國際數據泄露分析機構“Data Breach Statistics”調查顯示,全球每天已發(fā)現(xiàn)的數據丟失與泄漏達到620萬條。云端數據因為存在多種類型數據源難于有效識別、數據訪問API化導致數據出口通道多難于有效管控、應用微服務化導致數據流轉復雜難于有效審計等特點,長期存在識別難、防護難、泄漏檢測難等突出問題。常規(guī)基于邊界的安全防護產品,在出現(xiàn)權限信息外泄或者主機被遠程控制的情況下,很難針對后續(xù)數據竊取攻擊實施響應;而目前市場上常見數據安全產品也主要針對終端文件保護或者傳統(tǒng)RDS數據庫保護而無法有效適應云端數據特點,缺乏針對云端數據的原生保護能力。
為了專門解決云上敏感數據保護存在的上述問題,阿里云SDDP通過建立識別、保護、檢測三段式云端數據保護框架,實現(xiàn)了結構化數據(如RDS/ODPS)、半結構化數據(如表格存儲)、非結構數據(如OSS對象存儲)的同標準識別,覆蓋了云端離線計算、實時計算等多種數據類產品,重新定義了“外防內控、縱深防御”的數據安全防護理念,強力打造云端數據貼身防護能力。
基于客戶最常見的三大數據安全場景,SDDP可以有效增強安全管理與防護能力:
- 敏感數據的發(fā)現(xiàn)與管理:在很多數據安全泄漏事件案例中,很多客戶不清楚云端保存的敏感數據的分布情況。客戶可以使用SDDP內置的敏感數據識別模型實現(xiàn)敏感數據的識別與打標,同時也能根據業(yè)務實際需要定制自己的識別規(guī)則。
- 敏感數據使用的安全脫敏:如果客戶在開發(fā)環(huán)境/測試環(huán)境/數據分析的環(huán)境中需要使用到敏感數據,用戶可使用SDDP實現(xiàn)數據靜態(tài)脫敏,該產品通過組合各種不同的脫敏算法,能夠實現(xiàn)保留格式、保留統(tǒng)計特征等業(yè)務需求。
- 數據泄漏異常檢測與處置:針對已經繞過邊界或者來自內部的數據竊取行為,SDDP可以通過不斷學習賬號行為,完善賬號行為基線畫像,一旦某個賬號發(fā)生異常行為就會持續(xù)跟蹤,并自動報警做相應處理,防止敏感數據被不該訪問的人訪問。
通過上述安全能力的傳達,SDDP可以為客戶帶來以下安全價值:
- 外部攻擊守源端:通過識別/保護/檢測三段式能力框架,SDDP能針對已經繞過邊界的外部攻擊行為,實現(xiàn)基于數據源的近場防護。
- 內部竊取能發(fā)現(xiàn):針對來自內部的竊取行為,SDDP通過異常檢測有效發(fā)現(xiàn)內部異常賬號,有效檢測來自內部的竊取行為,做好數據的貼身保鏢。
數據安全是所有企業(yè)的關注的核心問題,在最新發(fā)布的等級保護2.0最新標準中也對個人信息保護、數據分類分級、數據泄漏檢測提出了新的要求。阿里云一直將保障用戶數據安全作為第一準則,同時致力于把阿里巴巴多年安全能力通過產品化的形式給到所有云上用戶,助力用戶做到數據的可管可控,滿足合規(guī)要求,更好的促進業(yè)務的健康發(fā)展。
