前言
數字安全時代,數據安全成為繼信息安全、網絡安全之后新的安全產業軸心。《數據安全法》的頒布實施綱舉目張,數據安全各個細分領域開始全面落地。2021 年12 月世界信息安全大會,數世咨詢發布《中國數字安全能力圖譜》,涵蓋了數據資產安全,數據訪問安全,數據共享安全與數據安全綜合治理四大數據安全分類,這其中傳統的文檔安全、數據庫安全,數據防泄漏以及新興的數據應用安全與隱私計算等多個細分領域都收錄在內,但仍然存在一些薄弱環節。例如,在機構用戶向機構內部發起某個敏感數據(本報告中“數據”一般指用戶或機構擁有的核心業務數據、商業敏感信息、知識產權信息、客戶隱私信息等高價值業務數據資產)的訪問請求后,數據從機構內部數據中心,通過安全的數據通路,落盤到用戶終端側,在這個過程中,機構如何落實整個訪問過程的安全管控,特別是數據在用戶終端側落盤后的更進一步安全管控,目前并沒有一個與之適配較強且行之有效的較好的解決方案。
據數世咨詢近兩年發布的“大事記”中數據泄露事件粗略統計可以看到,數據的采集、傳輸、存儲、使用、交換、銷毀等幾個階段中,發生在使用和交換階段的數據泄漏占比呈遞增趨勢,發生在存儲階段的數據泄露占比呈下降趨勢。此外,在眾多數據泄漏事件中,內部人員、合作伙伴導致的數據泄漏事件占據了事件的多數,這其中既包括員工主動的泄密、由于失誤造成的泄密,也有合作伙伴提供運維服務、業務外包和供應鏈等過程中發生的數據泄密。
因此,數世咨詢認為,目前的數據安全正在由數據資產安全邁入數據訪問和使用安全的時代——針對存儲階段的數據安全防護固然重要,其他階段的數據安全也需要給予更多的重視;數據泄漏要面對的也不再僅僅是外部的黑客攻擊,還包括內部員工、合作伙伴使用和交換數據時的數據失泄密行為。
鑒于此,數世咨詢提出一個全新的細分領域——“數據訪問安全域”,主要關注的是數據訪問過程中如何實現對數據的安全管控這一需求。本白皮書從場景與痛點、角色需求、技術現狀、關鍵能力、技術要點等方面對其進行梳理與總結。本報告的內容來自于公開資料的收集、整理與調研,且主要探討全新的數據安全細分領域,必然會有錯誤或紕漏,歡迎各位讀者批評與指正。
團隊角色及需求
對用戶來說,數據訪問安全通常涉及到以下4個角色團隊:
1、業務團隊 作為數據生產和消費的角色。希望通過數據挖掘出新的業務增長點,更快地進行創新并為其組織創造更多價值。這意味著數據需要在業務前端、存儲節點、計算節點、數據分析節點、服務提供終端等各個節點間不斷流轉;
2、安全團隊 希望對數據的存儲、流轉、訪問、銷毀等全過程都能夠可視、可控、可查。這意味所有的數據訪問請求,無論來自于外部還是內部,無論是縱向還是橫向,都需要基于白名單機制進行嚴格的信任鑒權與控制,整個過程要具備一定程度的自動化與可視化,并定期生成安全運行報告,進而體現安全團隊除了“背鍋”以外的更大價值;
3、運維團隊 希望安全方案盡量不改動現有的網絡架構,原有的終端操作系統也不需要升級或打補丁,離線辦公、遠程辦公、協同辦公的各個業務單元都不必做出策略配置上的調整,總之就是不要動,誰動壞了誰負責;
4、法務團隊 希望確保公司的安全方案遵守數據安全法等相關法律,符合等保、分保等合規要求,萬一出現有意或無意的數據泄露事件,機構的法務團隊能夠首先從內部獲取到客觀有力的證明信息,避免違法違規導致的聲譽受損。這意味著團隊需要實現完整的數據加密和分級保護;
除了以上四個關鍵角色團隊,最終的關鍵角色——老板——希望的是保業務,不出事,少花錢。這也是數據訪問安全域的最主要挑戰:如何在數據充分流轉推動業務創新的同時,以盡量小的成本投入保證機構核心敏感數據在機構內、外的安全。
主要場景與痛點
BYOD設備數據管控難
為了方便隨時隨地處理工作,企業中越來越多的員工希望可以使用私人電腦來工作,特別是針對遠程辦公、外包團隊協作等場景,但企業難以對私人電腦終端環境的安全性進行管控,私人終端的潛在威脅可能會危及到企業業務資源,同時,企業業務敏感數據落地到私人終端后,將不受控制。
后疫情時代,普遍的在家辦公場景更是如此。目前多采用VPN+虛擬桌面的方式,即私人電腦通過VPN訪問虛擬桌面從而訪問企業業務數據,但這種方式對帶寬的要求較高,網絡的中斷和卡頓嚴重影響工作效率和辦公體驗。
更重要的,由于員工在感情上普遍無法接受個人電腦中安裝全局掃描類的安全產品,當需要訪問財務信息、客戶信息、知識產權以及其他機密信息等企業核心數據資源時,這些數據落地到員工的辦公設備后,還是可能通過電子郵件、網頁、即時通訊、移動存儲介質、刻錄、打印等途徑進行傳輸,造成企業內部敏感數據泄露。
組織分支機構協同場景復雜
組織分支機構的數據共享和協同辦公安全問題,目前多以DLP、透明加解密、網頁Office、云盤等解決,針對研發、測試的科技類場景,還多輔以VDI等解決方案。這些方案,面對復雜的協同場景,各自都有一定的局限性與缺點。
例如透明加解密只能保護限定類型的文檔數據,大量非文件保護的場景無法支持,研發類復雜場景無法支持;DLP產品只在網絡邊界進行數據分析,無法匹配動態變化的業務邊界,無法準確控制數據的共享邊界,且DLP需要通過設備特征和復雜的配置策略實現管理,效率與準確性較低,管理員往往為制定規則而疲于奔命。
再比如CI/CD場景下,有些實力較強的機構CSO說服領導,為員工配備了內外網雙電腦隔離辦公,并通過VDI等方案實現不同地區多團隊的協同工作,然而此類方案對于具有較多分支機構的用戶而言,VDI的硬件與License采購建設成本、安全團隊與業務、研發、運維等部門的溝通成本都比較高。
無論采用哪種方案,始終難免出現諸如數據泄密、倒賣商業情報等有損企業商譽的行為。
數據泄露審計與溯源難
第三個問題是數據泄露事件一旦發生,安全團隊難以審計溯源。
首先,數據在多個部門之間流轉使用,數據本身會不斷衍生出新的數據,原有的數據標簽與數據錨點會發生變化。其次,如何從用戶對數據的正常訪問行為中,甄別出惡意的行為,需要富有經驗的安全管理員會同業務部門的同事一起,才有可能發現。最后,更常見的情況是,由于缺少必要的專門針對數據訪問安全的審計與溯源技術工具或手段,團隊CSO被迫需要考慮技術之外的諸多因素,業務、運維、安全、法務各個團隊糾纏為一團,誰也說不清楚到底數據是從哪個環節泄露出去的。
面對上述場景中的各類風險,CSO們要想帶領安全團隊避免當“背鍋俠”,迫切需要構筑數據訪問安全的能力。
技術現狀
在提煉滿足上述需求的技術要點之前,我們先梳理下現有主流的技術方案。目前與數據訪問安全域相關的技術方案可以從三個方向來理解:數據安全、訪問安全、終端安全。
數據安全
數據安全顧名思義主要圍繞“數據”進行安全監測與防護。目前市面上的數據安全產品與解決方案,在用戶側大范圍應用較多的是文檔安全、數據庫安全防護、數據防泄漏DLP等技術方案。
文檔安全通過系統接口、驅動、密碼及水印等技術,針對Windows、Linux、MacOS等不同的操作系統進行適配后,對敏感文檔進行保護。如果是涉密文檔,還需要對其進行分類分級、標密加密、權限管控等操作。
數據庫安全防護主要圍繞數據庫進行,例如針對數據庫資產的發現、梳理、漏洞檢測、脆弱性風險評估、安全加固以及運維管控等,同時,對敏感數據的分類分級、加密解密、動態脫敏等操作也是圍繞數據庫展開的。
信息安全時代,數據作為固定資產,經過文檔安全、數據庫安全這兩類防護手段,可以滿足絕大部分數據安全需求,但是到了數字安全時代,數據的價值是與業務相結合,在使用中發揮出來的,因此,數據訪問安全域的核心需求轉變為“數據流動”中的安全,數據需要離開硬盤、數據庫,來到網絡或終端側,這時,數據的完整性與安全性僅僅依靠這兩種數據安全防護手段就有了明顯的短板。DLP成為了數據訪問安全主要的解決方案。
DLP以統一策略為基礎,通過內容識別與分析,對機構的終端、服務器、網絡流量、應用中的各類數據提供監控與防護能力。常見DLP有終端DLP、網絡DLP、應用DLP等:
● 終端DLP
在機構內部的PC、服務器等終端上運行agent,實現對終端側敏感數據的發現、阻斷等能力;
● 網絡DLP
在關鍵路由節點上對機構內部的網絡流量進行識別與分析,提供針對流量中數據泄露行為的可見、可查、可控能力;
● 郵件DLP
提供郵件傳輸過程中的郵件數據分析、敏感數據識別審計、郵件數據脫敏、郵件審批管理、阻斷策略響應等能力;
除了這三類,還有更多演變進化的DLP類安全產品,這里不再贅述。經過簡單的梳理可以看出,針對數據訪問安全域的需求,DLP會掃描終端上存儲的敏感數據,將其記錄或移動至安全位置,防止企業的核心數據資產以違反安全策略規定的形式流出企業。當敏感數據離開終端的安全監控區域時,DLP會以彈窗的方式警告用戶的違規情況,當端點不在公司網絡內部時,終端DLP會以離線數據防泄漏檢測方式,繼續提供安全管控。
目前采用DLP類解決方案的優勢是,經過多年的發展與實踐,廠商積累了大量的數據防泄漏策略,引入AI能力后,能夠帶來更智能的防護效果;對異常用戶進行建模、對內部威脅進行分析,能夠形成統一的威脅管理能力。
DLP的不足之處在于,其采用的統一策略機制具有一定的滯后性,同時隨著時間推移,策略數量積累到一定程度后會帶來只增不減、難以維護等缺點;對于分支結構較多的集團類用戶,需要更多的人力投入、時間投入;對于分支機構之間頻繁的橫向數據流動,還需要額外的數據網關進行把控,這種情況下,數據網關如何與DLP類產品形成統一的防護能力,同時又不影響業務連續性,甚至如何及時跟進用戶的業務發展速度,是一個同時考驗業務、運維、安全運營人員的難題,需要長期投入與持續運營。
不僅如此,DLP連同前面提到的文檔安全、數據庫安全,對數據的管控思路是以固定資產來看待的,即數據是被保護在“保險柜”里,數據離開一個保險柜,通過加密傳輸等手段放在類似于帶有密碼鎖的“密碼箱”中,然后再存入另一個“保險柜”。對于APT攻擊者來說,保險柜和密碼箱都是顯而易見的攻擊目標,只要有足夠的耐心,盯準目標,守株待兔,“破拆”成功只是時間問題。
因此,針對數據的流通與使用環節,要保證其安全性更合理的思路是使“保險柜”或“密碼箱”透明不可見,換句話說,收斂數據的潛在攻擊暴露面。目前討論較多,資本方也比較關注的技術方案是隱私計算,然而隱私計算滿足的是大數據計算與數據共享過程中數據“可用但不可見”的需求,與數據訪問安全域相關性不大,如何縮小數據潛在的攻擊暴露面仍然需要嘗試尋找更多解決方案,目前業內較為主流的技術方案是基于零信任理念的訪問安全。
訪問安全
新冠疫情爆發后,人們在任何設備、任何時間、任何地點對機構網絡中資源的訪問需求直線上升。從這個角度來說,疫情客觀上進一步加速了傳統的網絡邊界消失。傳統的遠程訪問手段——VPN、堡壘機、遠程桌面等各類產品擔負起了遠程辦公的重任,但是對于遠程的數據訪問安全需求卻捉襟見肘。以VPN舉例,首先VPN的控制粒度較粗,要么全部都能訪問,要么全部都不能訪問;其次VPN無法控制內部訪問風險,如攻擊者的橫向移動或東西向的惡意訪問。堡壘機與遠程桌面也存在著策略不靈活、管控滯后等缺陷。因此,越來越多的用戶開始關注零信任理念為基礎的軟件定義邊界(SDP)、虛擬云桌面(VDI)、遠程瀏覽器(RBI)等實現方式。
軟件定義邊界(SDP)通過多維度的驗證信息,對用戶的身份是否可信進行證實,證實通過后,SDP只在用戶與其請求的資源間建立一條加密的安全隧道,網絡中的其他部分對該用戶則不可見。“從不信任,永遠驗證”使同一用戶的每一次訪問請求都是一次獨立的驗證過程,驗證之后交付的資源也是相對獨立的,這就使得承載核心敏感數據的IT資產對用戶始終是透明的,減少了惡意用戶掃描網絡或橫向移動的可能性,最終目的是將攻擊面收斂到盡量小。零信任領域已經實現落地的典型代表是騰訊的iOA終端安全管理平臺,其打造的新一代騰訊企業網NGN(New Generation Network)就使用到了SDP智能網關。
虛擬桌面基礎架構(VDI)通過將服務端上的虛擬桌面傳回至用戶側終端,達到保證用戶側安全的目的。VDI能夠針對不同的用戶提供不同配置與應用場景的虛擬桌面,因此具備較好的個性化與靈活性。在引入零信任理念后,也能夠較好的滿足用戶安全訪問的需求。但是,目前VDI高時延、高成本、高復雜性等問題讓大部分用戶都難以承受,因此VDI比較適用于對高時延并不敏感且預算較為充足的機構。
遠程瀏覽器(RBI)一定程度上避免了VDI的復雜性與高成本。由于瀏覽器的性能要求較為輕量,對用戶的訪問安全管控也更容易實現,管理員可以采用更為開放的互聯網策略。但是由于終端側用戶的操作從桌面級變成了瀏覽器,對于某些專業領域應用,或是開發、設計等重度場景,RBI的適用性范圍會有些受限。這個細分領域已經有一些新銳企業在進行創新,如鈦星數安,其在某國有四大行也已經實現了RBI的落地。
經過簡單梳理可以看到,基于零信任理念的技術方案已經趨于落地,無論是互聯網大廠亦或是初創企業都已經有了一些成功案例,用戶根據自身不同的需求場景,選用不同的技術實現方式即可。結合本報告主題,在數據訪問安全域的場景中,SDP是一個可行的技術方案,在下文“關鍵能力”與“技術要點”中會再有詳細論述。
終端安全
除了數據安全與訪問安全,在終端側還有一些較為成熟的技術方案,基于傳統的攻防技術,幫助用戶開展監測與防護。例如微軟的 Windows Defender、McAfee 的 Endpoint Protection以及國內主流的終端/桌面管理、EPP/EDR、統一端點安全等技術方案,都具備較為成熟的終端安全管理能力,方案詳情這里不做贅述。
這些技術方案的管控重點關注用戶行為或是終端設備,管控視角側重于攻防視角,而非數據視角。例如針對病毒、0day漏洞、勒索軟件等攻擊手段有顯著效果,但針對終端上的“數據訪問”的管控能力相對較弱。因此很明顯,不能僅僅依靠此類終端安全技術方案來滿足數據訪問安全域需求,還需要與前述數據安全、訪問安全等方案配合使用,協助解決數據來到用戶終端后“最后一公里”的安全問題。
數據訪問安全域
定義
數據訪問安全域是以終端安全隔離環境為核心,使用端到端的安全架構,幫助機構解決數據生產、訪問、傳輸、使用、共享、流傳等場景中的數據安全管控需求采用的數據安全技術。這里的安全域特指滿足數據安全管控要求的通路、處理、存儲、訪問等獨立空間區域。
數據訪問安全域方法論
通過梳理,數世咨詢認為現有的數據訪問安全技術方案, 其基座來源于“網絡安全”, 側重于網絡攻防, 即通過分析數據安全鏈路的風險點, 在數據可能的流通路徑上進行埋點檢測, 通過數據加解密、軟件策略、威脅檢測等手段進行保護, 傳統的DLP、EDR、終端安全軟件等都是基于這種思路實現。這樣的實現方式,能夠解決大部分數據訪問的安全問題,但仍然會存在數據資產盤點不清, 數據流通路徑不明, 數據訪問管理不完整等盲區。
基于此, 數世咨詢認為應當以數據訪問場景為脈絡, 建立安全、隔離的數據空間, 在該空間中完成數據的訪問、傳輸、共享、刪除、追溯等全程管理, 以此保護數據資產安全、共享流通以及數據訪問的安全。
為保障不可信環境下的數據安全性問題,建立可以安全訪問數據的防護區域,需遵從如下理論方法:
● 在不可信的終端環境里構筑起可信的執行環境,為數據提供可信的生存、活動空間。
● 確保數據訪問通道的安全性,降低不可信終端與云端通訊傳輸過程中的安全風險。
● 圍繞數據資產展開動態的攻擊面發現與管理,并盡量秉持預判預防的原則對潛在的攻擊面提前進行收斂。
● 將安全防護維度深入到系統底層,實現細粒度的數據訪問安全區域建設。
關鍵能力
結合目前現有的各類技術方案,綜合匯總后,我們梳理出數據訪問安全域需要三個關鍵能力:
● 安全的數據使用終端環境
● 安全的數據傳輸通路
● 有機的數據治理
安全的數據使用終端環境
數據的價值在于使用,數據使用安全的關鍵在于數據使用環境的安全。數據使用過程中,一定會在訪問用戶側落地,如前所述,僅僅以加密等“保險柜”方式進行保護是不夠的,數據的訪問、打開數據的應用都存在風險。因此,這里應當以“安全域”的形式建立終端數據使用的可信環境,即數據的存儲、訪問、應用、管理等行為都限制在安全域內。
首先,安全域環境應該是安全、高度隔離的。安全域應當對域內的網絡設備、網絡服務等數據交換行為加以隔離,應當具備截屏、錄屏、共享屏幕、拍照、打印等防護能力,杜絕通過網絡傳輸、外接設備等方式傳出數據。總之,要能實現隔離環境的獨立性、完整性以及不可偽造的唯一性。
其次,數據在安全域間的流轉應該是單向、受控的。若要在安全域與非安全域之間進行文檔或數據的流轉,這個流轉只能是單向的,非安全域中的數據可以流向安全域,反之則禁止;
第三,使用、處理數據的軟件應該是可信的。對不同類型的數據,如文檔、報表、網頁、數據庫等,應當建立受信軟件列表,避免因第三方軟件引入的供應鏈攻擊。
最后,安全域環境中的用戶、軟件、網絡等行為均應是持續監控可審計的。應當對數據訪問行為中涉及到的用戶行為、進程行為、網絡行為、文件行為等進行持續的監控與日志記錄,從而形成數據訪問全流程的安全審計能力,保障數據訪問過程的不可否認性。這其中重點要記錄安全域中的網絡訪問、數據外發、數據應用、用戶操作等行為日志。這部分能力對安全團隊與業務、運維、法務、行政等非安全團隊之間的溝通協調具有非常高的價值。
數世咨詢認為,用戶針對這部分能力可以重點考察供應商對終端各主流操作系統的底層技術實力。基本原則是,無論是虛擬化技術,還是操作系統的底層驅動技術,能夠用相對較少的底層技術實現更多的“安全域”安全管控維度,這樣對操作系統的影響最小,而相對覆蓋的潛在攻擊維度更多。
安全的數據傳輸通路
第二個關鍵能力是建立安全的數據傳輸通路,建議從兩個方面重點著手。
首先是收斂潛在的攻擊暴露面。潛在攻擊者的所有攻擊發起之前,一定要做的工作是信息收集,摸清攻擊目標的所有資產信息,從中尋找最薄弱的環節,這就是攻擊暴露面的概念。因此,要想收斂攻擊暴露面,最有效的方式是使數據節點與數據傳輸通路等關鍵數據資產對外達到“不可見”的狀態。
數世咨詢建議,除了傳統的資產測繪、資產管理、資產下線等方式外,基于零信任理念的SDP單包敲門技術是用于攻擊暴露面收斂的另一個有效技術實現方式,能夠以相對較小的改造成本實現關鍵數據資產對外的隱蔽不可見狀態。
其次,加強數據通路本身的安全。可以通過加密或自定義協議等手段,防止數據流轉過程中未授權用戶的嗅探、劫持等潛在攻擊行為,同時應用零信任框架,對已授權用戶的可能的惡意行為,在數據通路中留有判斷與管控能力,即對其能夠訪問的資源進行精細化管理。例如對IP地址、網段、域名、端口等用戶擬訪問的資源通過白名單或系統策略等機制進行最小化、動態訪問管控。
要實現這一能力,除了目前較為成熟的加解密外,數世咨詢認為,還可以重點從“協議”入手。即在條件允許的情況下,通過網絡協議的定制化,將通用協議修改為潛在攻擊者難以識別的自定義協議。當然,前提是不能影響用戶的正常業務,因此,具體的定制化改造,特別是對用戶已有的業務API數據接口、VPN身份認證接口等,要綜合評估改造成本與改造收益之間的平衡。
有機的數據治理
首先,不應受限于數據的類型、種類、數量、大小、業務軟件等,數據訪問安全域要能廣泛覆蓋如文本、文檔、圖像、音視頻、代碼、圖紙以及未知文件類型等各種各樣的數據類型。
其次,數據訪問安全域要具備數據分級治理的能力,即針對不同類型的數據,采取不同的治理策略。例如對于核心敏感數據,限定允許訪問數據的應用、用戶、來源等,防止數據的越權、越界訪問;又如對高風險數據,如郵件附件或安全性未知的網站、文檔、軟件等,要對這些高風險數據的活動邊界進行強隔離,阻止潛在的安全威脅擴散。
第三,基于以上兩點,數據的治理要以有機為目標,做到可更新、可持續。從數據的采集、創建開始,數據的元信息(各類標簽、管控策略等)要在數據流動過程中,一直跟隨著數據一起流動、更新,并進一步實現對數據的復制、修改、刪減等操作能追溯到數據的起始來源和流傳路徑,以此作為數據訪問控制策略、交換策略、審計策略的重要參數與決策依據。
技術要點
基于上述各個能力,數世咨詢認為 “數據訪問安全域” 主要用到以下幾個技術要點:
● 虛擬化技術
● 終端側攻防對抗技術
● 零信任訪問技術
● 數據標簽技術
虛擬化技術
通過對文件系統、網絡設備、進程模塊等系統環境的虛擬化,在用戶終端上構建出一個獨立的安全區域。安全區域與非安全區域的文檔、數據、注冊表、內存、進程對象、網絡對象、PNP設備等各自均獨立、完整運行。
這里的“虛擬化”應當在操作系統內核級實現,且具備較高質量的產品化與工程化,如此才能保證虛擬出的安全區域中,應用的安裝、使用、分發等操作安全、獨立、順暢,既不影響業務應用的運轉與核心數據的流轉,又能保證數據訪問在終端側的安全隔離與管控。
終端側攻防對抗技術
一是系統底層攻防。通過對底層驅動、進程行為、系統狀態、用戶操作等持續的安全監控,杜絕目錄篡改、惡意驅動、非法模塊、進程注入等針對系統的攻擊行為,避免惡意攻擊者對安全域的破壞與逃逸。
二是反嗅探。這一點與數據通路防護能力相對應,即在用戶終端側,通過重新編寫的網絡通信協議棧規避抓包與監聽,如有可能,避免使用虛擬網卡,防止終端側與SDP網關之間的通信流量被嗅探攻擊。
三是硬件數據防篡改。在數據加解密、密鑰管理、策略判斷、安全域完整性保障等關鍵環節,結合可信執行環境(Trusted Execution Environment - TEE)等硬件可信計算技術,實現硬件級別的數據抗篡改能力。
零信任訪問技術
即基于SDP的零信任訪問技術。SPA單包敲門機制保證了所有的DDoS攻擊與掃描探測行為都被屏蔽在SDP網關之外,實現了所有資產對外零可見。默認關閉所有端口,僅在用戶認證通過并授權后,動態分配業務開放端口,并在所請求資源與用戶終端間實時建立加密連接,這保證了用戶的每次連接都是獨立的。
如前所述,SDP是構建攻擊暴露面收斂能力的主要技術手段。值得一提的是,SDP并不是數據訪問安全域所必須的,端到端的安全是主要目的,其他能夠達到這一目的要求的技術均可采用。
數據標簽技術
數據在不斷的流轉過程中,經過修改、共享、復制、再分發等多個流程后,依舊可追溯其數據來源和流轉路徑,這里的難點是如何在數據量不斷增大或業務迭代帶來新的數據類型后,數據標簽在及時更新的同時,保持數據分類、分級、分代的準確性,進而保證數據治理的效果不出現明顯波動,不影響數據訪問安全的控制策略、交換策略與審計策略。
目前行業內主要的技術實現方式是結合行業屬性,將行業特征轉化為“行業標簽體系”,應用于數據標簽;或者根據數據的訪問關系,提煉出數據的訪問鏈路,進而一定程度上實現數據標簽的自動化補足與更新。但目前,這兩種方式還都無法實現完全的基于AI的智能數據標簽,仍然是“人工”為主要驅動的“智能”,因此相比數據標簽“技術”,數據治理其實更多也是一個管理問題。
說句題外話,數據治理與數據安全的結合,“數據治理安全”與“數據安全治理”的區別等內容,數世咨詢另有相關報告《數據治理安全能力白皮書》進行討論,讀者可以持續關注。
數據訪問安全域代表企業
結合前述幾項核心能力與技術要點,數世咨詢通過公開資料的收集、整理與走訪調研,認為以下代表企業是符合數據訪問安全域這一新的細分領域的,供讀者參考。
Citrix
Citrix成立于1989年,先后通過與微軟、ExpertCity 、Xen、Cloud.com、Google等公司的合作或資本運作,已經在多用戶遠程訪問服務器與桌面虛擬化市場這個領域深耕了30多年,國內用戶對這家公司的了解大部分是在2007年收購Xen之后。2018年,在堅定地向云運營模式轉變之后,現在的Citrix,以“將人、事和公司安全地聯系起來”作為使命,提供的是“隨時隨地在任何設備的所有應用程序中”都能使用的DaaS桌面即服務產品。
對用戶來說,Citrix提供的“高性能數字工作空間”能夠讓員工在遠程辦公的同時,放心可控的訪問其核心數據。由于采用“XaaS”的交付方式,因此相比使用其他同類產品,用戶能夠省去較多的管理難度。在這背后,Citrix采用的是虛擬化、VDI、零信任訪問以及統一端點管理等多個技術實現方式,以保證用戶的數據訪問安全。
除了微軟和Google之外, Citrix還與AWS、Cisco、HP、Intel、Okta、SAP等知名企業組成了戰略合作關系,與這些公司的產品也有深入的整合。因此,對于大型機構類用戶來說,Citrix的產品具有較好的適用性,相應的,成本也會較高一些。
Vmware
作為虛擬化技術的全球領導者,Vmware在數據訪問安全域領域的VMware Workspace ONE產品為用戶提供的是具備統一端點管理、虛擬桌面以及零信任訪問控制的數字化工作空間。
由于是基于統一端點管理 (UEM) 技術構建,Vmware的方案能夠在多種類型的終端設備上運行。虛擬桌面與零信任訪問控制則保證了用戶的訪問都是在可控的環境下進行的。同時,數據到達用戶終端時,也能夠將其限制在安全域中。
目前越來越多的國際企業都開始堅定地向SaaS交付模式轉變。Vmware這一方案也是如此,交付模式為SaaS按月訂閱,可以支持按設備數量訂閱,或是按用戶數量訂閱。雖然一定程度上這代表了未來的發展趨勢,但國內的用戶場景與交付環境與國外有較大區別,就數據訪問安全域這個領域來說,除互聯網行業外,國內的政府、金融、運營商等行業,未來幾年將仍以私有化交付+按終端計費的模式為主。
Hysolate
作為2018年RSAC創新沙盒大賽的十強選手,以色列安全公司Hysolate成立于2016年6月,它通過虛擬化技術實現了終端硬件與企業工作空間的幾乎完全隔離,用戶的所有操作與交互對象,包括操作系統以及運行于操作系統之上的所有應用,都是以虛擬化的形式存在,每個虛擬化空間都是相互獨立的。某種意義上實現了“軟件定義終端”,以此實現了數據訪問在終端側的安全管控。
乍一看起來,Hysolate的方案與VDI很像,最大的不同之處在于VDI的應用與數據都是在服務端,然后以遠程桌面的形式在用戶側呈現。Hysolate則只有管理側是在云端,應用與數據都在用戶側的虛擬化隔離區域。對用戶來說,就像同一個本地終端運行著兩個不同的桌面系統,以此實現安全的隔離工作空間。
在RSAC十強之后,截至2021年,Hysolate還相繼參加了多個類似的安全賽事與評選,都有取得不錯的成績。側面說明,在國際安全市場上以Hysolate為代表的數據訪問安全域(Hysolate自己定義為“隔離工作空間”)始終受到業內的持續關注。
一知安全
在國內,成立于2018年的一知安全作為該領域的代表企業,實現了數據訪問在終端側與網絡通道的安全管控。
不同于Hysolate的完全虛擬化,一知安全使用的是“半虛擬化”技術隔離數據工作空間,使安全域、非安全域獨立安全工作。如此一來,即保留了非安全域中用戶自由使用的靈活度,同時也復用了物理機的硬件性能,避免了VDI模式下的性能瓶頸影響安全域中的工作。數世咨詢了解到,一知安全已經將這一技術在Windows,MAC和信創等多個終端做了適配。
在網絡側,一知安全采用的是本報告前述核心能力與技術要點中提到的基于零信任理念的SPA網絡隱身單包授權認證、無虛擬網卡隱身網關等技術手段,收斂攻擊暴露面的同時,還避免了流量嗅探等帶來的風險,解決了數據訪問在網絡側的安全隱患。
一知安全核心團隊來自于國家某監管機構,具備實戰技術背景,相比一般的安全初創企業,其技術底蘊會更為扎實。因此,其產品技術方案也帶有明顯的APT防護痕跡。例如,在終端側針對DLL、賬號等高級別攻擊異常行為做了重點識別,同時通過攻擊鏈可視化等手段,突出顯示攻擊者行為。除了來自于外部的攻擊,對于內部人員的越權與違規行為,會基于詳細的業務訪問數據,針對性的做出細粒度的訪問管控,甚至提供了終端用戶操作行為的UEBA。通過“技術+管理”的思路,幫助用戶建立訪問控制機制,實現“數據不落地,落地不泄密”。
數據訪問安全域的價值
最后,總結下數據訪問安全域的主要價值:
1、數據流動的安全保障
通過數據訪問安全域這一技術實現方式,企業與外包機構之間、企業內部各分支機構之間、企業數據中心與員工終端之間等場景下,敏感數據的流動過程始終在零信任理念下的各安全域間流轉,有效保護商業秘密和敏感數據在流轉環節被潛在攻擊者竊取,避免經濟損失。
2、數據訪問的安全隔離
“安全域”能夠使得各類終端環境對數據的使用始終在“域”進行,對數據的傳輸和訪問始終處于零信任框架中,減少業務和數據的暴露面,無論是訪問過程還是事后審計,都能夠達到安全可控的要求。例如,在外包場景中,核心敏感數據始終保持在“安全域”中,對外包機構來說,數據是“不落地”的,即便外包終端突然離線,亦可以通過策略控制的方式,自動清除域中的數據。
3、數據管理的全面覆蓋
通過數據訪問安全域,可以實現機構、團隊數據保護全覆蓋,做到統一、整體的數據保護落地,實現數據保護水桶無短板,改變以往DLP只能覆蓋某些核心部門、業務,終端EDR、桌管等只做策略控制,不做數據管理的問題。
4、數據治理的降本增效,降低成本與運維復雜度
如前所述,綜合采用DLP、終端/桌管等產品時,在成本與運維復雜度上,投入產出比并不理想,因此,Hysolate或一知安全這樣的數據訪問安全域方案,對數據的使用過程可以做到“軟件定義數據生命周期”,能夠為用戶帶來顯著的降本增效。
5、數據風險的分級管理
通過數據訪問安全域,可以限制不安全的數據訪問流程(如接入、訪問互聯網網站,打開安全性未知的文檔,測試、使用第三方安全性未知的應用軟件等)對終端設備可能造成的安全性風險,實現數據分級治理的目的,提高終端系統的安全性。
綜上所述,數世咨詢認為,數據訪問安全域基于零信任理念,依托用戶現有的終端基礎設施,基本不影響終端側用戶原有的業務流程與使用習慣,能夠為用戶提供一個性價比較高且部署改造成本較低的備選方案,在技術層面與商業層面都具有較高的價值。數世咨詢會持續關注這一領域。
ManageEngine卓豪
Anna艷娜
尚思卓越
RacentYY
尚思卓越
虹科網絡安全
尚思卓越
cayman
ManageEngine卓豪
Anna艷娜
信息安全與通信保密雜志社
黑白之道
