04月18日北京消息:Forrester訪談首席信息安全官和企業(yè)技術管理人員的結果表明,企業(yè)已經認識到了云數據保護(Cloud Data Protection:CDP)對于敏感數據的保護不僅重要,而且是企業(yè)實現云服務安全控制的必要措施,這是因為:
- 敏感數據遷移到云端之后超出企業(yè)的可控范圍。
- 企業(yè)不應該認為云服務商的安全措施萬無一失。
- 企業(yè)可以將工作負載遷移到云端,但是責任不能轉移。
- 許多數據泄露事件都是由于企業(yè)內部員工泄露或者對合作伙伴的攻擊。
- 企業(yè)必須在數據泄露之前發(fā)現、控制并且保證自影子IT*的安全
- 盡管云和移動平臺的利用發(fā)展迅速,企業(yè)范圍內的數據保護措施也正在趕上來。
*注釋:影子IT(ShadowIT)是指企業(yè)的一線業(yè)務部門所擁有的IT設施;通常情況下這類IT設施不處在公司正式IT部門的管理之下,因此有可能會有更高的運營和安全風險。
Forrester在采訪一些早期采用CDP方案的企業(yè)后發(fā)現,除了能夠緩解一些云服務相關核心數據的風險,CDP還能夠為企業(yè)帶來以下好處:
實現數據傳播的控制,只有獲得授權的業(yè)務伙伴才可以訪問數據。對SaaS的數據進行加密是實現數據保護的有效措施,因為加密能夠有針對性地提供細粒度數據訪問權利。這樣一來,當用戶登錄SaaS應用時,云加密能夠保證該用戶只看到他/她被授權獲取的內容。
使員工隨時隨地進行辦公并監(jiān)管其數據訪問。CDP技術通常能夠提供一個有關云數據獲取的統(tǒng)一策略,用戶從任何地方、以任何設備登錄并訪問數據的行為都受該策略約束。
通過分析用戶的數據獲取行為提前檢測出可能的數據泄露。來自企業(yè)內部的數據違規(guī)或者高級持續(xù)性的數據威脅需要通過某種方式從企業(yè)內部獲取數據,這往往意味著大規(guī)模的數據操縱和轉移行為。因此,用CDP工具創(chuàng)建日常的數據獲取基準線不僅能夠阻止非法數據的獲取,還能夠偵測到后續(xù)的數據泄露。
保護客戶數據免于政府監(jiān)控。CDP方案通常在將數據傳輸或存儲到云環(huán)境之前就對其進行加密并將唯一的秘鑰提供給該數據的擁有企業(yè)。對于有隱私擔憂的企業(yè)而言,CDP不僅可以幫助它們實現與本國數據法規(guī)的合規(guī),還可以幫助企業(yè)保護其客戶數據在另一個國家免于政府監(jiān)控。
幫助企業(yè)在一定程度上從云服務供應商處收回其數據控制力。即便云服務提供商提供CDP解決方案,企業(yè)的安全和風險專業(yè)人員仍然對于技術細節(jié)和相關性不夠確定;此外,通常情況下,企業(yè)都不能夠要求云服務供應商公開相關的細節(jié)信息。然而,企業(yè)的安全和風險專業(yè)人員有充分的理由關注云服務提供商的數據加密方法、秘鑰管理方式、身份管理、網絡登錄和數據取證可用性。因此,使用第三方的CDP方案能夠幫助企業(yè)在不能獲得更詳細云服務技術細節(jié)的情況之下在一定程度上實現數據的控制。
在數據遷移到云端之前對其加密。傳輸過程中的數據加密以及云服務提供商的數據加密措施還不足夠,企業(yè)的安全風險專業(yè)人士越來越傾向于在敏感數據離開本企業(yè)之前就對其實現加密。
CDP方案具備多種部署模式,廠商的方案往往是以下幾種架構方式的綜合體。不同方案的區(qū)別在于數據遷移到云端之前加密方式的不同。
No.1云中的CDP加密網關。
No.2本地部署的CDP加密網關。
No.3用戶端插件式CDP加密。
No.4云中虛擬層或物理層集中式驅動器加密
No.5云數據治理平臺
No.2本地部署的CDP加密網關。
No.3用戶端插件式CDP加密。
No.4云中虛擬層或物理層集中式驅動器加密
No.5云數據治理平臺
企業(yè)開展數字業(yè)務需要借助云服務的靈活性、時效性、更優(yōu)異的成本結構等優(yōu)點。在實現合規(guī)目標之外,企業(yè)的安全風險專業(yè)人員應該通過使用CDP來發(fā)現和管理機構內部影子IT。安全風險人員可以利用CDP識別企業(yè)內部的各種數據模式,從而更深刻的了解自身對于云服務的需求。在充分了解自身的業(yè)務需求、機構數據流以及所需要進一步支持的云服務項目之后,企業(yè)的安全和風險專業(yè)人士才能夠有效選擇適合自身的CDP方案。