自己使用原生php做网站性能,快速搭建小程序,企业公众号运营方案,网站系统开发考虑到组织存储大量数据的日益复杂的云环境#xff0c;数据安全态势管理 ( DSPM )的兴起并不令人意外。使组织能够全面了解云数据资产和敏感数据的安全状况的流程对于当今的安全团队来说非常有价值。
尽管 DSPM 的重要性日益凸显#xff0c;但人们对于它能为企业做什么和不能…
考虑到组织存储大量数据的日益复杂的云环境数据安全态势管理 ( DSPM )的兴起并不令人意外。使组织能够全面了解云数据资产和敏感数据的安全状况的流程对于当今的安全团队来说非常有价值。
尽管 DSPM 的重要性日益凸显但人们对于它能为企业做什么和不能做什么仍然存在误解。
随着数据对公司变得如此有价值它在各地呈爆炸式增长。公司正在将数据转移到云端将其聚合在数据仓库和 SaaS 应用程序中并在系统之间实时传输数据以做出决策。随着安全攻击猖獗企业担心数据泄露会扰乱业务运营和创新。
传统的数据丢失防护(DLP) 方法尚未被证明在云中有效。传统的 DLP 众所周知噪音大且对用户不友好缺乏对云架构的了解和处理超大规模的能力。通常他们要求团队了解要保护的数据类型以及在何处实施安全控制。
但在云中数据蔓延是真实存在的。敏感数据分散在云服务中并且影子 IT 数据系统如此之多攻击面太模糊且太大DLP 无法防御。
云原生 DLP 已经出现但成本太高且关注范围狭窄。更复杂的是安全团队意识到他们最近对第三方云原生应用程序保护技术的投资并不能解决云中的数据风险。
该行业迫切需要一种更具可扩展性和可靠的以数据为中心的方法来保护无处不在的云数据因此 DSPM 出现了。
考虑到这一背景让我们了解 DSPM 可以提供什么、不能提供什么。
提供有关数据的智能见解
DSPM 技术使公司能够更好地了解其数据无论数据存储在哪个公共云中。DSPM 技术的核心是一种使用机器学习技术对敏感数据进行分类和识别并提供有价值的上下文例如业务、安全和隐私元数据以及底层系统配置的方法。
许多 DSPM 解决方案还可以监控数据访问使企业能够跟踪数据用户及其角色、权限和位置。尽管 DSPM 技术可能会随着市场的成熟而发展但该概念本身有望成为数据安全团队的游戏规则改变者。
但数据与您需要保护的云基础设施的其他元素不同。数据不是静态的而是在云内外的数据系统之间移动和复制在表和列之间转换甚至流向下游到应用程序以进行实时决策。
静态和动态数据跨越公共云的边界扩展到传统的本地系统和 SaaS 应用程序。鉴于 DSPM 的公共云重点组织应考虑将 DSPM 的优势扩展到数据的整个生命周期的技术并始终如一地实施安全控制无论数据位于何处。
根据数据上下文确定错误配置的优先级
假设您从云安全态势管理 (CSPM) 解决方案中收到两个警报
● AWS S3 确保存储桶可通过存储桶策略公开访问
● AWS Redshift Cluster 使用默认端口进行网络访问
您会首先优先考虑哪一个
可能是 S3 存储桶因为每个人都可以访问数据。Redshift 集群可能感觉不太容易受到攻击因为它可能有其他控制措施来防止黑客通过默认端口入侵。但如果您知道 S3 包含营销网站图像而 Redshift Cluster 管理包含客户个人身份信息 (PII) 的财务记录您的决定就会改变。
这是 CSPM 解决方案面临的挑战因为它们缺乏有关所保护数据的智能。当团队收到大量数据安全警报时他们需要更多背景信息来确定行动的优先级。虽然有些人可能认为 CSPM 可以自动修复所有警报但这并不总是实用特别是当一个小的配置更改可能会导致整个应用程序崩溃时。
补充 CSPM 控制
虽然 DSPM 确实提供了更多的数据智能但 CSPM 解决方案在提高组织的整体安全性方面仍然发挥着至关重要的作用。DSPM 和 CSPM 是提供多层防御的互补解决方案。例如CSPM 可以向组织发出警报告知攻击者如何利用虚拟机错误配置来承担管理员角色并访问其他云资源。同时DSPM 可以帮助识别云中不受保护的社会安全号码和信用卡信息。DSPM 的作用是帮助组织保护其数据指导如何根据敏感数据的存储位置、谁有权访问这些数据以及底层数据系统的错误配置来确定风险缓解工作的优先级。
换句话说DSPM 和 CSPM 都有其独特的优势并且它们共同提供了更全面的安全态势。最终CSPM 和 DSPM 供应商将提供重叠的功能但他们明白前者广泛应用于云基础设施而后者则有潜力将数据控制扩展到云内外。
遵守数据安全和隐私法规
在基本层面上DSPM 提供了一个映射到各种数据保护和隐私法规的安全态势规则库。当组织降低违反这些规则的风险时他们还可以获得改进合规性的好处。此外凭借对法规的深入了解以及对数据、用户和位置的自动洞察DSPM 解决方案应有助于解决棘手的合规性挑战例如违反数据和用户居住限制的跨境数据传输。
通过数据访问控制改善零信任
流行的基于角色的访问控制 (RBAC) 的一个问题是它们经常导致权限泄漏。大多数组织为用户提供了超出其需要的权限因为他们不希望减慢数据项目的速度。通过分析数据访问活动DSPM 解决方案可以建议哪些用户不需要完全访问权限以及可以调整哪些权限以改善零信任。
此外通过深入了解数据敏感性和位置等属性DSPM 应该使组织能够实施基于属性的细粒度访问控制例如针对特定角色屏蔽表中的敏感信息或暂时阻止来自可疑位置的访问请求。
通过在 DSPM 技术发展中取得领先您可以帮助您的公司规划最有效的云数据安全策略。值得注意的是公司的其他团队例如数据隐私和治理也需要数据智能和控制。
对于每个团队来说扫描 PB 级的云数据来满足各自的需求既不切实际也不符合成本效益。不要独自踏上 DSPM 之旅而应与其他人一起使用敏感数据智能的共同基础跨学科和数据位置统一数据控制。
