數(shù)字經(jīng)濟時代,數(shù)據(jù)已然成為創(chuàng)新發(fā)展的核心生產(chǎn)要素。隨著新技術(shù)促使數(shù)據(jù)應(yīng)用場景和參與主體的日益多樣化、數(shù)據(jù)價值的愈加凸顯,數(shù)據(jù)安全的外延也在不斷地擴展。
與此同時,數(shù)據(jù)安全風(fēng)險與日俱增。如何保護數(shù)據(jù)安全是數(shù)字經(jīng)濟時代每一個個體、企業(yè)與組織、甚至國家的必答題。
而事實上,無論是過去傳統(tǒng)的網(wǎng)絡(luò)安全防護技術(shù),還是接近業(yè)務(wù)的應(yīng)用安全防護技術(shù),再到傳統(tǒng)的靜態(tài)數(shù)據(jù)安全防護手段,幾乎所有的安全技術(shù),最終目標(biāo)都是為了保護數(shù)據(jù)資產(chǎn)安全。
那作為一種全新的網(wǎng)絡(luò)安全架構(gòu)與安全理念的零信任,又可以與數(shù)據(jù)安全如何結(jié)合應(yīng)用,從而應(yīng)對更加動態(tài)化、外延化的數(shù)據(jù)安全新場景?
由零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組和云計算開源產(chǎn)業(yè)聯(lián)盟零信任實驗室共同編寫的《零信任數(shù)據(jù)安全白皮書》(以下簡稱“白皮書”)解答了這個問題,并詳細闡述了零信任與數(shù)據(jù)的關(guān)系,零信任能夠為數(shù)據(jù)合規(guī)和安全攻防提供的價值,以及零信任在數(shù)據(jù)安全領(lǐng)域的應(yīng)用場景等。
派拉軟件作為白皮書的參與撰稿單位之一,將通過本文詳細解讀,帶你讀懂并全面了解!
下面,有請鹿小派和大磚家為大家詳細介紹:
過去,數(shù)據(jù)是靜態(tài)的,集中存放在一個地方,比如中央服務(wù)器上。人和數(shù)據(jù)是分隔的,需要用的時候才去調(diào)用數(shù)據(jù)。因此,過去做數(shù)據(jù)安全的主要方式,是對數(shù)據(jù)進行加密。
但現(xiàn)在,數(shù)據(jù)是流動的。數(shù)字化將數(shù)據(jù)變成了生產(chǎn)資料,用數(shù)據(jù)驅(qū)動業(yè)務(wù)。這意味著,數(shù)據(jù)不再是靜態(tài)存儲在某個地方,而是在不同的業(yè)務(wù)之間,在不同的存儲介質(zhì)中間等等不斷地進行流轉(zhuǎn)。任何一個環(huán)節(jié)遭到破壞,都可能造成數(shù)據(jù)安全風(fēng)險。
此外,數(shù)字化新技術(shù)使得數(shù)據(jù)應(yīng)用的場景和參與主體日益多樣化,這就意味著數(shù)據(jù)安全也愈加復(fù)雜,數(shù)據(jù)安全外延不斷擴展。所以,現(xiàn)在的數(shù)據(jù)安全防護不再是針對某一個點,而是針對數(shù)據(jù)流通的全流程、體系化的安全保護。
1、數(shù)據(jù)安全法律合規(guī)面臨挑戰(zhàn);
2、數(shù)據(jù)信息泄露風(fēng)險;
3、數(shù)據(jù)遭受異常流量攻擊;
4、數(shù)據(jù)傳輸過程中的安全風(fēng)險;
5、數(shù)據(jù)存儲管理風(fēng)險;
6、數(shù)據(jù)訪問便利性和安全性的平衡性挑戰(zhàn)。
大家可以下載白皮書自行查看,文末附有下載鏈接。
總體來看,零信任的概念和思想在業(yè)界已形成了基本共識,零信任可以對所有網(wǎng)絡(luò)資源(數(shù)據(jù))的訪問過程進行安全防護。
相比于傳統(tǒng)的“以網(wǎng)絡(luò)位置”為中心的邊界安全方案,零信任則強調(diào)“以數(shù)據(jù)和身份”為中心。
無論數(shù)據(jù)位于終端、應(yīng)用服務(wù)器、數(shù)據(jù)庫,還是在企業(yè)網(wǎng)絡(luò)內(nèi)部或外部,亦或是是處于流動狀態(tài)或使用狀態(tài),都需要通過一定的技術(shù)手段,防止數(shù)據(jù)的泄露。
這就需要企業(yè)先明確哪些數(shù)據(jù)是敏感的和高價值的,同時全面了解數(shù)據(jù)的流動過程,并執(zhí)行一系列安全策略,通過以下4步驟進行整體數(shù)據(jù)安全治理與防護:
1、識別數(shù)據(jù)資產(chǎn);
2、識別數(shù)據(jù)流和風(fēng)險;
3、使用多種數(shù)據(jù)安全措施和技術(shù);
4、持續(xù)安全監(jiān)測和調(diào)整。
零信任在所有需要對網(wǎng)絡(luò)資源(數(shù)據(jù))訪問進行安全防護的場景中都可以使用。白皮書上根據(jù)有沒有用戶直接參與,將使用場景分為兩大類:
1、用戶對資源(數(shù)據(jù))的訪問場景;
2、服務(wù)(數(shù)據(jù)服務(wù))之間調(diào)用場景。
零信任主要是從數(shù)據(jù)資源安全訪問的視角,重新審視與解決數(shù)據(jù)安全問題。它將所有數(shù)據(jù)資源都視為要管控的資源客體,且認為數(shù)據(jù)資源處于人員、網(wǎng)絡(luò)、設(shè)備皆不可信的運行環(huán)境中。
訪問數(shù)據(jù)資源的主體只有通過動態(tài)嚴格的訪問控制,才能夠訪問到數(shù)據(jù)資源。這種看待數(shù)據(jù)安全問題的方式就更貼近企業(yè)數(shù)據(jù)安全防護的實際環(huán)境。
實際上,基于零信任思想構(gòu)建的數(shù)據(jù)資源安全訪問控制措施,既采納了傳統(tǒng)數(shù)據(jù)安全領(lǐng)域的數(shù)據(jù)安全管控措施,也運用了“以身份為基礎(chǔ),以信任為核心”的動態(tài)、嚴格的數(shù)據(jù)安全管控措施,是靜動態(tài)數(shù)據(jù)安全管控措施的有機結(jié)合體,能夠系統(tǒng)而有效的解決數(shù)據(jù)資源安全訪問問題。
零信任的目標(biāo)是為了降低數(shù)據(jù)訪問過程中的安全風(fēng)險,防止在未經(jīng)授權(quán)情況下的數(shù)據(jù)訪問,其關(guān)鍵是打破信任和網(wǎng)絡(luò)位置的默認綁定關(guān)系。
零信任數(shù)據(jù)安全防護機制是針對數(shù)據(jù)全生命周期和數(shù)據(jù)流轉(zhuǎn)過程,并貼合業(yè)務(wù)流程并動態(tài)調(diào)整的,強調(diào)對身份和權(quán)限的動態(tài)管控。
根據(jù)數(shù)據(jù)敏感度等級和數(shù)據(jù)訪問、關(guān)聯(lián)訪問主體、客體、環(huán)境(上下文),對使用過程中的安全風(fēng)險情況動態(tài)調(diào)整訪問主體對數(shù)據(jù)的訪問權(quán)限,從而實現(xiàn)動態(tài)訪問控制。
整個零信任數(shù)據(jù)安全防護機制有以下5大數(shù)據(jù)安全風(fēng)險防護關(guān)鍵點:
1、數(shù)據(jù)訪問權(quán)限最小授權(quán);
2、數(shù)據(jù)訪問權(quán)限動態(tài)決策;
3、數(shù)據(jù)傳輸加密;
4、數(shù)據(jù)資源隱藏;
5、數(shù)據(jù)資源隔離。
以上就是白皮書前三大部分的內(nèi)容介紹,基本將零信任、數(shù)據(jù)安全以及二者之間的關(guān)系與結(jié)合闡述清楚了。從過去靜態(tài)數(shù)據(jù)到現(xiàn)在的靜/動態(tài)數(shù)據(jù),這樣的變化又帶來新的數(shù)據(jù)安全場景變化與防護手段的變化。
而零信任這一新的安全理念,基于其“以身份為基礎(chǔ),以信任為核心”的動態(tài)、嚴格的數(shù)據(jù)安全管控措施,結(jié)合零信任數(shù)據(jù)訪問權(quán)限最小授權(quán)與動態(tài)決策、數(shù)據(jù)傳輸加密、數(shù)據(jù)資源隱藏、數(shù)據(jù)資源隱藏等能力,系統(tǒng)而有效的解決了數(shù)據(jù)資源安全訪問問題。
但是,值得注意的是,從數(shù)據(jù)的整個生命周期的安全防護來看,零信任數(shù)據(jù)資源安全訪問控制措施并不能進行全面防護。它可以在數(shù)據(jù)的采集、傳輸、存儲、處理、交換五個階段提供數(shù)據(jù)安全防護,但不能全面解決這五個階段的數(shù)據(jù)安全問題。
零信任數(shù)據(jù)安全只是在解決數(shù)據(jù)資源安全訪問這一核心問題時,整合引入了不同階段下傳統(tǒng)的一些數(shù)據(jù)安全管控手段。
這也是為什么派拉軟件在以“身份優(yōu)先”構(gòu)建零信任安全解決方案的基礎(chǔ)上,不斷結(jié)合業(yè)務(wù)應(yīng)用安全產(chǎn)品(API網(wǎng)關(guān)、API安全)、特權(quán)賬號管理平臺、數(shù)據(jù)庫訪問安全產(chǎn)品、數(shù)據(jù)治理平臺等系列產(chǎn)品能力。
力爭做到令數(shù)據(jù)“看不見”(數(shù)據(jù)資產(chǎn)隱藏和隔離)、“看不懂”(數(shù)據(jù)加密),“身份安全”(確保是正確的人、物、應(yīng)用等訪問數(shù)據(jù)),“環(huán)境安全”(環(huán)境安全加固和安全狀態(tài)感知),“受控操作”(權(quán)限治理和訪問控制)等;
從而更好地實現(xiàn)數(shù)據(jù)全生命周期(數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀)的安全防護,保障數(shù)據(jù)合規(guī)、數(shù)據(jù)可用,避免數(shù)據(jù)未授權(quán)訪問、數(shù)據(jù)泄露、數(shù)據(jù)篡改等安全。
最后,白皮書還剩下三部分,皆是從應(yīng)用場景的角度來講述零信任數(shù)據(jù)安全,包括零信任應(yīng)用于數(shù)據(jù)安全合規(guī)、零信任應(yīng)用于數(shù)據(jù)安全攻防、零信任數(shù)據(jù)安全應(yīng)用需求場景。
由于文章篇幅有限,就不具體介紹了,有需要的朋友可以掃描下方二維碼,獲取白皮書下載鏈接。