导语:很多IT负责人和业务线决策者最担心的一个问题就是如何做好数据安全治理。难道只是满足公有云合规就完事了么?
目前国内大部分企业为了提高企业未来的竞争力,IT部门都在做的事情
(1)、激进一点的企业,做整体上云的计划,包括其核心数据资产放到云端自建数据库、RDS、大数据存储、对象存储、CDN等,例如:互联网金融企业、网络游戏
(2)、保守一点的企业,也在做积极的IDC改造,或者接入公有云的混合云解决方案、或者在自己的IDC数据中心,改造成互联网架构。例如:一些大型政企业、传统企业等
在这样的背景下,很多IT负责人和业务线决策者最担心的一个问题就是如何做好数据安全治理。难道只是满足公有云合规就完事了么?如果企业的决策者只是想拿拿证书,那么总有一天你的数据会莫名其妙的出现在网络上。
那么如何做呢?在这里我们只讨论公有云的情况。
Gartner给我们提供了很好的安全工具参考:
·加密(Crypto) ·以数据为中心的审计和保护(DCAP) ·数据防泄密(DLP) ·云访问安全代理(CASB) ·身份防护管理(IAM)
那我们简单做一下调研:
但是Gartner作为技术咨询公司,他们对国际大公司Top500的访问不一定代表普世的需求,因为真正在云上活跃的用户是中小企业的互联网公司,他们的目标是要颠覆世界五百强的。
结论: 公有云在DLP和CASB产品方向上的投入十分有限。
云上的数据泄露到底有没有大家想象的那么严重?
这只是爆出来的泄密事件,冰山一角。
那么传统企业内部数据防泄密是如何做的么?
1. 网络数据防泄漏
· NDLP monitor
· NDLP Prevent
· Web gateway
· Email gateway
2. 终端数据防泄漏
· HDLP Discover
· HDLP Prevent
3. 文件生命周期管理
· DRM 数据版权管理
· 终端文件加密
根据我的经验,真正落地起作用的寥寥无几,主要是涉及到的方方面面太多。如果要是把DLP迁移到云上应该怎么做呢?
大致的解决方案如下:
1. 加密机解决方案
· 用户自定义的秘钥管理
· 云上所有数据落盘和应用都使用加密机加解密SDK在加密机硬件中完成。
2. 网络数据防泄密
· 存储到公有云的各个组件包括:云服务器本地文件数据库、RDS、S3等做到自动敏感数据分级。
· 用户访问流量从公有云VPC环境中到外网流经的数据,需要DLP防护组件的过滤。
· 如果发现敏感信息泄露,阻断数据对外访问(一般为web形式)。
3. 云访问安全代理
· 云上数据到客户端后要在安全的环境中操作,落地用户环境中的数据具备审计功能。
设计原则:
1、rule No.1、公有云产品设计最重要的一个特性是提高复用率,无论是EIP、高防、云主机、RDS等,那么我们的加密机和网络DLP是否能共享复用呢?
2、rule No.2、设计安全产品,对用户来说云上数据安全可控是他们毕生追求的目标。那么网络DLP能不能在兼容高复用率的情况下提高用户的隐私安全呢?
最终公有云的数据安全解决方案
(1)、根据自身的业务需求,在公有云控制台上开加密机虚拟器,同时,对自己的网络数据丢失保护解决方案评估一下数量。并且开通公有云加密网络流量检测虚拟设备。同时购买一个CASB实例。
(2)公有云厂商给用户邮寄USB key。通过CASB Agent接入到自己的公有云VPC环境下(在此之前在VPC环境下创建CASB Server),完成用户自定义秘钥管理相关工作。
(3)通过企业产生的秘钥登陆VPC环境,连接HDLP虚拟服务设备,通过调用加密机解密SDK对数据解密,在流经公有云外网之前进入VPC环境进行数据防泄密检测。
(4)当业务部门人员在上传相关涉密数据到公有云VPC环境中后,通过机器学习的手段自动识别敏感文件和密级分类,涉密文件在公有云落盘的时候(文件、自建数据库、RDS、大数据平台等),通过加密机SDK加密处理。