Forrester通過(guò)訪(fǎng)談多位企業(yè)首席信息安全官(Chief Information Security Officer:CISO),發(fā)現各類(lèi)云計算數據保護方案(Cloud Data Protection: CDP)的采用對于企業(yè)實(shí)現安全控制已經(jīng)必不可少。這是因為:
- 存儲在云端的大量企業(yè)敏感數據需要有效的保護措施
- 在云服務(wù)提供商所提供的安全功能之外企業(yè)仍然需要部署數據加密和數據治理
- 云計算提供商并不承擔企業(yè)的數據保護責任
- 外部攻擊和企業(yè)內部過(guò)失都可能導致數據泄露
- 為了防止數據泄露,企業(yè)必須對影子IT(Shadow IT)實(shí)現良好的安全管理
- 隨著(zhù)云計算和移動(dòng)設備使用的增加,企業(yè)需要以用戶(hù)身份(User Identity)作為新的數據保護指標
Forrester訪(fǎng)談了部分云計算數據保護方案(CDP)的用戶(hù),發(fā)現CDP方案不僅能夠減緩針對特定類(lèi)型云計算使用的風(fēng)險,還能夠為企業(yè)帶去附加價(jià)值,其中包括:
- 支持企業(yè)對不同業(yè)務(wù)合作伙伴設置不同的數據訪(fǎng)問(wèn)權限
- 在保證數據訪(fǎng)問(wèn)治理的前提之下支持員工從外部訪(fǎng)問(wèn)企業(yè)數據
- 通過(guò)用戶(hù)訪(fǎng)問(wèn)行為分析(Behavioral Analysis)提早識別出潛在的數據泄露風(fēng)險
- 保護企業(yè)的客戶(hù)數據免遭政府“偷窺”
- 在數據傳輸到云計算平臺之前對其進(jìn)行加密
Forrester的研究顯示,目前市場(chǎng)上的云計算數據保護方案通常都能夠支持多種不同的部署模式。許多廠(chǎng)商還支持客戶(hù)選擇多種架構方案進(jìn)行組合。不同廠(chǎng)商方案的區別在于實(shí)現數據加密的時(shí)間點(diǎn)(即在數據傳輸到云平臺前對其進(jìn)行加密,或是數據傳輸到云平臺后才進(jìn)行加密)。Forrester認為,在選擇和評估CDP廠(chǎng)商時(shí),企業(yè)應該重點(diǎn)考量以下能力:
- 是否能夠實(shí)現與特定類(lèi)型云應用和日志聚合的整合:CDP方案只有通過(guò)與企業(yè)核心SaaS和IaaS環(huán)境實(shí)現整合才能夠發(fā)揮作用。
- 是否能夠在提供數據加密(Encryption)和數據標記(Tokenization)后仍然能夠保障特定功能:在保證數據安全的前提之下支持各類(lèi)基于數據的外部功能是長(cháng)久以來(lái)一直困擾企業(yè)的難題。
- 是否提供出色的用戶(hù)體驗:企業(yè)從來(lái)不想以犧牲用戶(hù)體驗為代價(jià)發(fā)展數據安全。有效的CDP方案應當對授權用戶(hù)可見(jiàn),并支持他們從各種地點(diǎn)和通過(guò)各類(lèi)設備訪(fǎng)問(wèn)其所需要的應用程序。
- 是否支持云環(huán)境中的數據丟失保護功能:許多數據丟失保護(Data Loss Protection, DLP)方案都不支持云中應用的數據保護,企業(yè)的安全和風(fēng)險團隊必須保證現有的DLP系統和規則設置能夠支持云環(huán)境中的數據保護。
- 是否能夠支持企業(yè)業(yè)務(wù)擴張:CDP系統必須保證能夠滿(mǎn)足大型分布式企業(yè)不斷變化的需求。例如,在處理大規模數據量時(shí),核心的數據加密和數據標記引擎必須盡可能降低延遲時(shí)間。
- 是否支持安全協(xié)作:CDP解決方案必須能夠在保證云到云的安全前提下支持協(xié)作,或者支持云平臺內部?jì)热荽嫒『蛥f(xié)作。
- 是否支持與企業(yè)既有身份和訪(fǎng)問(wèn)管理(Identity & Access Management,IAM)功能的整合和互操作:對于SaaS層應用的獲取控制權限對于CDP方案的部署至關(guān)重要。
Forrester的研究顯示,當前市場(chǎng)上的一些CDP功能,包括數據加密、遺有數據檢測和云訪(fǎng)問(wèn)治理等,往往都會(huì )有所重疊。Forrester對不同的CDP 廠(chǎng)商有以下市場(chǎng)觀(guān)察:
- Actifio支持應用層加密的帶內和帶外(in- and out-of-band)的數據虛擬化(Data Virtualization)功能
- Adallom能夠提供數據治理、行為探測以及影子IT發(fā)掘功能。
- BetterCloud提供基于google apps API 的云計算數據治理
- CipherCloud 為基于SaaS平臺的app提供on-premise的基于代理的in-line 數據加密功能
- CipherPoint將on-premises的數據保護功能擴展到了Office 365
- CloudLink支持針對不同層次虛擬堆(Virtualization Stack)的數據加密集中管理。
- CloudLock能夠支持多個(gè)云應用上的數據治理
- Digital Guardian(之前稱(chēng)作Armor5)能夠對企業(yè)數據進(jìn)行虛擬化,方便企業(yè)采用云計算和部署BYOD。
- nCrypted Cloud提供針對存儲在Box, Dropbox, 和 OneDrive上的集中數據加密
- Perspecsys能夠為云計算數據加密提供on-premises 或者托管門(mén)戶(hù)
- Porticor能夠同時(shí)提供分鑰加密(Key-splitting Encryption)和同態(tài)加密(Homomorphic Encryption)。
- Skyfence最主要的產(chǎn)品是針對數據的行為分析、威脅偵測(Threat Detection)服務(wù)。
- Skyhigh Networks提供云計算數據加密、應用發(fā)掘(Application Discovery)和安全智能數據分析(Security Intelligence)服務(wù)。
- Sookasa提供針對存儲在Box, Dropbox, 和 OneDrive上的集中數據加密
- Trend Micro提供針對IaaS的數據加密服務(wù)。
- Vaultive 提供支持on-premise和SaaS的云加密方案。
- Voltage Security借助Perspecsys的云數據加密端口,并且提供IsaS加密。
