1.背景
数字化时代方兴未艾的当下,数据量级激增。
据IDC发布《数据时代2025》的报告显示,全球互联网每年产生的数据将由2018年的33ZB增长到2025年的175ZB,相当于每天产生491EB的数据,如果将其全部刻录在DVD中,累叠起来可以绕地球222圈。
量变带来质变,在绝对的量级面前,数据的可见度、攻击面都在悄然发生改变,对实时且持续的数据监控需求暗示着云上数据保护的底层思路转变。Gartner于今年发布了DSPM(数据安全态势管理)创新洞察报告,强调数据态势风险感知的重要性,通过数据洞察、数据审计、威胁监控等方式,持续绘制云上资产风险地图,从治理角度实现数据安全。
阿里云数据安全中心DSPM(数据安全态势管理)
旨在提升企业安全、合规管理者对于其数据分布、流转、风险的可视性,帮助企业更加透明的了解到高保密、高隐私数据的分布、所属、访问权限及其整体安全态势,为开展数据风险评估工作、制定数据安全治理策略提供指引。
近日,阿里云数据安全中心上线了全新的DSPM能力,帮助客户实现云上数据保护的可见性、持续性和统一性,这也是数据风险防控的先决条件。
2.Map Your Data
2.1绘制云上数据地图
数据治理,首先要做到的是持续提升可见性,即回答:我的数据在哪里,这个最基本的问题。
在线下环境,数据可见度低的痛点往往来自于难以追踪的硬件资产、不一致的版本、未记录在册的遗留资产...在云上,统一的底座和开放的接口让数据集的扫描和管理成为可能,但快速的迭代、产品的多元、地域的分割... 全新的问题又指向了同样的结果——低可见度下产生的影子数据。
阿里云统一的云上架构为解决数据安全管理的割裂提供了可能:
- 全域数据发现:基于云原生自动化的资产发现能力,对账号下的OSS、RDS、MaxCompute、MongoDB等8类数据安全资产统一进行扫描,并集中在同一控制台展示,发现被遗忘的影子数据库;
云上灵活数据流转带来的可见度下降
- 敏感数据识别:在覆盖云上多数据源的情况下,支持200种文件类型、500种以上的敏感数据识别能力,支持标识个人信息及个人敏感信息,帮助客户更好的了解企业敏感数据分布,圈定数据合规治理范围;
- 数据分类分级:内置多种分类标准,包括阿里集团及蚂蚁安全数据最佳实践、金融、能源、汽车行业分类分级模板,同时支持客户自定义分级标准,为数据风险处理优先级提供细粒度判断依据;阿里云数据安全中心也是云厂商中首家通过中国信通院分类分级能力的产品,在数据源识别、分类分级模板、结构化/非结构化数据识别等项目上均有出色的表现;
持续性的数据扫描、识别、分级,发现不安全的影子数据库、数据pipeline等,实际提升的是对云上数据的可见度,通过了解数字资产分布、敏感数据分级,为后续的风险识别和处理打下基底。
3.Manage Your Data
3.1云上数据风险治理:发现未知风险
云上环境的多变复杂,降低了数据可见度,也诞生了新的数据攻击面。在CSA 2022年发布的《Top Threats to Cloud Computing》中,错误配置被视为TOP 3风险。落脚到数据,也是一样,错误配置带来的不仅仅是数据泄漏,更会引发监管侧的合规触发。面对着快速激增、变化的数据流,静态的单点防护工具已无法满足需求,企业需要更需要细粒度的、统一的配置策略管控。
阿里云数据安全中心DSPM能力,从GB/T 37988-2019《信息安全技术数据安全能力成熟度模型》为依据,定义了8种常见的数据风险场景,并通过统一的控制台进行报警,降低企业运维复杂度。
1.以数据为中心的配置管控
云上从来不缺少配置工具,但往往落脚于整体安全的防护,要么过于泛化,要么过于定制。而着眼于每一个数据库,甚至每一个数据表,应该配置什么样的访问权限、是否该开启默认备份、哪些数据需要加密...现有的配置工具难以覆盖。
阿里云DSPM工具在对结构化和非结构化数据梳理,获得可见性的基础上,定义了以下8类常见的数据安全风险态势,支持50+检查项,在定位风险的同时,结合数据识别与分类分级结果,优先报警高敏感数据风险,让客户的数据治理更具指向性。
(阿里云DSPM风险态势检测能力项)
2.统一的基线扫描及策略下发
云上所有的各类数据产品,有着不同的入口和控制台,所覆盖的策略各样,缺乏统一的数据安全配置。在实际的运维操作中,复杂散乱的流程往往带来信息的遗漏和错位。
不同于线下的各自为政,云上原生化的优势,使得多产品联动、多策略拉齐、多功能集成成为可能。阿里云数据安全中心通过获得授权API接口,将8类不同数据产品的监控统一,并根据阿里云数据安全最佳实践形成的检测基线,对各类数据资产实现统一的扫描检测,包括身份权限、敏感数据、访问控制、数据备份、数据传输加密等多条检测项,用户在单一的控制台即可实现全域数据态势监控。
(阿里云安全基线检测能力项)
4.Protect Your Data
4.1云上数据风险保护
提升可见性、发现态势风险,最终都导向对数据的细粒度防护,阿里云数据安全中心通过数据动静态脱敏、数据加密、数据审计,提供客户数据风险治理的手段。
DSPM作为一个新起不久的概念仍在飞速发展中,数据血缘、风险处理等等技术仍在完善和发展。国际著名咨询机构Gartner预测,到2026年,将会有超过20%的企业部署DSPM技术。而云化、原生化,则是DSPM发展的方向,无论是覆盖全域的数据类型、跨域跨账号识别影子和敏感数据,还是通过底层集成来判断SaaS产品间的数据流动与互访,亦或是和已有的防护工具结合,统一策略配置与下发,都依赖于和基础设施的深度耦合。
数据安全是云上客户最为关注的问题之一,数据在产生、存储、交换、销毁等流程中面临着不同的风险,并非单点技术可解决,而是需要自上而下的体系化建设,阿里云从物理机房、IaaS、PaaS、SaaS层为客户提供7大数据防护能力,涉及数十项能力点。未来,阿里云也将持续致力于为客户数据提供安全的环境和保护能力,保护客户数据安全。
数据安全中心现已开放免费试用,如需了解详情,可扫码申请👇
(钉钉/支付宝扫码登录填写)