Forrester訪談首席信息安全官和企業(yè)技術(shù)管理人員的結(jié)果表明,企業(yè)已經(jīng)認識到了云數(shù)據(jù)保護(Cloud Data Protection:CDP)對于敏感數(shù)據(jù)的保護不僅重要,而且是企業(yè)實現(xiàn)云服務(wù)安全控制的必要措施,這是因為:
- 敏感數(shù)據(jù)遷移到云端之后超出企業(yè)的可控范圍。
- 企業(yè)不應(yīng)該認為云服務(wù)商的安全措施萬無一失。
- 企業(yè)可以將工作負載遷移到云端,但是責(zé)任不能轉(zhuǎn)移。
- 許多數(shù)據(jù)泄露事件都是由于企業(yè)內(nèi)部員工泄露或者對合作伙伴的攻擊。
- 企業(yè)必須在數(shù)據(jù)泄露之前發(fā)現(xiàn)、控制并且保證自影子IT*的安全
- 盡管云和移動平臺的利用發(fā)展迅速,企業(yè)范圍內(nèi)的數(shù)據(jù)保護措施也正在趕上來。
*注釋:影子IT(Shadow IT)是指企業(yè)的一線業(yè)務(wù)部門所擁有的IT設(shè)施;通常情況下這類IT設(shè)施不處在公司正式IT部門的管理之下,因此有可能會有更高的運營和安全風(fēng)險。
Forrester在采訪一些早期采用CDP方案的企業(yè)后發(fā)現(xiàn),除了能夠緩解一些云服務(wù)相關(guān)核心數(shù)據(jù)的風(fēng)險,CDP還能夠為企業(yè)帶來以下好處:
實現(xiàn)數(shù)據(jù)傳播的控制,只有獲得授權(quán)的業(yè)務(wù)伙伴才可以訪問數(shù)據(jù)。對SaaS的數(shù)據(jù)進行加密是實現(xiàn)數(shù)據(jù)保護的有效措施,因為加密能夠有針對性地提供細粒度數(shù)據(jù)訪問權(quán)利。這樣一來,當(dāng)用戶登錄SaaS應(yīng)用時,云加密能夠保證該用戶只看到他/她被授權(quán)獲取的內(nèi)容。
使員工隨時隨地進行辦公并監(jiān)管其數(shù)據(jù)訪問。CDP技術(shù)通常能夠提供一個有關(guān)云數(shù)據(jù)獲取的統(tǒng)一策略,用戶從任何地方、以任何設(shè)備登錄并訪問數(shù)據(jù)的行為都受該策略約束。
通過分析用戶的數(shù)據(jù)獲取行為提前檢測出可能的數(shù)據(jù)泄露。來自企業(yè)內(nèi)部的數(shù)據(jù)違規(guī)或者高級持續(xù)性的數(shù)據(jù)威脅需要通過某種方式從企業(yè)內(nèi)部獲取數(shù)據(jù),這往往意味著大規(guī)模的數(shù)據(jù)操縱和轉(zhuǎn)移行為。因此,用CDP工具創(chuàng)建日常的數(shù)據(jù)獲取基準線不僅能夠阻止非法數(shù)據(jù)的獲取,還能夠偵測到后續(xù)的數(shù)據(jù)泄露。
保護客戶數(shù)據(jù)免于政府監(jiān)控。CDP方案通常在將數(shù)據(jù)傳輸或存儲到云環(huán)境之前就對其進行加密并將唯一的秘鑰提供給該數(shù)據(jù)的擁有企業(yè)。對于有隱私擔(dān)憂的企業(yè)而言,CDP不僅可以幫助它們實現(xiàn)與本國數(shù)據(jù)法規(guī)的合規(guī),還可以幫助企業(yè)保護其客戶數(shù)據(jù)在另一個國家免于政府監(jiān)控。
幫助企業(yè)在一定程度上從云服務(wù)供應(yīng)商處收回其數(shù)據(jù)控制力。即便云服務(wù)提供商提供CDP解決方案,企業(yè)的安全和風(fēng)險專業(yè)人員仍然對于技術(shù)細節(jié)和相關(guān)性不夠確定;此外,通常情況下,企業(yè)都不能夠要求云服務(wù)供應(yīng)商公開相關(guān)的細節(jié)信息。然而,企業(yè)的安全和風(fēng)險專業(yè)人員有充分的理由關(guān)注云服務(wù)提供商的數(shù)據(jù)加密方法、秘鑰管理方式、身份管理、網(wǎng)絡(luò)登錄和數(shù)據(jù)取證可用性。因此,使用第三方的CDP方案能夠幫助企業(yè)在不能獲得更詳細云服務(wù)技術(shù)細節(jié)的情況之下在一定程度上實現(xiàn)數(shù)據(jù)的控制。
在數(shù)據(jù)遷移到云端之前對其加密。傳輸過程中的數(shù)據(jù)加密以及云服務(wù)提供商的數(shù)據(jù)加密措施還不足夠,企業(yè)的安全風(fēng)險專業(yè)人士越來越傾向于在敏感數(shù)據(jù)離開本企業(yè)之前就對其實現(xiàn)加密。
CDP方案具備多種部署模式,廠商的方案往往是以下幾種架構(gòu)方式的綜合體。不同方案的區(qū)別在于數(shù)據(jù)遷移到云端之前加密方式的不同。
No.1云中的CDP加密網(wǎng)關(guān)。
No.2本地部署的CDP加密網(wǎng)關(guān)。
No.3用戶端插件式CDP加密。
No.4云中虛擬層或物理層集中式驅(qū)動器加密
No.5云數(shù)據(jù)治理平臺
企業(yè)開展數(shù)字業(yè)務(wù)需要借助云服務(wù)的靈活性、時效性、更優(yōu)異的成本結(jié)構(gòu)等優(yōu)點。在實現(xiàn)合規(guī)目標之外,企業(yè)的安全風(fēng)險專業(yè)人員應(yīng)該通過使用CDP來發(fā)現(xiàn)和管理機構(gòu)內(nèi)部影子 IT。安全風(fēng)險人員可以利用CDP識別企業(yè)內(nèi)部的各種數(shù)據(jù)模式,從而更深刻的了解自身對于云服務(wù)的需求。在充分了解自身的業(yè)務(wù)需求、機構(gòu)數(shù)據(jù)流以及所需要進一步支持的云服務(wù)項目之后,企業(yè)的安全和風(fēng)險專業(yè)人士才能夠有效選擇適合自身的CDP方案。
