數據安全保護和治理的新方法
秉持數據驅動戰略的數據驅動型組織,正在利用數據,以前所未有的速度開創未來。同時,也面臨日益增長的安全、隱私、合規風險。
在過去幾十年中,保護敏感數據的現有方法是孤立地建立起來的,缺乏整體性。考慮到各組織正在越來越嚴格的隱私法規下處理比以往任何時候都多的數據,尋求一種新方法是極為必要的。
當今,數據訪問控制的所謂“最佳實踐”,是創建一個明確定義的可訪問數據列表,并在此基礎上制定權限。然而,不幸的是,一旦考慮到現實世界的企業數據挑戰,這根本不可行。
一個好的數據保護和數據治理解決方案,必須能夠實現正常的數據訪問,而不是中斷或產生負面影響。而一個偉大的解決方案,將使數據訪問比以前更容易、更高效、更廣泛。
數據訪問控制是零信任的最后環節和終極目標。基于零信任的數據訪問控制,必將成為數據安全保護和治理的新方法。
01、背景: 數據驅動戰略與DataSecOps
1)數據驅動戰略與數據驅動型組織
數據是一切的中心。數據的創建、存儲、使用,是形成競爭優勢和創新的引擎。由于云數據存儲和訪問技術的飛躍,在很大程度上使 數據成為一種戰略資產。
數據驅動戰略已經徹底改變了企業的運營方式,并為那些正確利用它的人帶來了驚人的增長。實施 數據驅動戰略,成為幫助企業進入 數字化轉型下一階段的關鍵。
數據驅動型組織,即堅持 數據驅動戰略的組織,尤其是金融科技和健康科技等受監管行業的組織,開始越來越關注數據湖和數據倉庫中日益增長的安全性和合規性挑戰。
圖1-數據驅動型組織的競爭優勢
2)數據民主化與DataOps
數據民主化。為了讓組織充分利用數據,數據必須是可發現和可訪問的。數據民主化意味著更多的人能夠訪問更多的數據。但直到最近,人們還認為數據最好是分開保存,只有少數人能夠很好地理解數據并使用它。為了從這些過時的方法過渡到現代方法,人們必須提升對數據的認知。
DataOps是數據民主化的基石。 DevOps致力于成為現代應用程序開發的更好框架。而 DataOps用于描述在運營 動態數據環境的組織中處理數據的方式。
圖2-DevOps與DataOps
3)數據安全與DataSecOps
組織正在生成、存儲、分析前所未有的 數據量,同時還需要比以往更廣泛、更高效的 數據訪問。然而,更多的數據、更多的訪問、更多的監管,代表著日益增長的安全、隱私、合規風險。
正如DevOps向DevSecOps的演進, DataOps向DataSecOps的演進,也是一種必然。DataSecOps 是組織 將安全視為其數據運營的一部分的方式的演變。 DataSecOps是一種敏捷、整體、安全的嵌入式方法,用于協調不斷變化的數據及其用戶,旨在提供快速的數據轉化價值,同時保持數據的私密性、安全性和良好的治理。DataSecOps應該被視為數據民主化進程的推動者。
數據驅動戰略呼喚新一代數據安全方案。我們需要一種新的方法, 它依賴于完整的數據流可見性、策略執行、豐富的數據訪問上下文,并且可以擴展以滿足當今和未來的需求。
02、數據安全保護為什么這么難
1)數據的規模化治理難題
云讓企業能夠比以往更輕松地構建大型計算和存儲基礎設施。很多情況下,云存儲運營的新定價模型基于 查詢/訪問而非存儲量。這直接導致,幾乎所有擁有在線業務的公司,都以一條阻力最小的路徑,快速建立了一個 PB級數據存儲。
而這又進一步導致,這些平臺中的數據保護和數據治理,必須以 大規模方式進行。而數據治理的所有一切,從發現和 分級分類,到訪問控制和安全,再到策略和審計,都需要 重新發明,以應對存儲的 海量數據及其生成和使用的 速度。
2)為什么數據 分級分類很難
敏感數據 分級分類的重要性毋庸置疑,但數據 分級分類真地很難:
數據是一個移動的目標。在許多情況下, 數據不是先生成再存儲,而是從不同的位置獲取,在這些位置它 經歷了ETL/ELT過程。由于ETL/ELT過程,數據通常是一個移動目標,在這些過程中,數據被移動,以 富化、匿名化或經歷其他轉換。這些移動可能發生在同一平臺內,也可能跨越不同的公共云或數據平臺,使得跟蹤起來非常復雜。
數據本身正在發生變化。當數據從一個地方移動到另一個地方時,它不僅是在旅行,而且自身還會發生變化。您的表中原本沒有任何敏感數據,但可能有人不小心添加了敏感個人信息。
對半結構化數據進行 分級分類是一項挑戰。半結構化數據(例如存儲在 JSON 文件或數據倉庫或數據湖中其他半結構化數據對象中的數據)會增加數據 分級分類的復雜性。例如,Snowflake表中名為 event_data 的列,可能包含不同類型的半結構化對象,并且在某些情況下存在包含敏感數據的條目。對于半結構化數據,遍歷數據以發現敏感數據變得更加困難。
3)僅憑日志是遠遠不夠的
日志通常非常重要。 數據訪問日志極其重要,因為它們可以闡明數據訪問情況。數據訪問日志是由數據庫引擎生成的日志,提供了有關數據庫事務的信息。
雖然數據訪問日志確實存在、也非常有用,但真正理解它們非常具有挑戰性:
標準不一:數據訪問日志一般沒有標準化,粒度級別也各不相同。 各種日志經常記錄在不同的數據存儲中,而從不同的數據存儲收集日志,有時需要大量工作來統一日志。
設置不明:數據訪問日志并不總是“默認開啟”,在某些情況下,它們必須進行設置和配置,包括通過設置特定的ETL流程來“照料”它們。
信息不足:有時日志并不包含您以為該有的信息,例如,有時數據訪問用戶實際上并不是數據消費者,而是分析框架使用的 通用賬戶。找出是誰發送了查詢,可能需要 關聯來自其他系統的日志,這非常復雜甚至不可能實現。此外,在大多數情況下, 數據訪問日志不包含提取數據的實際位置(數據庫、schema、表),想從查詢中了解此信息是一項艱巨任務,因為一些數據消費者并沒有運行“SELECT * FROM table”,而是一個 1000 行的分析查詢,其中包括多個子查詢。
缺乏上下文:通常 缺乏理解這些日志所需的關鍵上下文,如關于用戶訪問數據的信息、關于被訪問數據的性質的信息、關于什么被認為是正常的和符合組織策略的信息。這些信息通常散布各處,并跨越各種與日志不相關的工具。
這些問題導致的結果是:僅有本機日志是遠遠不夠的,組織仍然 缺乏數據可見性。
4)數據存取方式的演變
過去,企業依靠精通SQL的分析師,直接從數據庫查詢信息。他們使用 客戶機-服務器接口直接訪問數據庫,并使用 數據庫的用戶管理系統驗證其訪問權限。
后來,隨著組織內部對數據需求的增長,人們發明了更復雜的客戶機,以簡化分析師的工作。這在很大程度上需要使用 GUI(圖形用戶界面)抽象出SQL和數據庫連接。
再后來,隨著這些客戶機在組織中的應用越來越廣泛,通過將其部署為 Web應用程序來進行大規模供應變得越來越容易。
再后來,隨著企業遷移到云,這些部署轉變為 即服務交付。
導致的改變。從少數單用戶桌面客戶端訪問組織中數據,轉變為大量用戶使用基于Web的應用程序甚至移動應用程序,這使得組織更 難以使用數據庫的用戶管理系統為用戶提供服務。組織將身份驗證轉向應用程序,并開始使用 服務帳戶(service accounts)將應用程序連接到數據庫,而不是同時在數據庫和應用程序兩層中為每個用戶調配資源。
數據訪問歸因問題。數據訪問由不同的 工具驅動,包括自主開發的 應用程序、BI工具、命令行界面、腳本。在大多數情況下,必須創建 服務賬戶才能授予和管理這些工具的數據訪問權限。這時, 連接到數據存儲的用戶是為工具本身配置的賬戶,而不是工具背后的實際員工。雖然從用戶管理的角度來看很方便,但這意味著 數據訪問不能歸因于驅動它的真實用戶。
5)難以設置的訪問權限
在許多組織中, 數據和分析團隊被授予非常廣泛的數據訪問權限。雖然廣泛的數據訪問對于企業的創新和成功必不可少,但由于 缺乏訪問權限控制,因此很難降低數據泄露的風險。
一個常見的情況是 服務帳戶的特權過高。服務帳戶(service accounts)是應用程序用來代表其用戶訪問資源的一種特殊類型的身份。服務帳戶不代表任何特定用戶,它代表需要訪問資源的任何用戶。對于數據存儲,即數據庫、數據倉庫、數據湖、其他系統(如緩存、搜索引擎、消息隊列等),這意味著服務帳戶通常可以訪問數據存儲中的所有數據。這將導致兩個重大后果:
- 首先,數據訪問的安全控制已從數據存儲層轉移到應用層,這意味著構建、維護、監控安全控制的責任,已從安全團隊轉移到工程團隊。
- 其次,數據已經變得更加暴露——要么是應用程序中的安全漏洞(如安全控制或SQL注入中的漏洞),要么是使用服務帳戶的憑據并直接連接到數據存儲,從而完全繞過應用程序。
過度放縱的反面則是 過度限制數據訪問。這當然違背了數據驅動戰略的目標,所以不能被視為合適的替代方案。
6)新法規要求組織重新思考其數據戰略
隨著數字轉型,企業正在走向在線,每天生成、存儲、處理和交換的個人信息數量驚人。出于對個人和一般敏感信息的安全和隱私的擔憂,許多司法管轄區引入了新的法規,如國內的《數據安全法》和《個人信息保護法》、歐盟的GDPR、美國加利福尼亞的CCPA。
隨著大量罰款和客戶對其數據擁有的權利的明確定義,以及組織在收集、存儲、使用這些數據時必須遵守的要求,這些新法規極大地改變了組織對數據安全、隱私、治理的思考方式。
03、保護敏感數據的現有方法
1)數據編目與分級分類
大多數數據治理計劃,都是從試圖了解數據在組織中的位置以及正在生成、處理、存儲、讀取的數據類型開始的。
在大多數情況下,這一過程要求所有利益相關者合作并共享他們所知道的信息,以構建所有 數據流的地圖。包括誰正在訪問數據,他們正在訪問什么類型的數據,以及數據存儲在哪里。對于大型組織來說,這本身就是一個巨大的挑戰,因為團隊成員分布在不同的地理位置和不同的時區。通常情況下,這些計劃啟動緩慢,往往中途失敗。
另一個障礙是數據是一個移動的目標——特別是在云環境中,生成新的數據存儲既快速又簡單,而傳統的IT治理效果較差。當這些舉措產生結果時,背景和環境可能已經改變,組織可能在不知不覺中掌握更敏感的信息。
即使在了解了敏感信息的位置之后,組織仍需努力使該信息具有可操作性。而 依賴數據防泄漏(DLP)解決方案來提供上下文通常太少、太晚。
2)訪問控制和權限管理
一旦組織知道他們擁有什么樣的敏感信息以及這些信息在哪里,就有必要建立防護欄和邊界,限制只有需要的人才能訪問這些信息。
雖然有很多工具可以幫助組織管理對資源的訪問, 例如數據存儲,但它們并不了解數據。 試圖在數據存儲schema的特定部分上定義訪問控制,是非常具有挑戰性的:半結構化和非結構化數據存儲沒有schema,而且,就基于模式的數據存儲而言,為每個用例的每個用戶,在表和列級別管理細粒度權限的過程,在規模上是一個無法克服的挑戰。
3)掩蔽、加密、 符號化
一些組織遵循復制敏感數據的策略,并應用各種技術 消除靜止數據的風險,例如掩蔽、加密、 符號化——例如,在掩蔽其中的任何敏感信息的同時,為開發團隊提供生產數據庫的副本以供調試。
雖然這種方法對特定用例有效,但由于缺乏靈活性和由此產生的開銷,在規模上失敗了。為每個用例創建一個數據副本,應用所需的轉換來保護它,并授予對它的訪問權,是一個緩慢的過程。每當克隆數據存儲中需要新字段時,都需要調整并重新運行復制過程。此外,這種設計方法會產生更多的數據,從而導致更大的風險、更大的運營開銷和更高的基礎設施成本。
總之,在過去幾十年中,保護敏感數據的現有策略是一個一個地建立起來的,缺乏整體性。它們會導致巨大的操作開銷,并且只能解決部分問題。考慮到各組織正在云中采用新的數據存儲技術,并在越來越嚴格的隱私法規下處理比以往任何時候都多的數據,尋求一種新方法是很必要的。
04、數據保護和治理的新方法
新一代數據安全方案應遵循以下原則:
1)執行動態和細粒度數據訪問控制
必須意識到,解決數據訪問安全挑戰,不能以犧牲業務輸出為代價。一個好的解決方案必須既能確保企業的安全,又不會減慢企業的速度。
為了解決這個問題,組織需要能夠了解他們的敏感數據在哪里,尤其是當它與數據湖和數據倉庫中的其他數據混合時,并跟蹤其消費者的使用情況,還要能夠對用戶訪問敏感數據和受監管數據設置限制。
為了真正解決數據安全問題,組織需要能夠強制執行 動態和細粒度數據訪問控制,可以保護敏感數據,揭露行為異常。這才是 新一代數據安全方案的基本思想。
2)為數據訪問添加上下文
數據存儲庫本身就是一個宇宙。如果沒有專門的平臺,企業就不可能高效跟蹤內部發生的事情。組織希望回答一些基本問題,例如誰在訪問他們的數據、正在訪問哪些類型的數據、這些數據的用途。
實現這一目標的最佳且唯一的方法,是 為數據訪問添加用戶、數據、意圖上下文,即將用戶身份、數據類型、訪問意圖的信息關聯起來。 這些類型的上下文,通常存在于多個系統中。如組織的 身份系統提供有關人員及其群體的信息; 數據目錄和主數據管理系統包含有關數據集及其業務上下文的信息; 數據存儲維護與訪問相關的日志; 數據庫權限則上下文化授權訪問。
為此,至少需要 將標簽分為兩類:身份標簽和數據標簽。 身份標簽提供有關嘗試訪問數據的實體的上下文信息(例如,組織單位、位置,甚至特定帳戶)。 數據標簽提供有關所訪問數據的上下文信息。大多數上下文信息,默認由分級分類引擎生成,但客戶也可以自定義。
3)建立分離的數據訪問安全層
每個組織都以不同的方式處理數據保護。可以將它們提煉為 兩種方法:
- 1)外掛安全:在現有系統之外,掛接安全/隱私控制;
- 2)設計安全:通過設計,嵌入安全/隱私。
就流行偏好而言,當今大多數公司都傾向于 外掛安全。從表面上看,這似乎是阻力最小的路徑,因為它容易集成到他們已有的系統架構和運營中。
但實際上,采用 設計安全方式,建立一個與數據架構分離的數據訪問安全層,可以在不限制訪問的情況下確保數據安全,使得現代企業更有可能獲得成功。
將訪問控制與數據平臺分離,是與DataSecOps方法保持一致的唯一方法,是阻力最小和功效最大的真正途徑。因此,必須采用可跨任何數據平臺或API工作的 通用數據訪問服務。
通過 建立分離的數據訪問安全層,將訪問控制(以及訪問控制日志記錄)與數據存儲基礎設施分離。這樣,設置訪問控制策略以及審計它們,就可以跨不同平臺實現統一,從而獲得 跨多個數據存儲的訪問管理的統一體驗。
4)進行持續的敏感數據發現和分級分類
敏感信息往往會出現在意料不到的地方,當你剛剛繪制完成 敏感數據地圖后,可能發現敏感數據隨即出現在新的位置。這正是墨菲定律想表達的意思。
數據經常變化,只有通過 持續的可見性和洞察力,才能大規模地保護和治理數據,比如 數據盤點、數據訪問審計、數據訪問控制等。
為此,需要進行持續的敏感數據發現和分級分類。根據不同的數據類型,可以采取的具體方法包括: 字典匹配、模式匹配、算法匹配、機器學習等。
對半結構化數據進行持續分級分類很重要。在許多數據分類中, 半結構化數據通常被忽略或統一歸為一個塊(例如,包含 1,000 個不同值的消息,被標記為“電子郵件”,僅僅因為其中一個值是電子郵件地址)。由于半結構化數據在許多情況下不一致,因此對其進行持續分級分類很重要。例如,半結構化數據可能包含隨時間添加的額外鍵,而沒有任何數據庫schema變更。
數據分級分類的粒度級別。所需的粒度級別有兩個:
- 位置級粒度:可以細化到特定的數據存儲、數據庫、schema、表或列。要求了解位于特定列內的半結構化數據中不同數據類型的位置,可能更加細化。
- 數據類型粒度:在大多數情況下,至少需要定義分類數據的類別。在許多情況下,要求更加具體,并將數據分類為特定類型,例如電話號碼、姓名、血型、患者 ID 或社會保障號碼。
5)在數據源頭保護數據
避免傳統的數據副本方法。傳統數據控制的一個主要問題在于,許多組織都會為不同的用例(例如,掩蔽和非掩蔽數據集) 復制schema。這種粗糙的方法,會導致過時的數據、繁冗而緩慢的審批流程,以及每種使用模式的數據倉庫數量不斷增加。對于具有合理數據規模的組織來說, 復制數據或復制基礎設施都是不可擴展或不切實際的。
基于上下文的數據訪問控制,通過強制執行多個策略,來避免創建數據的副本。這些策略負責解釋每種使用模式,可以根據每種單獨的使用模式,掩蔽、減少、轉換數據,而無需修改schema或數據。
盡量避免使用 靜態數據轉換(例如,用掩蔽的電子郵件地址,替換數據集中的所有電子郵件地址),而是利用 動態數據轉換在源頭保護敏感數據,例如,當用戶查詢不應暴露于個人識別信息(PII)的電子郵件地址時,可以掩蔽這些地址。這確保了組織只存儲他們需要的數據,并允許 通過配置誰可以訪問數據而不是運行在線復制過程,以更靈活的方式提供對數據的訪問。
6)開展持續的權限治理
無法貫徹最小權限原則,是許多組織面臨的問題。 權限幾乎是單向發展的—— 請求增加權限的情況頻繁發生,但很少會有人主動請求刪除訪問權限。這導致, 權限的膨脹速度,會比面團發酵還要快。
為解決權限回收問題, 應分析用戶權限(用戶有權使用什么)和實際數據訪問(用戶實際使用什么)之間的差距。然后對差距進行優先級排序,以便及時回收不必要的權限。
將數據授權給人,而非授權人到數據。目前最流行的數據授權方式是 RBAC(基于角色的訪問控制)。RBAC是一個 授權用戶訪問數據的系統,它可以定義 哪些角色可以訪問 哪些位置的數據。事實上, 數據位置是不明確的,因為數據在不斷地移動。此外,在一個快速發展的組織中,角色也未必準確定義其工作范圍。因此,公司不得不實施 手動流程,旨在驗證控制的準確性,這就必然降低了流程速度。
因此,應該考慮 將數據授權給人的選項。這種方法可以 定義感興趣的數據類型以及獲取訪問權限所需的內容。這種替代方案需要一種更細粒度的授權機制,該機制考慮到數據和訪問屬性。 ABAC(基于屬性的訪問控制)就是這樣一種方法,它允許更靈活的策略。再加上一個 數據訪問層,不僅可以控制訪問,還可以控制返回的數據和涉及的過程。這樣,就使得對于不同使用模式的維護,可以 從手動轉向自動。
7)可在現有環境中透明化部署
避免重建數據基礎設施。大多數組織不會僅僅為了采用數據安全解決方案,而重新構建其數據基礎設施。 通過替換部分數據基礎設施(如存儲或查詢引擎)或依靠廣泛部署應用程序或端點代理來提供安全價值的解決方案,既很難實施,又很難被欣賞。
在現有環境中透明化部署。數據安全不是一個全新市場,企業已經投資建立自己的數據平臺和流程。因此,數據安全解決方案必須能夠在不中斷企業業務的情況下適應現有環境,并在不影響現有使用模式和工具的情況下 集成到現有基礎設施中。最重要的是, 目標必須是通過簡單、高效、廣泛的數據訪問,來優化他們的數據運營。
按照這個邏輯, 一個好的數據保護和數據治理解決方案,必須能夠實現正常的數據訪問,而不是中斷或產生負面影響。然而, 一個偉大的解決方案,將使數據訪問比以前更容易、更高效、更廣泛!
05、示例:Satori 安全數據訪問
Satori是RSA 2021大會的創新沙盒十強決賽入圍者。Satori在日語中有“ 頓悟”之意。Satori秉持 DataSecOps理念,引入了位于數據消費者和數據存儲之間的 通用數據訪問服務的概念。毫無疑問,Satori 通用數據訪問平臺是上述 數據安全新方法的典型示例。
Satori提出了一種新的數據安全方法,提供了 對數據和數據流的持續可見性,實施必要的安全控制,強制執行合規性和隱私政策,同時使合法訪問變得簡單、快速、高效。Satori通過 將用戶/應用程序身份與實時數據發現、分級分類、行為分析相結合,實現了這一點。
Satori 充當 數據消費者(用戶/應用程序)和 數據存儲之間的 數據訪問層,也是一個 上下文感知層,其方式與 代理類似。它檢查每個事務,對動態數據進行分級分類,通過 IAM 解決方案或數據存儲用戶和角色配置添加身份上下文,并為所有云數據存儲提供精細的訪問控制策略和集中分析。
Satori 的核心是一個 透明代理服務,數據消費者連接到它,而不是連接到實際的數據存儲本身。 Satori 對其數據用戶是透明的,因此不需要對業務智能 (BI) 或分析工具進行任何更改,也不會改變數據用戶使用數據的方式(即查詢或命令中沒有變化)。 Satori 對數據存儲也是透明的,因此不會改變數據存儲本身中的任何內容(即沒有創建視圖或schema),身份認證、授權、審計機制也保持不變。
Satori 通過下述 上下文,富化每個數據活動:
- 身份:Satori 監控到數據存儲的新連接的創建,并使用該信息在組織的IAM (身份和訪問管理) 系統中查找用戶的配置文件。
- 數據:Satori 會同時觀察查詢和結果集,以對包含敏感信息(如姓名、電子郵件地址、社會保障號碼)的事務進行分類。
- 行為:Satori 分析環境中的真實用戶訪問,以了解正常訪問是什么樣的,同時還提供了一套豐富的開箱即用的行為策略,以促進數據訪問安全。
圖3-Satori通用數據訪問平臺/服務
Satori架構解決可靠性和低延遲問題的方法是, 將數據流量分成兩個數據路徑:代理和分析。 代理意味著將字節從數據消費者傳輸到數據存儲; 分析是運行算法和策略引擎的地方。每條路徑都由一組單獨的計算資源處理,更重要的是,由具有不同代碼庫和發布節奏的單獨軟件處理。
對于代理,Satori 使用Nginx,這是一種眾所周知的代理軟件。使用 Nginx 的開箱即用功能,來代理 TCP 和 HTTP 流量并終止 TLS 連接。每個 Satori 部署都包含一組高度可用的 Nginx 代理服務器,作為 Kubernetes 集群中的容器。數據消費者和數據存儲之間的連接僅通過 Nginx。
對于分析,Satori 使用Rust構建了“分析器”(Analyzer) ,Rust是一種專注于安全性、并發性、高性能的系統編程語言。分析器不在數據消費者和數據存儲之間的數據路徑中。相反,它從 Nginx 接收流量捕獲,并異步處理它們。根據應用于連接的策略,分析器可以指示 Nginx 終止連接、阻止查詢、返回空結果集、掩蔽敏感數據。
06、總結:數據安全新方法與零信任的關系
簡單總結下數據安全新方法與零信任的關系:
1)數據安全新方法徹底貫徹了零信任思想
數據安全新方法本質上是一種新型的數據訪問控制方法,而數據訪問控制必然依賴于零信任方法。作為新一代數據訪問控制的代表, Satori正在全面實現基于零信任的數據訪問控制服務。
2)零信任是以數據為中心的安全架構
這是零信任與 以網絡為中心的傳統安全模型的主要區別。
數據是零信任的支柱目標之一。在《美國聯邦政府零信任戰略》中支柱目標包括:支柱目標1-身份;支柱目標2-設備;支柱目標3-網絡;支柱目標4-應用;支柱目標5- 數據。本質上,實現數據安全,是零信任的終極目標。
3)美國國防部將零信任應用于數據安全
不妨看看美國國防部(DoD)面向數據安全的零信任架構。
圖4-DoD面向數據安全的零信任架構
從圖中可以看到,有4道授權決策點,但考慮到第1道授權包含了 人和 設備兩種情況,所以實際上可以展開成5道授權決策點。如下圖所示:
圖5-逐層深入的數據授權過程
從上圖可見,5道授權決策點依次是: 用戶->設備->網絡->應用->數據。而通常意義上的零信任,主要是實現了前面的4道授權。而第5道數據授權,才是數據訪問控制的核心。數據授權的基本原理如下圖所示:
圖6-數據訪問控制的基本原理
數據訪問控制與之前幾道訪問控制的重要區別在于:之前的幾道網關都是功能級的訪問控制;而數據訪問網關是數據級的訪問控制。數據訪問網關通過數據訪問策略引擎,實現數據庫的表級、行級、列級、字段級的數據訪問控制。這是其它的網關通常無法實現的能力,也是數據安全中最值得重視的能力。
4)數據訪問控制與零信任的區別
如果一定要分辨數據訪問控制與零信任訪問控制的區別,可以簡單地認為:
- 保護對象:零信任保護的是業務/應用訪問;數據訪問控制保護的是數據訪問。
- 實現方式:零信任的實現方式通常是應用代理;數據訪問控制的實現方式通常是數據代理。
- 控制粒度:零信任訪問控制的粒度通常是功能級;而數據訪問控制的粒度必然是數據級。
但其實,以筆者觀點看, 數據訪問控制是零信任的 最后環節和 終極目標。正如圖5( 逐層深入的數據授權過程)所反映出的,徹底的零信任方案應該包含數據訪問控制。
此外,數據安全與零信任還有個相似的性質在于:它們都超越了傳統的安全領域。零信任滲透到 身份治理領域;數據安全擴展到 數據治理領域。而這兩種治理活動,都需要足夠的積累和沉淀。
未來已來,不談零信任,何談數據安全!這就是為什么必須在新一代數據安全框架中,為零信任留出半壁江山。
