在数字化时代,数据作为新型生产要素,其安全影响着数字经济的健康发展。所谓数据即业务,数据是业务的基础,业务离不开数据的支持和驱动。因此,数据安全是一个企业绕不开的话题。而随着企业数据上云,云上数据安全又该如何保障?本篇文章将介绍目前云上数据安全面临的挑战,以及宵明·云安全态势管理平台(CSPM)的解决思路。
云上数据安全事件敲响警钟
通过回顾近几年云上数据安全事件,可以看到云上数据的安全风险存在于各行各业。这些安全事件引发了广泛的担忧,促使企业和个人更加重视云上数据安全。
2018年,剑桥分析公司因涉嫌滥用Facebook用户数据而引发了一场全球范围的数据泄露丑闻。该公司通过一款心理测验应用程序收集了数百万Facebook用户的个人数据,并将这些数据用于政治目的,影响选民倾向。这一事件揭示个人云上数据的潜在风险,用户隐私受到了前所未有的威胁。
2022年1月,美国数字化调度平台FlexBooker遭遇数据泄露,该公司声称已解决了这个问题。然而大约在同一时间段,安全研究人员报告了涉及FlexBooker云服务器的另一起泄露事件,多达1900万用户的个人数据外泄。调查发现,该公司使用AWS S3存储桶来存储数据,但并未实施任何安全措施。
2022年10月,网络安全供应商SOCRadar 表示,在搜寻和监控公共云存储桶的过程中,发现了六个由微软管理的大型公共存储桶,其中暴露了覆盖123个国家/地区超过15万家公司的信息,发现暴露的数据总计2.4TB。
这些真实的云上数据安全事件说明了数据安全的重要性和对企业声誉的潜在影响。频发的安全事件,也给企业敲响警钟。数据上云后,承载了企业核心业务的数据安全该如何保障呢?
当下数据安全工具在云上局限性
数据上云后,当下的数据安全工具在云上具体有哪些局限性呢?
多租户
云计算采用多租户模型,多个用户共享相同的基础设施和资源。传统数据安全工具可能无法提供足够的隔离和保护,以防止其他租户或未授权用户访问敏感数据。
新型数据存储方式
数据上云后,新型的数据存储方式(如分布式数据库、基于容器的数据库、无服务器数据库等)在云计算时代的主流应用中越来越常见。新型数据存储方式也带来了一些新特性。例如,在云环境中,分布式数据库将数据分配到多个节点和区域,以提供高可用性和可伸缩性。由于数据的分散性和操作的复杂性,传统数据安全工具可能无法全面追踪和审计分布式数据库的各个操作节点。再比如,数据库以容器形式部署和运行,数据库实例和数据存储可以动态迁移和调度等,传统数据库审计工具难以覆盖容器化数据库的所有操作。
服务托管数据库
云服务商提供的托管数据库服务(如Amazon RDS、Azure Database、Google Cloud SQL等)通常提供了简化的管理和维护,但传统数据安全工具可能无法直接集成和审计这些服务的内部操作和事件。
综上,传统数据安全工具在当前云计算时代面临着多租户环境、新型数据存储方式、公有云托管等多种局限性。为了应对这些局限性,企业需要采用基于云计算的新型数据安全工具。
业界前沿的云数据安全方案DSPM
Gartner在其发布的《2022年数据安全技术成熟度曲线》报告中,提出了一种新的数据安全方案——数据安全态势管理(DSPM)。
默安科技安全专家团队通过调研国外一些DSPM厂商(Varonis、SailPoint、SecureWorks和Digital Guardian)后总结,DSPM产品主要功能包括数据识别与分类、数据访问分析、权限管理与控制、数据保护、数据防泄露、合规性和报告等,以确保敏感数据不被未经授权地访问、泄露或滥用。目前国内外对于DSPM的技术思路已经趋近一致。
默安科技云数据安全解决方案
宵明·云安全态势管理平台(CSPM)包含数据安全治理模块,覆盖DSPM能力,实现了云安全态势管理和数据安全态势管理的结合,建立统一的数据和云安全管理策略,以保护组织的敏感数据和云资源安全,且更为聚焦地从云上数据库安全的角度出发,帮助企业进行云上数据安全的治理。
自动数据发现
宵明能自动识别跨越多个云服务商存储敏感数据的多种服务,包括对象存储、块状存储、数据库服务在内,如Amazon S3、Google Cloud Storage、Azure Blob、阿里云OSS等。
数据分类分级
宵明使用机器学习的方式理解数据的内容,将它们按照PCIDSS、HIPAA、个人信息保护法等法律法规的要求分类分级。这使组织可以更有效地管理其数据安全状况,确定不同数据资产的安全策略和事件响应的优先级。
数据暴露检测
综合储存桶访问控制ACL、权限策略Policy、文件ACL,通过逻辑检测分析储存桶中文件暴露风险,防止发生敏感数据泄露等重大安全问题。
图 宵明检测逻辑
恶意文件扫描
通过多种病毒检测引擎,实时检测云存储中携带蠕虫、木马、脚本病毒等恶意内容的文件,帮助用户及时识别和清理潜在的安全威胁。
数据使用审计
收集所有数据存储服务的日志并在独立的位置存储,审计存储桶级别的创建、修改安全策略等行为日志,以及文件对象级别的文件读取、存储、修改、删除等行为日志,发现任何异常的数据访问行为并及时阻断。
结语
数据安全保障能力正成为国家发展数字经济、维护数据安全的主要能力。本篇文章从云上数据库安全角度出发,阐述宵明在云上数据安全治理方面的能力,为企业云上数据安全保驾护航。后续本系列也将持续更新,敬请关注。
