一文帶你全面了解《零信任數(shù)據(jù)安全白皮書》（附下載鏈接）

數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)已然成為創(chuàng)新發(fā)展的核心生產(chǎn)要素。隨著新技術(shù)促使數(shù)據(jù)應(yīng)用場(chǎng)景和參與主體的日益多樣化、數(shù)據(jù)價(jià)值的愈加凸顯，數(shù)據(jù)安全的外延也在不斷地?cái)U(kuò)展。

 

與此同時(shí)，數(shù)據(jù)安全風(fēng)險(xiǎn)與日俱增。如何保護(hù)數(shù)據(jù)安全是數(shù)字經(jīng)濟(jì)時(shí)代每一個(gè)個(gè)體、企業(yè)與組織、甚至國(guó)家的必答題。

 

而事實(shí)上，無論是過去傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)，還是接近業(yè)務(wù)的應(yīng)用安全防護(hù)技術(shù)，再到傳統(tǒng)的靜態(tài)數(shù)據(jù)安全防護(hù)手段，幾乎所有的安全技術(shù)，最終目標(biāo)都是為了保護(hù)數(shù)據(jù)資產(chǎn)安全。

 

那作為一種全新的網(wǎng)絡(luò)安全架構(gòu)與安全理念的零信任，又可以與數(shù)據(jù)安全如何結(jié)合應(yīng)用，從而應(yīng)對(duì)更加動(dòng)態(tài)化、外延化的數(shù)據(jù)安全新場(chǎng)景？

 

由零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組和云計(jì)算開源產(chǎn)業(yè)聯(lián)盟零信任實(shí)驗(yàn)室共同編寫的《零信任數(shù)據(jù)安全白皮書》（以下簡(jiǎn)稱“白皮書”）解答了這個(gè)問題，并詳細(xì)闡述了零信任與數(shù)據(jù)的關(guān)系，零信任能夠?yàn)閿?shù)據(jù)合規(guī)和安全攻防提供的價(jià)值，以及零信任在數(shù)據(jù)安全領(lǐng)域的應(yīng)用場(chǎng)景等。

 

派拉軟件作為白皮書的參與撰稿單位之一，將通過本文詳細(xì)解讀，帶你讀懂并全面了解！

 

下面，有請(qǐng)鹿小派和大磚家為大家詳細(xì)介紹：

 

 

 

過去，數(shù)據(jù)是靜態(tài)的，集中存放在一個(gè)地方，比如中央服務(wù)器上。人和數(shù)據(jù)是分隔的，需要用的時(shí)候才去調(diào)用數(shù)據(jù)。因此，過去做數(shù)據(jù)安全的主要方式，是對(duì)數(shù)據(jù)進(jìn)行加密。

 

但現(xiàn)在，數(shù)據(jù)是流動(dòng)的。數(shù)字化將數(shù)據(jù)變成了生產(chǎn)資料，用數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)。這意味著，數(shù)據(jù)不再是靜態(tài)存儲(chǔ)在某個(gè)地方，而是在不同的業(yè)務(wù)之間，在不同的存儲(chǔ)介質(zhì)中間等等不斷地進(jìn)行流轉(zhuǎn)。任何一個(gè)環(huán)節(jié)遭到破壞，都可能造成數(shù)據(jù)安全風(fēng)險(xiǎn)。

 

此外，數(shù)字化新技術(shù)使得數(shù)據(jù)應(yīng)用的場(chǎng)景和參與主體日益多樣化，這就意味著數(shù)據(jù)安全也愈加復(fù)雜，數(shù)據(jù)安全外延不斷擴(kuò)展。所以，現(xiàn)在的數(shù)據(jù)安全防護(hù)不再是針對(duì)某一個(gè)點(diǎn)，而是針對(duì)數(shù)據(jù)流通的全流程、體系化的安全保護(hù)。

 

1、數(shù)據(jù)安全法律合規(guī)面臨挑戰(zhàn)；

2、數(shù)據(jù)信息泄露風(fēng)險(xiǎn)；

3、數(shù)據(jù)遭受異常流量攻擊；

4、數(shù)據(jù)傳輸過程中的安全風(fēng)險(xiǎn)；

5、數(shù)據(jù)存儲(chǔ)管理風(fēng)險(xiǎn)；

6、數(shù)據(jù)訪問便利性和安全性的平衡性挑戰(zhàn)。

 

大家可以下載白皮書自行查看，文末附有下載鏈接。

 

 

總體來看，零信任的概念和思想在業(yè)界已形成了基本共識(shí)，零信任可以對(duì)所有網(wǎng)絡(luò)資源(數(shù)據(jù))的訪問過程進(jìn)行安全防護(hù)。

 

相比于傳統(tǒng)的“以網(wǎng)絡(luò)位置”為中心的邊界安全方案，零信任則強(qiáng)調(diào)“以數(shù)據(jù)和身份”為中心。

 

無論數(shù)據(jù)位于終端、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)，還是在企業(yè)網(wǎng)絡(luò)內(nèi)部或外部，亦或是是處于流動(dòng)狀態(tài)或使用狀態(tài)，都需要通過一定的技術(shù)手段，防止數(shù)據(jù)的泄露。

 

這就需要企業(yè)先明確哪些數(shù)據(jù)是敏感的和高價(jià)值的，同時(shí)全面了解數(shù)據(jù)的流動(dòng)過程，并執(zhí)行一系列安全策略，通過以下4步驟進(jìn)行整體數(shù)據(jù)安全治理與防護(hù)：

 

1、識(shí)別數(shù)據(jù)資產(chǎn)；

2、識(shí)別數(shù)據(jù)流和風(fēng)險(xiǎn)；

3、使用多種數(shù)據(jù)安全措施和技術(shù)；

4、持續(xù)安全監(jiān)測(cè)和調(diào)整。

 

 

零信任在所有需要對(duì)網(wǎng)絡(luò)資源（數(shù)據(jù)）訪問進(jìn)行安全防護(hù)的場(chǎng)景中都可以使用。白皮書上根據(jù)有沒有用戶直接參與，將使用場(chǎng)景分為兩大類：

 

1、用戶對(duì)資源(數(shù)據(jù))的訪問場(chǎng)景；

2、服務(wù)(數(shù)據(jù)服務(wù))之間調(diào)用場(chǎng)景。

 

 

零信任主要是從數(shù)據(jù)資源安全訪問的視角，重新審視與解決數(shù)據(jù)安全問題。它將所有數(shù)據(jù)資源都視為要管控的資源客體，且認(rèn)為數(shù)據(jù)資源處于人員、網(wǎng)絡(luò)、設(shè)備皆不可信的運(yùn)行環(huán)境中。

 

訪問數(shù)據(jù)資源的主體只有通過動(dòng)態(tài)嚴(yán)格的訪問控制，才能夠訪問到數(shù)據(jù)資源。這種看待數(shù)據(jù)安全問題的方式就更貼近企業(yè)數(shù)據(jù)安全防護(hù)的實(shí)際環(huán)境。

 

實(shí)際上，基于零信任思想構(gòu)建的數(shù)據(jù)資源安全訪問控制措施，既采納了傳統(tǒng)數(shù)據(jù)安全領(lǐng)域的數(shù)據(jù)安全管控措施，也運(yùn)用了“以身份為基礎(chǔ)，以信任為核心”的動(dòng)態(tài)、嚴(yán)格的數(shù)據(jù)安全管控措施，是靜動(dòng)態(tài)數(shù)據(jù)安全管控措施的有機(jī)結(jié)合體，能夠系統(tǒng)而有效的解決數(shù)據(jù)資源安全訪問問題。

 

零信任的目標(biāo)是為了降低數(shù)據(jù)訪問過程中的安全風(fēng)險(xiǎn)，防止在未經(jīng)授權(quán)情況下的數(shù)據(jù)訪問，其關(guān)鍵是打破信任和網(wǎng)絡(luò)位置的默認(rèn)綁定關(guān)系。

 

零信任數(shù)據(jù)安全防護(hù)機(jī)制是針對(duì)數(shù)據(jù)全生命周期和數(shù)據(jù)流轉(zhuǎn)過程，并貼合業(yè)務(wù)流程并動(dòng)態(tài)調(diào)整的，強(qiáng)調(diào)對(duì)身份和權(quán)限的動(dòng)態(tài)管控。

 

根據(jù)數(shù)據(jù)敏感度等級(jí)和數(shù)據(jù)訪問、關(guān)聯(lián)訪問主體、客體、環(huán)境(上下文)，對(duì)使用過程中的安全風(fēng)險(xiǎn)情況動(dòng)態(tài)調(diào)整訪問主體對(duì)數(shù)據(jù)的訪問權(quán)限，從而實(shí)現(xiàn)動(dòng)態(tài)訪問控制。

 

整個(gè)零信任數(shù)據(jù)安全防護(hù)機(jī)制有以下5大數(shù)據(jù)安全風(fēng)險(xiǎn)防護(hù)關(guān)鍵點(diǎn)：

 

1、數(shù)據(jù)訪問權(quán)限最小授權(quán)；

2、數(shù)據(jù)訪問權(quán)限動(dòng)態(tài)決策；

3、數(shù)據(jù)傳輸加密；

4、數(shù)據(jù)資源隱藏；

5、數(shù)據(jù)資源隔離。

 

以上就是白皮書前三大部分的內(nèi)容介紹，基本將零信任、數(shù)據(jù)安全以及二者之間的關(guān)系與結(jié)合闡述清楚了。從過去靜態(tài)數(shù)據(jù)到現(xiàn)在的靜/動(dòng)態(tài)數(shù)據(jù)，這樣的變化又帶來新的數(shù)據(jù)安全場(chǎng)景變化與防護(hù)手段的變化。

 

而零信任這一新的安全理念，基于其“以身份為基礎(chǔ)，以信任為核心”的動(dòng)態(tài)、嚴(yán)格的數(shù)據(jù)安全管控措施，結(jié)合零信任數(shù)據(jù)訪問權(quán)限最小授權(quán)與動(dòng)態(tài)決策、數(shù)據(jù)傳輸加密、數(shù)據(jù)資源隱藏、數(shù)據(jù)資源隱藏等能力，系統(tǒng)而有效的解決了數(shù)據(jù)資源安全訪問問題。

 

但是，值得注意的是，從數(shù)據(jù)的整個(gè)生命周期的安全防護(hù)來看，零信任數(shù)據(jù)資源安全訪問控制措施并不能進(jìn)行全面防護(hù)。它可以在數(shù)據(jù)的采集、傳輸、存儲(chǔ)、處理、交換五個(gè)階段提供數(shù)據(jù)安全防護(hù)，但不能全面解決這五個(gè)階段的數(shù)據(jù)安全問題。

 

零信任數(shù)據(jù)安全只是在解決數(shù)據(jù)資源安全訪問這一核心問題時(shí)，整合引入了不同階段下傳統(tǒng)的一些數(shù)據(jù)安全管控手段。

 

這也是為什么派拉軟件在以“身份優(yōu)先”構(gòu)建零信任安全解決方案的基礎(chǔ)上，不斷結(jié)合業(yè)務(wù)應(yīng)用安全產(chǎn)品（API網(wǎng)關(guān)、API安全）、特權(quán)賬號(hào)管理平臺(tái)、數(shù)據(jù)庫(kù)訪問安全產(chǎn)品、數(shù)據(jù)治理平臺(tái)等系列產(chǎn)品能力。

 

力爭(zhēng)做到令數(shù)據(jù)“看不見”（數(shù)據(jù)資產(chǎn)隱藏和隔離）、“看不懂”（數(shù)據(jù)加密），“身份安全”（確保是正確的人、物、應(yīng)用等訪問數(shù)據(jù)），“環(huán)境安全”（環(huán)境安全加固和安全狀態(tài)感知），“受控操作”（權(quán)限治理和訪問控制）等；

 

從而更好地實(shí)現(xiàn)數(shù)據(jù)全生命周期（數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀）的安全防護(hù)，保障數(shù)據(jù)合規(guī)、數(shù)據(jù)可用，避免數(shù)據(jù)未授權(quán)訪問、數(shù)據(jù)泄露、數(shù)據(jù)篡改等安全。

 

最后，白皮書還剩下三部分，皆是從應(yīng)用場(chǎng)景的角度來講述零信任數(shù)據(jù)安全，包括零信任應(yīng)用于數(shù)據(jù)安全合規(guī)、零信任應(yīng)用于數(shù)據(jù)安全攻防、零信任數(shù)據(jù)安全應(yīng)用需求場(chǎng)景。

 

由于文章篇幅有限，就不具體介紹了，有需要的朋友可以掃描下方二維碼，獲取白皮書下載鏈接。