數據全面上云 云數據安全策略最容易踩哪些坑?
隨著數字化轉型進入深水區,幾乎所有企業的數據管理方式都在發生轉變,從基于網絡的數據中心管理數據轉向將其存儲在云中,也因此建立起云數據安全策略來保護云環境中的這些數據。隨著越來越多的數據遷移到云端,安全策略必須要能夠適應廣泛的數據存儲、位置、用途和環境,包括公共云、私有云、混合基礎架構和多云環境。
可以理解,企業內部的安全團隊希望在實施這些安全策略時檢查所有相關的復選框,以確保全面的覆蓋。然而,在這個過程中,非常容易滋生企業管理者對安全團隊最常見的不滿——安全在限制和阻礙業務創新。
以下是安全團隊在定義和實施云數據安全策略時應注意和避免的幾個陷阱:
趕不上趟的手動文檔流程
開發團隊利用云中數據的優勢來生成越來越多的云數據存儲和工具,他們會通過不斷地試錯來保持這種創新的步調,與此同時,這使得安全性很難同步跟上這些新的或經過重大修改的數據存儲的過時的手動文檔。
如果安全團隊試圖限制這些嘗試過程,開發團隊就不太可能順暢地探索最前沿的新興技術,那么企業的業務創新就會受阻。更令人擔憂的情況是,開發團隊可以通過使用非標準和未經批準的解決方案,就像刷信用卡一樣輕松地繞過安全性。現有的手動流程只會記錄既定的內容,這是一個日益嚴峻的挑戰。
缺失的數據跟蹤
一些安全人員可能認為這第一個坑與自家企業無關,因為很多企業都允許數據在云環境中不受限制地自由移動或修改。
雖然有利于業務開展,但這種方式忽略了數據的指數級增長態勢,以及高頻的數據跨域存儲和傳播趨勢,這就導致幾乎無法定位數據所在的位置。這種缺乏可見性和跟蹤控制性的局面將不可避免地導致在此過程中丟失或濫用敏感的個人或客戶數據。數據已經成為重要的生產資料,數據變形、越權使用、數據泄露將導致嚴重的后果。
數據訪問邊界枷鎖
管理不同人員對數據的訪問對于確保數據不被濫用或丟失至關重要,負責業務實施和業務創新的團隊都需要經常訪問數據,如果圍繞數據使用創建嚴格的訪問控制策略和邊界在本質上會形成數據孤島,再次限制創新。
安全團隊應該將這些訪問策略視為支持協作業務創新的機會,而不是因為害怕失去對數據的控制而阻礙創新。如果訪問管理不是高度自動化、自適應,并且能夠根據需要快速調整的,那么避免阻礙業務流程的唯一方法是廣泛授予訪問權限,從而將企業置于風險之中。換句話說,發展和安全必須同步抓,不能顧此失彼。
沒有存儲足夠的數據
試圖過度控制數據訪問和使用的企業不僅不愿意提供對現有數據的訪問權限,而且如果沒有他們認為的新數據,還會限制他們認為是新的“不必要”數據的存儲。正當的理由。同樣,這種限制性的數據安全策略會把業務創新機會和安全風險一起拋棄。
安全團隊必須考慮到,對企業有益的新趨勢、最佳實踐或創新想法可能“隱藏”在他們禁止的數據中。如果有適當的流程在需要時刪除此類數據,則無需進行此類限制。安全團隊需要擺脫傳統的 IT 安全管控思維,因為有價值的安全團隊應該與開發團隊合作起來,成為業務的推手和賦能方。
沒有使用正確的數據存儲技術
隨著每一項新技術投入使用,數據存儲技術可能需要特定的熟練程度。過多的安全解決方案可能會導致運營混亂,并難以確定存儲在其中的數據是否安全,從而導致安全團隊放棄添加新技術。這種保守的方法可能會再次阻礙創新,或者更糟——導致團隊使用錯誤的方法和流程。
隨著數據存儲技術與業務用例一起不斷發展,安全團隊必須跟上他們在企業內部的發展進度,能夠可靠地洞察組織安全狀況的工具與存儲無關,可提供控制符合策略和標準的安全保證。
無故刪除數據
盡快從云基礎設施中刪除數據已成為安全團隊的一種常見做法,因為他們越來越擔心失去對數據的跟蹤或控制權。這是另一種短視的創新方法,因為新興技術可能需要這些已刪除的數據。
如果對在不刪除現有數據的情況下控制現有數據的能力沒有足夠的信心,包括確保數據沒有超過允許的保留期,安全團隊將繼續限制創新進展。使用正確的、適合的工具,安全團隊將深入了解數據的位置和使用情況,并能夠就其保留做出明智的決策。
探索新的數據安全策略
可以看到,要解決這些陷阱和差距,需要安全團隊在業務發展和安全管理之間找到適當的平衡。“創新和安全是矛盾的”的論調已經過時,企業既需要保持創新以在數字化轉型中完成業務升級,增強競爭力,同時也需要保障數據的安全訪問、安全使用、安全共享。
總結而言,以上多條安全策略的陷阱都在于兩點,一是傳統的安全邊界防護思維不適應云環境中數據快速產生、傳播的特性,二是訪問、使用、存儲的管理機制缺乏對數據的完整可見和持續跟蹤,因此無法制定有效且恰如其分的安全措施。
因此,就如同DevOps流行之后,將安全嵌入其中形成DevSecOps,為開發閉環創造了良好的安全性——在數字化時代的DataOps流程中,將安全視為DataOps的一部分,以敏捷、整體的方式在其嵌入安全屬性,DataSecOps將用于控制和協調不斷變化的數據及其用戶,讓數據能夠更快捷、更安全地創造提供價值。
DataSecOps的核心是數據安全的左移,在數據運營的第一現場持續地對數據處理和使用全流程進行追蹤,這樣才能監測到數據經變形處理流轉的整個過程,直面數據的多態性和多副本性,發掘數據風險的真正源頭。
目前,國內外已有DataSecOps的相關應用實踐。國際上,諸如BigID、Satori等廠商已推出相關產品,并獲得了成功市場驗證。國內而言,數據安全廠商數安行作為國內DataSecOps的首倡者,建立有數據運營安全平臺,以零信任數據安全架構為基礎,以人工智能技術為核心驅動,對數據業務全流程進行無改造映射,以數據為中心,向頻繁接受數據的業務和用戶靠近,對數據運營過程中的數據進行自動的梳理,全流程跟蹤數據的形態變化和運行軌跡,持續評估數據在業務系統計算終端、服務器接口等處的運行風險。基于風險評估結果,對不同數據角色和風險接受程度進行自適應的細粒度的防護策略。
在未來,云數據的產生量與使用量只會繼續增加,數據的應用場景也會變得更加復雜。數據安全與數據開發利用是同步建設、同步發展的伴生關系,現階段的數據安全更多將會向平臺型發展,將數據進行完整統一的映射,形成統一的梳理識別、統一的數據身份、統一的管控策略,在自動化的監測下,實現數據安全的最佳保障。
