數(shù)字經(jīng)濟(jì)時(shí)代,數(shù)據(jù)已然成為創(chuàng)新發(fā)展的核心生產(chǎn)要素。隨著新技術(shù)促使數(shù)據(jù)應(yīng)用場(chǎng)景和參與主體的日益多樣化、數(shù)據(jù)價(jià)值的愈加凸顯,數(shù)據(jù)安全的外延也在不斷地?cái)U(kuò)展。
與此同時(shí),數(shù)據(jù)安全風(fēng)險(xiǎn)與日俱增。如何保護(hù)數(shù)據(jù)安全是數(shù)字經(jīng)濟(jì)時(shí)代每一個(gè)個(gè)體、企業(yè)與組織、甚至國(guó)家的必答題。
而事實(shí)上,無(wú)論是過(guò)去傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù),還是接近業(yè)務(wù)的應(yīng)用安全防護(hù)技術(shù),再到傳統(tǒng)的靜態(tài)數(shù)據(jù)安全防護(hù)手段,幾乎所有的安全技術(shù),最終目標(biāo)都是為了保護(hù)數(shù)據(jù)資產(chǎn)安全。
那作為一種全新的網(wǎng)絡(luò)安全架構(gòu)與安全理念的零信任,又可以與數(shù)據(jù)安全如何結(jié)合應(yīng)用,從而應(yīng)對(duì)更加動(dòng)態(tài)化、外延化的數(shù)據(jù)安全新場(chǎng)景?
由零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組和云計(jì)算開(kāi)源產(chǎn)業(yè)聯(lián)盟零信任實(shí)驗(yàn)室共同編寫的《零信任數(shù)據(jù)安全白皮書》(以下簡(jiǎn)稱“白皮書”)解答了這個(gè)問(wèn)題,并詳細(xì)闡述了零信任與數(shù)據(jù)的關(guān)系,零信任能夠?yàn)閿?shù)據(jù)合規(guī)和安全攻防提供的價(jià)值,以及零信任在數(shù)據(jù)安全領(lǐng)域的應(yīng)用場(chǎng)景等。
派拉軟件作為白皮書的參與撰稿單位之一,將通過(guò)本文詳細(xì)解讀,帶你讀懂并全面了解!
下面,有請(qǐng)鹿小派和大磚家為大家詳細(xì)介紹:
過(guò)去,數(shù)據(jù)是靜態(tài)的,集中存放在一個(gè)地方,比如中央服務(wù)器上。人和數(shù)據(jù)是分隔的,需要用的時(shí)候才去調(diào)用數(shù)據(jù)。因此,過(guò)去做數(shù)據(jù)安全的主要方式,是對(duì)數(shù)據(jù)進(jìn)行加密。
但現(xiàn)在,數(shù)據(jù)是流動(dòng)的。數(shù)字化將數(shù)據(jù)變成了生產(chǎn)資料,用數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)。這意味著,數(shù)據(jù)不再是靜態(tài)存儲(chǔ)在某個(gè)地方,而是在不同的業(yè)務(wù)之間,在不同的存儲(chǔ)介質(zhì)中間等等不斷地進(jìn)行流轉(zhuǎn)。任何一個(gè)環(huán)節(jié)遭到破壞,都可能造成數(shù)據(jù)安全風(fēng)險(xiǎn)。
此外,數(shù)字化新技術(shù)使得數(shù)據(jù)應(yīng)用的場(chǎng)景和參與主體日益多樣化,這就意味著數(shù)據(jù)安全也愈加復(fù)雜,數(shù)據(jù)安全外延不斷擴(kuò)展。所以,現(xiàn)在的數(shù)據(jù)安全防護(hù)不再是針對(duì)某一個(gè)點(diǎn),而是針對(duì)數(shù)據(jù)流通的全流程、體系化的安全保護(hù)。
1、數(shù)據(jù)安全法律合規(guī)面臨挑戰(zhàn);
2、數(shù)據(jù)信息泄露風(fēng)險(xiǎn);
3、數(shù)據(jù)遭受異常流量攻擊;
4、數(shù)據(jù)傳輸過(guò)程中的安全風(fēng)險(xiǎn);
5、數(shù)據(jù)存儲(chǔ)管理風(fēng)險(xiǎn);
6、數(shù)據(jù)訪問(wèn)便利性和安全性的平衡性挑戰(zhàn)。
大家可以下載白皮書自行查看,文末附有下載鏈接。
總體來(lái)看,零信任的概念和思想在業(yè)界已形成了基本共識(shí),零信任可以對(duì)所有網(wǎng)絡(luò)資源(數(shù)據(jù))的訪問(wèn)過(guò)程進(jìn)行安全防護(hù)。
相比于傳統(tǒng)的“以網(wǎng)絡(luò)位置”為中心的邊界安全方案,零信任則強(qiáng)調(diào)“以數(shù)據(jù)和身份”為中心。
無(wú)論數(shù)據(jù)位于終端、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù),還是在企業(yè)網(wǎng)絡(luò)內(nèi)部或外部,亦或是是處于流動(dòng)狀態(tài)或使用狀態(tài),都需要通過(guò)一定的技術(shù)手段,防止數(shù)據(jù)的泄露。
這就需要企業(yè)先明確哪些數(shù)據(jù)是敏感的和高價(jià)值的,同時(shí)全面了解數(shù)據(jù)的流動(dòng)過(guò)程,并執(zhí)行一系列安全策略,通過(guò)以下4步驟進(jìn)行整體數(shù)據(jù)安全治理與防護(hù):
1、識(shí)別數(shù)據(jù)資產(chǎn);
2、識(shí)別數(shù)據(jù)流和風(fēng)險(xiǎn);
3、使用多種數(shù)據(jù)安全措施和技術(shù);
4、持續(xù)安全監(jiān)測(cè)和調(diào)整。
零信任在所有需要對(duì)網(wǎng)絡(luò)資源(數(shù)據(jù))訪問(wèn)進(jìn)行安全防護(hù)的場(chǎng)景中都可以使用。白皮書上根據(jù)有沒(méi)有用戶直接參與,將使用場(chǎng)景分為兩大類:
1、用戶對(duì)資源(數(shù)據(jù))的訪問(wèn)場(chǎng)景;
2、服務(wù)(數(shù)據(jù)服務(wù))之間調(diào)用場(chǎng)景。
零信任主要是從數(shù)據(jù)資源安全訪問(wèn)的視角,重新審視與解決數(shù)據(jù)安全問(wèn)題。它將所有數(shù)據(jù)資源都視為要管控的資源客體,且認(rèn)為數(shù)據(jù)資源處于人員、網(wǎng)絡(luò)、設(shè)備皆不可信的運(yùn)行環(huán)境中。
訪問(wèn)數(shù)據(jù)資源的主體只有通過(guò)動(dòng)態(tài)嚴(yán)格的訪問(wèn)控制,才能夠訪問(wèn)到數(shù)據(jù)資源。這種看待數(shù)據(jù)安全問(wèn)題的方式就更貼近企業(yè)數(shù)據(jù)安全防護(hù)的實(shí)際環(huán)境。
實(shí)際上,基于零信任思想構(gòu)建的數(shù)據(jù)資源安全訪問(wèn)控制措施,既采納了傳統(tǒng)數(shù)據(jù)安全領(lǐng)域的數(shù)據(jù)安全管控措施,也運(yùn)用了“以身份為基礎(chǔ),以信任為核心”的動(dòng)態(tài)、嚴(yán)格的數(shù)據(jù)安全管控措施,是靜動(dòng)態(tài)數(shù)據(jù)安全管控措施的有機(jī)結(jié)合體,能夠系統(tǒng)而有效的解決數(shù)據(jù)資源安全訪問(wèn)問(wèn)題。
零信任的目標(biāo)是為了降低數(shù)據(jù)訪問(wèn)過(guò)程中的安全風(fēng)險(xiǎn),防止在未經(jīng)授權(quán)情況下的數(shù)據(jù)訪問(wèn),其關(guān)鍵是打破信任和網(wǎng)絡(luò)位置的默認(rèn)綁定關(guān)系。
零信任數(shù)據(jù)安全防護(hù)機(jī)制是針對(duì)數(shù)據(jù)全生命周期和數(shù)據(jù)流轉(zhuǎn)過(guò)程,并貼合業(yè)務(wù)流程并動(dòng)態(tài)調(diào)整的,強(qiáng)調(diào)對(duì)身份和權(quán)限的動(dòng)態(tài)管控。
根據(jù)數(shù)據(jù)敏感度等級(jí)和數(shù)據(jù)訪問(wèn)、關(guān)聯(lián)訪問(wèn)主體、客體、環(huán)境(上下文),對(duì)使用過(guò)程中的安全風(fēng)險(xiǎn)情況動(dòng)態(tài)調(diào)整訪問(wèn)主體對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限,從而實(shí)現(xiàn)動(dòng)態(tài)訪問(wèn)控制。
整個(gè)零信任數(shù)據(jù)安全防護(hù)機(jī)制有以下5大數(shù)據(jù)安全風(fēng)險(xiǎn)防護(hù)關(guān)鍵點(diǎn):
1、數(shù)據(jù)訪問(wèn)權(quán)限最小授權(quán);
2、數(shù)據(jù)訪問(wèn)權(quán)限動(dòng)態(tài)決策;
3、數(shù)據(jù)傳輸加密;
4、數(shù)據(jù)資源隱藏;
5、數(shù)據(jù)資源隔離。
以上就是白皮書前三大部分的內(nèi)容介紹,基本將零信任、數(shù)據(jù)安全以及二者之間的關(guān)系與結(jié)合闡述清楚了。從過(guò)去靜態(tài)數(shù)據(jù)到現(xiàn)在的靜/動(dòng)態(tài)數(shù)據(jù),這樣的變化又帶來(lái)新的數(shù)據(jù)安全場(chǎng)景變化與防護(hù)手段的變化。
而零信任這一新的安全理念,基于其“以身份為基礎(chǔ),以信任為核心”的動(dòng)態(tài)、嚴(yán)格的數(shù)據(jù)安全管控措施,結(jié)合零信任數(shù)據(jù)訪問(wèn)權(quán)限最小授權(quán)與動(dòng)態(tài)決策、數(shù)據(jù)傳輸加密、數(shù)據(jù)資源隱藏、數(shù)據(jù)資源隱藏等能力,系統(tǒng)而有效的解決了數(shù)據(jù)資源安全訪問(wèn)問(wèn)題。
但是,值得注意的是,從數(shù)據(jù)的整個(gè)生命周期的安全防護(hù)來(lái)看,零信任數(shù)據(jù)資源安全訪問(wèn)控制措施并不能進(jìn)行全面防護(hù)。它可以在數(shù)據(jù)的采集、傳輸、存儲(chǔ)、處理、交換五個(gè)階段提供數(shù)據(jù)安全防護(hù),但不能全面解決這五個(gè)階段的數(shù)據(jù)安全問(wèn)題。
零信任數(shù)據(jù)安全只是在解決數(shù)據(jù)資源安全訪問(wèn)這一核心問(wèn)題時(shí),整合引入了不同階段下傳統(tǒng)的一些數(shù)據(jù)安全管控手段。
這也是為什么派拉軟件在以“身份優(yōu)先”構(gòu)建零信任安全解決方案的基礎(chǔ)上,不斷結(jié)合業(yè)務(wù)應(yīng)用安全產(chǎn)品(API網(wǎng)關(guān)、API安全)、特權(quán)賬號(hào)管理平臺(tái)、數(shù)據(jù)庫(kù)訪問(wèn)安全產(chǎn)品、數(shù)據(jù)治理平臺(tái)等系列產(chǎn)品能力。
力爭(zhēng)做到令數(shù)據(jù)“看不見(jiàn)”(數(shù)據(jù)資產(chǎn)隱藏和隔離)、“看不懂”(數(shù)據(jù)加密),“身份安全”(確保是正確的人、物、應(yīng)用等訪問(wèn)數(shù)據(jù)),“環(huán)境安全”(環(huán)境安全加固和安全狀態(tài)感知),“受控操作”(權(quán)限治理和訪問(wèn)控制)等;
從而更好地實(shí)現(xiàn)數(shù)據(jù)全生命周期(數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀)的安全防護(hù),保障數(shù)據(jù)合規(guī)、數(shù)據(jù)可用,避免數(shù)據(jù)未授權(quán)訪問(wèn)、數(shù)據(jù)泄露、數(shù)據(jù)篡改等安全。
最后,白皮書還剩下三部分,皆是從應(yīng)用場(chǎng)景的角度來(lái)講述零信任數(shù)據(jù)安全,包括零信任應(yīng)用于數(shù)據(jù)安全合規(guī)、零信任應(yīng)用于數(shù)據(jù)安全攻防、零信任數(shù)據(jù)安全應(yīng)用需求場(chǎng)景。
由于文章篇幅有限,就不具體介紹了,有需要的朋友可以掃描下方二維碼,獲取白皮書下載鏈接。