國際數據泄露分析機構“Data Breach Statistics”調查顯示,全球每天已發(fā)現的數據丟失與泄漏達到620萬(wàn)條。云端數據因為存在多種類(lèi)型數據源難于有效識別、數據訪(fǎng)問(wèn)API化導致數據出口通道多難于有效管控、應用微服務(wù)化導致數據流轉復雜難于有效審計等特點(diǎn),長(cháng)期存在識別難、防護難、泄漏檢測難等突出問(wèn)題。常規基于邊界的安全防護產(chǎn)品,在出現權限信息外泄或者主機被遠程控制的情況下,很難針對后續數據竊取攻擊實(shí)施響應;而目前市場(chǎng)上常見(jiàn)數據安全產(chǎn)品也主要針對終端文件保護或者傳統RDS數據庫保護而無(wú)法有效適應云端數據特點(diǎn),缺乏針對云端數據的原生保護能力。
為了專(zhuān)門(mén)解決云上敏感數據保護存在的上述問(wèn)題,阿里云SDDP通過(guò)建立識別、保護、檢測三段式云端數據保護框架,實(shí)現了結構化數據(如RDS/ODPS)、半結構化數據(如表格存儲)、非結構數據(如OSS對象存儲)的同標準識別,覆蓋了云端離線(xiàn)計算、實(shí)時(shí)計算等多種數據類(lèi)產(chǎn)品,重新定義了“外防內控、縱深防御”的數據安全防護理念,強力打造云端數據貼身防護能力。
基于客戶(hù)最常見(jiàn)的三大數據安全場(chǎng)景,SDDP可以有效增強安全管理與防護能力:
- 敏感數據的發(fā)現與管理:在很多數據安全泄漏事件案例中,很多客戶(hù)不清楚云端保存的敏感數據的分布情況。客戶(hù)可以使用SDDP內置的敏感數據識別模型實(shí)現敏感數據的識別與打標,同時(shí)也能根據業(yè)務(wù)實(shí)際需要定制自己的識別規則。
- 敏感數據使用的安全脫敏:如果客戶(hù)在開(kāi)發(fā)環(huán)境/測試環(huán)境/數據分析的環(huán)境中需要使用到敏感數據,用戶(hù)可使用SDDP實(shí)現數據靜態(tài)脫敏,該產(chǎn)品通過(guò)組合各種不同的脫敏算法,能夠實(shí)現保留格式、保留統計特征等業(yè)務(wù)需求。
- 數據泄漏異常檢測與處置:針對已經(jīng)繞過(guò)邊界或者來(lái)自?xún)炔康臄祿`取行為,SDDP可以通過(guò)不斷學(xué)習賬號行為,完善賬號行為基線(xiàn)畫(huà)像,一旦某個(gè)賬號發(fā)生異常行為就會(huì )持續跟蹤,并自動(dòng)報警做相應處理,防止敏感數據被不該訪(fǎng)問(wèn)的人訪(fǎng)問(wèn)。
通過(guò)上述安全能力的傳達,SDDP可以為客戶(hù)帶來(lái)以下安全價(jià)值:
- 外部攻擊守源端:通過(guò)識別/保護/檢測三段式能力框架,SDDP能針對已經(jīng)繞過(guò)邊界的外部攻擊行為,實(shí)現基于數據源的近場(chǎng)防護。
- 內部竊取能發(fā)現:針對來(lái)自?xún)炔康母`取行為,SDDP通過(guò)異常檢測有效發(fā)現內部異常賬號,有效檢測來(lái)自?xún)炔康母`取行為,做好數據的貼身保鏢。
數據安全是所有企業(yè)的關(guān)注的核心問(wèn)題,在最新發(fā)布的等級保護2.0最新標準中也對個(gè)人信息保護、數據分類(lèi)分級、數據泄漏檢測提出了新的要求。阿里云一直將保障用戶(hù)數據安全作為第一準則,同時(shí)致力于把阿里巴巴多年安全能力通過(guò)產(chǎn)品化的形式給到所有云上用戶(hù),助力用戶(hù)做到數據的可管可控,滿(mǎn)足合規要求,更好的促進(jìn)業(yè)務(wù)的健康發(fā)展。
