数字经济时代,数据已然成为创新发展的核心生产要素。随着新技术促使数据应用场景和参与主体的日益多样化、数据价值的愈加凸显,数据安全的外延也在不断地扩展。
与此同时,数据安全风险与日俱增。如何保护数据安全是数字经济时代每一个个体、企业与组织、甚至国家的必答题。
而事实上,无论是过去传统的网络安全防护技术,还是接近业务的应用安全防护技术,再到传统的静态数据安全防护手段,几乎所有的安全技术,最终目标都是为了保护数据资产安全。
那作为一种全新的网络安全架构与安全理念的零信任,又可以与数据安全如何结合应用,从而应对更加动态化、外延化的数据安全新场景?
由零信任产业标准工作组和云计算开源产业联盟零信任实验室共同编写的《零信任数据安全白皮书》(以下简称“白皮书”)解答了这个问题,并详细阐述了零信任与数据的关系,零信任能够为数据合规和安全攻防提供的价值,以及零信任在数据安全领域的应用场景等。
派拉软件作为白皮书的参与撰稿单位之一,将通过本文详细解读,带你读懂并全面了解!
下面,有请鹿小派和大砖家为大家详细介绍:
过去,数据是静态的,集中存放在一个地方,比如中央服务器上。人和数据是分隔的,需要用的时候才去调用数据。因此,过去做数据安全的主要方式,是对数据进行加密。
但现在,数据是流动的。数字化将数据变成了生产资料,用数据驱动业务。这意味着,数据不再是静态存储在某个地方,而是在不同的业务之间,在不同的存储介质中间等等不断地进行流转。任何一个环节遭到破坏,都可能造成数据安全风险。
此外,数字化新技术使得数据应用的场景和参与主体日益多样化,这就意味着数据安全也愈加复杂,数据安全外延不断扩展。所以,现在的数据安全防护不再是针对某一个点,而是针对数据流通的全流程、体系化的安全保护。
1、数据安全法律合规面临挑战;
2、数据信息泄露风险;
3、数据遭受异常流量攻击;
4、数据传输过程中的安全风险;
5、数据存储管理风险;
6、数据访问便利性和安全性的平衡性挑战。
大家可以下载白皮书自行查看,文末附有下载链接。
总体来看,零信任的概念和思想在业界已形成了基本共识,零信任可以对所有网络资源(数据)的访问过程进行安全防护。
相比于传统的“以网络位置”为中心的边界安全方案,零信任则强调“以数据和身份”为中心。
无论数据位于终端、应用服务器、数据库,还是在企业网络内部或外部,亦或是是处于流动状态或使用状态,都需要通过一定的技术手段,防止数据的泄露。
这就需要企业先明确哪些数据是敏感的和高价值的,同时全面了解数据的流动过程,并执行一系列安全策略,通过以下4步骤进行整体数据安全治理与防护:
1、识别数据资产;
2、识别数据流和风险;
3、使用多种数据安全措施和技术;
4、持续安全监测和调整。
零信任在所有需要对网络资源(数据)访问进行安全防护的场景中都可以使用。白皮书上根据有没有用户直接参与,将使用场景分为两大类:
1、用户对资源(数据)的访问场景;
2、服务(数据服务)之间调用场景。
零信任主要是从数据资源安全访问的视角,重新审视与解决数据安全问题。它将所有数据资源都视为要管控的资源客体,且认为数据资源处于人员、网络、设备皆不可信的运行环境中。
访问数据资源的主体只有通过动态严格的访问控制,才能够访问到数据资源。这种看待数据安全问题的方式就更贴近企业数据安全防护的实际环境。
实际上,基于零信任思想构建的数据资源安全访问控制措施,既采纳了传统数据安全领域的数据安全管控措施,也运用了“以身份为基础,以信任为核心”的动态、严格的数据安全管控措施,是静动态数据安全管控措施的有机结合体,能够系统而有效的解决数据资源安全访问问题。
零信任的目标是为了降低数据访问过程中的安全风险,防止在未经授权情况下的数据访问,其关键是打破信任和网络位置的默认绑定关系。
零信任数据安全防护机制是针对数据全生命周期和数据流转过程,并贴合业务流程并动态调整的,强调对身份和权限的动态管控。
根据数据敏感度等级和数据访问、关联访问主体、客体、环境(上下文),对使用过程中的安全风险情况动态调整访问主体对数据的访问权限,从而实现动态访问控制。
整个零信任数据安全防护机制有以下5大数据安全风险防护关键点:
1、数据访问权限最小授权;
2、数据访问权限动态决策;
3、数据传输加密;
4、数据资源隐藏;
5、数据资源隔离。
以上就是白皮书前三大部分的内容介绍,基本将零信任、数据安全以及二者之间的关系与结合阐述清楚了。从过去静态数据到现在的静/动态数据,这样的变化又带来新的数据安全场景变化与防护手段的变化。
而零信任这一新的安全理念,基于其“以身份为基础,以信任为核心”的动态、严格的数据安全管控措施,结合零信任数据访问权限最小授权与动态决策、数据传输加密、数据资源隐藏、数据资源隐藏等能力,系统而有效的解决了数据资源安全访问问题。
但是,值得注意的是,从数据的整个生命周期的安全防护来看,零信任数据资源安全访问控制措施并不能进行全面防护。它可以在数据的采集、传输、存储、处理、交换五个阶段提供数据安全防护,但不能全面解决这五个阶段的数据安全问题。
零信任数据安全只是在解决数据资源安全访问这一核心问题时,整合引入了不同阶段下传统的一些数据安全管控手段。
这也是为什么派拉软件在以“身份优先”构建零信任安全解决方案的基础上,不断结合业务应用安全产品(API网关、API安全)、特权账号管理平台、数据库访问安全产品、数据治理平台等系列产品能力。
力争做到令数据“看不见”(数据资产隐藏和隔离)、“看不懂”(数据加密),“身份安全”(确保是正确的人、物、应用等访问数据),“环境安全”(环境安全加固和安全状态感知),“受控操作”(权限治理和访问控制)等;
从而更好地实现数据全生命周期(数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁)的安全防护,保障数据合规、数据可用,避免数据未授权访问、数据泄露、数据篡改等安全。
最后,白皮书还剩下三部分,皆是从应用场景的角度来讲述零信任数据安全,包括零信任应用于数据安全合规、零信任应用于数据安全攻防、零信任数据安全应用需求场景。
由于文章篇幅有限,就不具体介绍了,有需要的朋友可以扫描下方二维码,获取白皮书下载链接。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)