技术依赖于数据和/或算法的转换,因此无法确定原始数据,但计算和分析仍然是可能的。这包括同态加密(HE),安全多方计算(SMPC)和零知识证明(ZKP),例如私人信息检索(PIR)和私有集交集(PSI)。PEC技术的关键应用场景包括:AI模型训练并与第三方共享模型,在数据驻留限制下使用公共云平台,内部和外部分析和商业智能活动。
现阶段DSP现状差距
以上为Gartner的构想,但在企业当前的环境、数据安全厂商的产品方案与之相比,仍有不少差距,阻碍DSP 发展的重要差距包括:
数据安全的孤岛——数据安全的孤岛致使难以扩展,也难以支持业务的数字化转型。DSP 的实施需要跨数据安全团队、合规人员和数据专家采用协调一致的方法。在某些大型政企机构,这些组织架构、预算流程和职责划分非常详细,DSP落地存在较大的阻力。
敏感数据类型精细化识别和控制——数据发现功能的差距,因为现有数据发现功能在扫描数据库中的数据时,无论是仅扫描元数据或标识符,通常并没有发现真正的敏感数据。例如,如果数据分类工具扫描到一个日期,那么它不知道它是出生日期、交易日期还是文章的日期;敏感数据发现必须由DSP产品本地提供,并提供数据脱敏或数据水印的保护能力。
缺乏可集成的IT架构——独立的安全设备或云上产品需要通过组件化的方式迁移到DSP中。各个安全组件具有可组合、可扩展、灵活和有弹性的部署方式的特征,而不是每个安全工具独立的运行。云交付的DSP和数据安全即服务 (DSaaS) 提供的组件部署模型可以显着降低复杂性、资金投入,并提供更多的数据安全控制能力。
从需要了解到需要共享的范式转换——传统上对于如何帮助企业领导者将数据商业化,其看法的视角主要侧重于感知数据安全和合规性的障碍。基于安全政策要求保护数据安全,从而限制需要获取数据的员工的访问权限,然而数据只有在业务场景中充分共享时才有价值。如果在更广泛的范围共享,需要更全面更先进的数据安全方法,例如DSP和数据安全治理。
建设思路落后——数据安全厂商只关注单个数据安全产品的使用周期,而不是将其产品组合重新构建为综合的DSP,缺乏数据安全持续运营的思维。
分步骤建设建议
Gartner基于上述的未来愿景和差距分析,提出了适合大多数企业的DSP采用和迁移规划的模板,并将建议分为高优先级、中优先级和低优先级部分,这些分阶段的演进建议可以理解为典型企业要求实现上述Gartner提出的以DSP为中心的数据安全的概念,需要开展的关键任务。
高优先级
在接下来的一到两年内,企业应该优先处理:
1、制定路线图。确定传统数据安全在哪些方面阻碍了组织提高数据价值,简化当前以数据为中心的安全架构,克服已知的痛点和障碍。组建一个联合的 D&A、合规和安全团队,制定一个务实而共同的愿景,为整个数据供应链的 DSP 转型制定三到五年的路线图;并通过使用尚未实现的数据处理和数据共享用例,提供足够的数据安全性和数据效果,展示DSP更大的回报价值。
2、确定不适合当前环境的数据安全控制功能,一类是孤岛类功能,如表单控件,不能与其余控件或产品很好地集成;另外一类是无法提供预期价值,且不能积极促进安全目标的功能,如DAM 每分钟提供数千个不相关的日志条目,不能实现深入了解数据库上实际发生的情况,自动数据分类工具不断对数据进行错误分类或错误标记,数据分类工具需要太多的组件和依赖项而无法完成对数据的分类。
3、优先整合DSP架构,这些架构将多个组件整合到基于 API 的方法、云服务或至少单个代理中。通过在更新数据发现、标记化和数据屏蔽能力时整合供应商来降低成本并降低复杂性,并且是很好的起点。设定三到五年的目标,以取代 90% 的独立数据安全控制。
4、利用合规要求加速部署DSP。利用外部的合规性要求或立法,是加速为数据(存储)部署DSP的机会。
5、更新数据安全策略和数据安全治理框架。重新评估现有政策、流程和标准的效力和效果。 转变以往默认锁定数据的原则,改为通过安全的数据共享,以使数据展现其价值
中等优先级
在接下来的 2到3年内(可能会加速,以配合隐私目标、云迁移项目或 AI 数据湖项目),企业应该:
1、选择适当的DSP功能,停用并替换已确定为不适合用途的数据安全控制。选择限制为仅等效的控制和功能可能会不必要地阻碍。
2、定义技术要求和流程指南。标准或指南应详细说明要考虑的业务,技术和安全要求,并描述如何在DSP中反映这些要求。流程和程序应定义如何实施、维护和监控 DSP。
3、增强数据风险评估,并使用DSP作为集成点将指标整合在一起。许多 DSP 已经拥有基于供应商定义的指标的集中式数据风险仪表板。虽然肯定不完美,但这些指标是定期数据风险评估和数据风险分析的重要输入。
较低优先级
寻找机会将DSaaS用作“数据库”。Gartner观察到DSaaS 产品正在不断发展,既可以获取和保护数据,也可以共享数据。与传统银行根据要求获取您的资金并为您保护和支付的模式非常相似。这很可能是下一个转型步骤。
DSP相关产品实践
CipherTrust 数据安全平台,Thales 2019年收购了 Gemalto公司,其Vormetric数据安全平台被整合到了Thalestct的 CipherTrust Data Security Platform。
图三:CipherTrust data security platform示意图
CipherTrust数据安全平台集成了数据发现分类、数据保护和访问控制以及监控四大类的能力,并集成企业的密钥管理。其数据安全功能具体包括了:
集中的管控平台,提供集中管理加密key管理和安全策略的配置;
数据发现和分类,可以支持结构化或非结构化数据,横跨云、本地传统数据存储和大数据环境;
透明加密,提供数据静态加密、特权用户访问控制和详细的访问审计日志功能;提供多类操作系统的客户端;
应用数据加密,通过API提供加密的功能,如key管理、签名、哈希和加密服务,并提供参考代码供开发者快速定制客户化的方案;
标记化,CipherTrust Tokenization 提供有保险库和无保险库方案,标记化取代敏感具有代表性令牌的数据,以便保留敏感数据与数据库和未经授权的用户分开,并确保安全和系统。无保管库产品包括基于策略的动态数据屏蔽。这两种产品都可以轻松地将标记添加到应用程序。
数据库保护,CipherTrust 数据库保护解决方案集成了数据加密用于数据库中的敏感字段,具有安全、集中的密钥管理并且无需更改数据库应用程序。
密钥管理,支持云密钥管理、透明数据库加密密钥管理、KMIP server集中管理KMIP客户端。
从CipherTrust数据安全平台支持的功能看,除了隐私计算、DLP能力、数据访问治理、数据活动监控功能,均支持了Gatner提到的DSP和附加的基础安全能力。其他的国外厂商,比如著名的数据发现和分级分类工具厂商Netwrix公司,通过收购Stealthbits,扩展了DAG和SQL的保护功能,形成了敏感数据发现、自动化访问修复、访问管理授权、数据威胁检测、数据风险评估为主要功能的数据安全平台。
总结
Gartner通过引入DSP数据安全平台,重构了企业数据安全所需的三层数据安全能力,展现了未来的蓝图,也为数据安全平台的发展和数据安全的建设提供了较为全面的借鉴和参考:
数据安全应是体系化的,应嵌入基础设施、按需提供数据安全服务、涉及人员和流程;
数据安全的建设应组建跨数据分析、合规、安全等多个部门参与的组织推进;
合规仍是推进、加速数据安全平台建设的主要驱动力;
数据安全平台能力的汇聚聚合是市场持续发展的结果;
数据安全的运营需求也是安全能力加强协作的动力;
未来的数据安全平台的发展的趋势也是云化、组件化部署并提供统一的策略控制平面。