今日頭條
官方微信
官方抖音
資訊頻道引言
從IT到DT時(shí)代,企業(yè)安全建設(shè)正在從以網(wǎng)絡(luò)為中心轉(zhuǎn)向聚焦以數(shù)據(jù)為中心。業(yè)務(wù)應(yīng)用是數(shù)據(jù)安全防護(hù)的關(guān)鍵抓手,但企業(yè)應(yīng)用系統(tǒng)普遍缺失內(nèi)建安全能力,而通過改造應(yīng)用增強(qiáng)安全的方式成本高、風(fēng)險(xiǎn)大,所以,國(guó)內(nèi)產(chǎn)業(yè)生態(tài)特點(diǎn)決定了企業(yè)適合采取運(yùn)行階段補(bǔ)丁增強(qiáng)安全的方式。
創(chuàng)新的CASB插件模式能夠免開發(fā)改造應(yīng)用、敏捷實(shí)施數(shù)據(jù)安全,可結(jié)合應(yīng)用內(nèi)數(shù)據(jù)加密與身份識(shí)別技術(shù),打造“主體到應(yīng)用內(nèi)用戶,客體到字段級(jí)”的細(xì)粒度數(shù)據(jù)防護(hù)。進(jìn)一步基于錨點(diǎn)解密將密碼、訪問控制、審計(jì)等安全策略一體化,實(shí)現(xiàn)防繞過的數(shù)據(jù)安全密碼防護(hù)體系。
1 應(yīng)用內(nèi)數(shù)據(jù)保護(hù)是企業(yè)安全建設(shè)重點(diǎn)
1.1 企業(yè)安全需求向“聚焦以數(shù)據(jù)為中心”演進(jìn)
如今信息化高速發(fā)展,企業(yè)不僅將實(shí)體資產(chǎn)數(shù)字化,也在將其業(yè)務(wù)流程信息化,伴隨而來的是企業(yè)數(shù)據(jù)資產(chǎn)爆發(fā)式增長(zhǎng)。應(yīng)用系統(tǒng)間也開始打通、共享、協(xié)同,數(shù)據(jù)作為數(shù)字化時(shí)代的重要生產(chǎn)要素在企業(yè)應(yīng)用系統(tǒng)內(nèi)部高速流轉(zhuǎn),驅(qū)動(dòng)業(yè)務(wù)效率提升,帶來了巨大效益。與此同時(shí),數(shù)據(jù)的高價(jià)值使之成為被覬覦的目標(biāo),數(shù)據(jù)安全威脅已經(jīng)成為關(guān)乎企業(yè)命運(yùn)的關(guān)鍵業(yè)務(wù)風(fēng)險(xiǎn)。
近年來,企業(yè)數(shù)據(jù)泄露事件層出不窮,數(shù)據(jù)風(fēng)險(xiǎn)日趨嚴(yán)峻。2019年7月21日,美國(guó)征信機(jī)構(gòu)Equifax被罰款7億美元,為其2017年泄露1.45億用戶(將近一半美國(guó)人口)的隱私信息做出賠償,其CEO、CIO首席信息官、CSO首席安全官在事發(fā)后被迫離職。2019年7月24日,F(xiàn)acebook因此前泄漏8700萬(wàn)用戶數(shù)據(jù),被重罰50億美元;除了支付罰款,F(xiàn)acebook 后續(xù)每一次新版本的發(fā)布前,都需要接受美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)隱私審查,還必須定期報(bào)告其用戶隱私數(shù)據(jù)的處理情況。
這項(xiàng)處罰直接動(dòng)搖了Facebook 的商業(yè)根基,因?yàn)槠渖虡I(yè)模式正是通過對(duì)用戶隱私數(shù)據(jù)的挖掘,實(shí)現(xiàn)廣告精準(zhǔn)投放。一樁樁的數(shù)據(jù)泄露事件給社會(huì)公眾生活帶來惡劣影響,給企業(yè)帶來沉重的商業(yè)利益損失,更嚴(yán)重的會(huì)直接影響到企業(yè)的正常運(yùn)轉(zhuǎn),關(guān)乎企業(yè)生死存亡。
美國(guó)國(guó)家安全局 NSA(National Security Agency)下屬的國(guó)防與政府防御體系的主要建設(shè)機(jī) 構(gòu)IAD(Information Assurance Directorate),在2013年提出“安全必須從以網(wǎng)絡(luò)為中心,轉(zhuǎn)向聚焦以數(shù)據(jù)為中心”。2019年2月,美國(guó)國(guó)防部發(fā)布《國(guó)防部云戰(zhàn)略》白皮書,明確提出:“美國(guó)國(guó)防部將安全防護(hù)重點(diǎn),從邊界防御轉(zhuǎn)向保護(hù)數(shù)據(jù)和服務(wù)”。
伴隨企業(yè)信息化發(fā)展,全球正在從IT時(shí)代進(jìn)入DT(Data Technology)時(shí)代,而以“數(shù)據(jù)為中心、結(jié)合網(wǎng)絡(luò)邊界防護(hù)” 的雙軸驅(qū)動(dòng)的安全體系建設(shè)成為大勢(shì)所趨。如圖1所示,數(shù)據(jù)與網(wǎng)絡(luò)(技術(shù)棧)是正交的,以網(wǎng)絡(luò)為中心的安全體系是保證數(shù)據(jù)安全的前提和基石,而以數(shù)據(jù)為中心的安全,把數(shù)據(jù)作為抓手實(shí)施安全保護(hù),能夠有效增強(qiáng)對(duì)數(shù)據(jù)本身的防護(hù)能力,二者是關(guān)聯(lián)、依賴和演進(jìn)的關(guān)系。
目前,企業(yè)應(yīng)用系統(tǒng)普遍缺失內(nèi)建數(shù)據(jù)安全能力,同時(shí)多個(gè)應(yīng)用系統(tǒng)打通共享后成倍放大了數(shù)據(jù)安全管理復(fù)雜度,面臨著更為嚴(yán)峻的安全挑戰(zhàn)。數(shù)據(jù)在不同應(yīng)用之間流轉(zhuǎn),導(dǎo)致數(shù)據(jù)所有者、數(shù)據(jù)控制者和數(shù)據(jù)處理者難以有效控制,數(shù)據(jù)可能被非法訪問和處理,造成數(shù)據(jù)保密性和完整性方面的巨大安全風(fēng)險(xiǎn)。
據(jù)國(guó)際密碼產(chǎn)品供應(yīng)商金雅拓統(tǒng)計(jì),2018年上半年泄露的45億條數(shù)據(jù)中,僅有不到3%是密文數(shù)據(jù)(密文被泄露是安全的)。不難看出,密碼技術(shù)在數(shù)據(jù)安全防護(hù)方面的作用是十分明顯的。密碼技術(shù)能夠直接作用于數(shù)據(jù),是數(shù)據(jù)安全的核心技術(shù),利用密碼在身份鑒別、數(shù)據(jù)加密、信任傳遞等方面的重要作用,能夠重構(gòu)數(shù)據(jù)安全防線,獲得網(wǎng)絡(luò)空間制網(wǎng)權(quán)。
與國(guó)外相比,我國(guó)安全產(chǎn)業(yè)在信息化投入占比還有數(shù)倍差距,我國(guó)數(shù)據(jù)安全情況更加不容樂觀。與此同時(shí),我國(guó)作為大國(guó),政務(wù)、互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、各行業(yè)都產(chǎn)生了海量數(shù)據(jù),而這些大數(shù)據(jù)的流轉(zhuǎn)在目前基本是“裸奔”狀態(tài)。近年來,我國(guó)密集頒布法律法規(guī),明確數(shù)據(jù)安全密碼防護(hù)要求。2019年10月26日,第十三屆全國(guó)人大常委會(huì)第十四次會(huì)議表決通過《密碼法》,要求關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)依照法律、法規(guī)和相關(guān)國(guó)家標(biāo)準(zhǔn)等要求,使用商用密碼技術(shù)保障系統(tǒng)安全。2019年5月公安部發(fā)布《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例2.0》增強(qiáng)了密碼保護(hù)數(shù)據(jù)的要求。2015年以來,國(guó)家多次發(fā)文,明確要求在金融、基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)和政務(wù)信息系統(tǒng)等關(guān)鍵信息基礎(chǔ)設(shè)施,全面提升密碼保障能力,將密碼融入應(yīng)用作為工作目標(biāo),而重心則是數(shù)據(jù)安全防護(hù)。
1.2 業(yè)務(wù)應(yīng)用承載了主要數(shù)據(jù)共享,是數(shù)據(jù)安全防護(hù)關(guān)鍵抓手
企業(yè)建設(shè)的IT架構(gòu),包含基礎(chǔ)設(shè)施、軟件平臺(tái)以及業(yè)務(wù)應(yīng)用等不同層,如下圖2所示,數(shù)據(jù)持續(xù)在不同層之間高效流轉(zhuǎn),實(shí)現(xiàn)互聯(lián)共享,創(chuàng)造價(jià)值。
數(shù)據(jù)越往上層,價(jià)值點(diǎn)越多。數(shù)據(jù)在基礎(chǔ)設(shè)施層時(shí),是沒有業(yè)務(wù)含義的二進(jìn)制狀態(tài);在軟件平臺(tái)時(shí),可表現(xiàn)為各種形式的文件格式;在業(yè)務(wù)應(yīng)用層時(shí),數(shù)據(jù)才具有豐富的上下文和業(yè)務(wù)含義。
應(yīng)用層惡意用戶的攻擊行為,往往發(fā)生在看似合理的業(yè)務(wù)操作中,具有較高的隱蔽性。并且,內(nèi)部用戶更容易接觸到組織的核心知識(shí)資產(chǎn)等敏感信息,危害性更高。同時(shí),接觸業(yè)務(wù)應(yīng)用層的內(nèi)部人員數(shù)量,要遠(yuǎn)大于接觸基礎(chǔ)設(shè)施層和軟件平臺(tái)的。因此,企業(yè)要特別重視數(shù)據(jù)在業(yè)務(wù)應(yīng)用層的安全保護(hù),需要以應(yīng)用為抓手實(shí)現(xiàn)對(duì)企業(yè)數(shù)據(jù)資產(chǎn)的防護(hù),有效應(yīng)對(duì)數(shù)據(jù)泄露威脅。
2 國(guó)內(nèi)生態(tài)催生“應(yīng)用免改造”安全增強(qiáng)模式
2.1 美國(guó)應(yīng)用內(nèi)加密采用了集成密碼SDK模式
美國(guó)產(chǎn)業(yè)生態(tài)特點(diǎn)決定了其應(yīng)用內(nèi)加密采用了集成密碼SDK模式。美國(guó)SOX(塞班斯法案, 上市公司監(jiān)管法規(guī))、HIPAA(健康保險(xiǎn)隱私及責(zé)任法案)、FISMA(聯(lián)邦信息系統(tǒng)安全防護(hù)政策) 、GLBA(金融服務(wù)法現(xiàn)代化法案)、PCI-DSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))等行業(yè)合規(guī)準(zhǔn)則,在應(yīng)用開發(fā)建設(shè)階段均被有效執(zhí)行,并且涉及數(shù)據(jù)加密、訪問控制、審計(jì)等。
同時(shí),據(jù) Consultancy 統(tǒng)計(jì),2018年風(fēng)險(xiǎn)合規(guī)咨詢市場(chǎng)已經(jīng)達(dá)到700億美金,美國(guó)前十大信息安全公司常年被德勤、安永、畢馬威、普華永道等占據(jù),這說明加密的廣闊市場(chǎng)空間,并不在游離在應(yīng)用之外的基礎(chǔ)密碼產(chǎn)品,而在充分結(jié)合行業(yè)場(chǎng)景的密碼應(yīng)用產(chǎn)品。
美國(guó)FIPS密碼模塊安全評(píng)估認(rèn)證是目前被全球廣泛接受的密碼產(chǎn)品認(rèn)證體系。分析美國(guó)FIPS認(rèn)證的密碼產(chǎn)品類型、構(gòu)成以及密碼產(chǎn)品發(fā)展趨勢(shì),具有重要借鑒意義。美國(guó)的應(yīng)用內(nèi)集成密碼 SDK 技術(shù)路線也催生了豐富的密碼中間件產(chǎn)品,這類密碼中間件產(chǎn)品可以被應(yīng)用軟件集成,為應(yīng)用提供內(nèi)置的加密與細(xì)控等安全防護(hù) , 可以滿足企業(yè) IT 建設(shè)的各種場(chǎng)景安全需求。
如圖3所示,截至2018年10月12日,通過FIPS認(rèn)證有效狀態(tài)的1149件產(chǎn)品中,軟件密碼應(yīng)用安全中間件數(shù)量最多約有264件,在通過FIPS檢測(cè)認(rèn)證的產(chǎn)品分類數(shù)量中占據(jù)首位。而國(guó)內(nèi)密碼中間件這個(gè)品類占比極低,這也反映出中美兩國(guó)在數(shù)據(jù)防護(hù)領(lǐng)域的生態(tài)差異。
2.2 運(yùn)行階段補(bǔ)丁增強(qiáng)模式適合國(guó)內(nèi)應(yīng)用產(chǎn)業(yè)現(xiàn)狀
相比美國(guó),我國(guó)在應(yīng)用與數(shù)據(jù)安全相關(guān)法律法規(guī)制定起步較晚,過去十幾年,大量應(yīng)用系統(tǒng)在建設(shè)過程中沒有將應(yīng)用內(nèi)建安全考慮進(jìn)來,這造成國(guó)內(nèi)大量的已建應(yīng)用缺失安全防護(hù)能力,只能采取對(duì)應(yīng)用二次開發(fā)改造以增強(qiáng)安全的方式。
而對(duì)已建應(yīng)用系統(tǒng),進(jìn)行開發(fā)改造以增強(qiáng)安全的方式涉及面廣、開發(fā)周期長(zhǎng)、成本極高、風(fēng)險(xiǎn)很大,失去維護(hù)的系統(tǒng)甚至缺失源代碼;同時(shí),已上線的系統(tǒng)重新部署還存在業(yè)務(wù)中斷風(fēng)險(xiǎn)。所以,通過改造的方式增強(qiáng)已建應(yīng)用系統(tǒng)安全并不可行,國(guó)內(nèi)的產(chǎn)業(yè)生態(tài)決定了我國(guó)適合采取運(yùn)行階段補(bǔ)丁增強(qiáng)安全的模式。
2.3 創(chuàng)新CASB插件模式實(shí)現(xiàn)“應(yīng)用免改造”增強(qiáng)數(shù)據(jù)安全
煉石開創(chuàng)性地將CASB技術(shù)(Critical Application Security Broker,關(guān)鍵應(yīng)用安全代理)改進(jìn)并融入企業(yè)私有場(chǎng)景,實(shí)現(xiàn)“應(yīng)用免改造”增強(qiáng)細(xì)粒度數(shù)據(jù)防護(hù)。其中,CASB插件模式不僅能夠?qū)Υ罅恳延袘?yīng)用提供免開發(fā)改造的數(shù)據(jù)安全增強(qiáng);同時(shí),也能夠?yàn)楦鞣N新建系統(tǒng)提供敏捷的數(shù)據(jù)安全集成能力。
CASB插件模式對(duì)應(yīng)用是透明的,應(yīng)用無須改造,也不改變其之前的運(yùn)行機(jī)制,遺留應(yīng)用或新建應(yīng)用均可快速部署,不影響企業(yè)現(xiàn)有系統(tǒng)的穩(wěn)定性,保證已上線系統(tǒng)的正常運(yùn)營(yíng),確保企業(yè)的業(yè)務(wù)不中斷。CASB插件模式可敏捷部署和人性化配置,不管是針對(duì)應(yīng)用系統(tǒng)業(yè)務(wù)人員還是DBA等管理員,都可以通過策略配置,實(shí)現(xiàn)對(duì)指定數(shù)據(jù)字段的加密、脫敏、審計(jì)。并同時(shí)支持國(guó)密算法和國(guó)際算法,以及對(duì)手機(jī)號(hào)、證件號(hào)、郵箱等字段保留格式加密。
企業(yè)信息系統(tǒng)數(shù)量眾多,涉及的數(shù)據(jù)庫(kù)品牌和版本繁多。傳統(tǒng)的數(shù)據(jù)庫(kù)側(cè)加密產(chǎn)品實(shí)施需要較大工程量,以覆蓋若干個(gè)數(shù)據(jù)庫(kù)品牌和版本。CASB插件模式完全解耦數(shù)據(jù)庫(kù)品牌和版本,用戶只需在應(yīng)用中進(jìn)行插件配置,重啟服務(wù)即可完成安裝,全面支持企業(yè)常用的Oracle、MySQL、SQL Server、INFORMIX、PostgreSQL、MongoDB等數(shù)據(jù)庫(kù)。
3 打造防繞過的用戶與字段級(jí)細(xì)粒度防護(hù)
3.1 “主體到應(yīng)用內(nèi)用戶,客體到字段級(jí)”的細(xì)粒度防護(hù)
安全防護(hù)的本質(zhì)是對(duì)主體和客體的控制。BeyondCorp提出把主體識(shí)別到“人+設(shè)備”,但是其客體識(shí)別只能到應(yīng)用系統(tǒng),難以覆蓋對(duì)應(yīng)用內(nèi)流轉(zhuǎn)數(shù)據(jù)的安全控制。另外,傳統(tǒng)的數(shù)據(jù)庫(kù)側(cè)防護(hù)無法識(shí)別到應(yīng)用內(nèi)用戶,例如,其無法知曉敏感數(shù)據(jù)是被應(yīng)用內(nèi)哪個(gè)登錄用戶訪問的。
CASB插件模式能夠提供“主體到應(yīng)用內(nèi)用戶,客體到字段級(jí)”的安全防護(hù)能力。CASB插件模式是在應(yīng)用內(nèi)做防護(hù),可以將登錄用戶、字段或文檔級(jí)數(shù)據(jù)結(jié)合起來,提供細(xì)粒度的數(shù)據(jù)安全保護(hù)。管理員可通過設(shè)置加解密策略,主體控制到應(yīng)用內(nèi)用戶,客體控制可達(dá)到數(shù)據(jù)庫(kù)的表級(jí)、列級(jí)、字段級(jí),同時(shí)不同的數(shù)據(jù)行、列及字段級(jí)(記錄單元)可以采用不同加密算法和密鑰,從而實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部人員的敏感數(shù)據(jù)訪問授權(quán)的最小化。
3.2 密碼控審一體化,安全機(jī)制防繞過
3.2.1 傳統(tǒng)“加密與訪問控制”組合模式存在短板
傳統(tǒng)的加密與防護(hù)控制組合模式中,加密施加在數(shù)據(jù)庫(kù)這一側(cè),訪問控制通過4A或IAM策略中心下發(fā)認(rèn)證和權(quán)限決策。如圖4所示,這種模式下,解密和權(quán)限是兩個(gè)決策點(diǎn),傳統(tǒng)的數(shù)據(jù)庫(kù)加密設(shè)備將數(shù)據(jù)解密后以明文形式傳輸?shù)椒?wù)端,數(shù)據(jù)解密無法和權(quán)限體系結(jié)合, 加解密和細(xì)控的分離帶來了威脅敞口,攻擊者可以繞過訪問控制,從威脅敞口直接竊取數(shù)據(jù)。同時(shí),數(shù)據(jù)庫(kù)加密設(shè)備與IAM策略中心需要重復(fù)定義字段級(jí)的安全策略,造成重復(fù)配置、增大維護(hù)難度。
3.2.2 基于錨點(diǎn)解密可實(shí)現(xiàn)“防繞過”的數(shù)據(jù)安全防護(hù)
密鑰是對(duì)數(shù)據(jù)秘密的濃縮,數(shù)據(jù)很大但密鑰很小,數(shù)據(jù)流動(dòng)快、邊界范圍大,但密鑰邊界小、管控嚴(yán)。加密的本質(zhì)價(jià)值是數(shù)據(jù)邊界收縮到密鑰邊界,縮小了安全敞口。在數(shù)據(jù)加密的基礎(chǔ)上再實(shí)施訪問控制策略,可以打造有效的數(shù)據(jù)防護(hù)。如圖5所示,CASB插件模式把數(shù)據(jù)錨點(diǎn)解密與訪問控制、審計(jì)等技術(shù)結(jié)合,可以構(gòu)建“防繞過”的數(shù)據(jù)安全防護(hù)體系。
同時(shí),在解密的節(jié)點(diǎn)上做防護(hù)控制和審計(jì),防護(hù)控制的策略就難以被繞過,這時(shí)審計(jì)也是具有高置信度的。CASB插件模式支持可追溯、防篡改的第三方數(shù)據(jù)庫(kù)審計(jì),以獨(dú)立于業(yè)務(wù)應(yīng)用之外的方式實(shí)現(xiàn)審計(jì),每條日志支持主體追溯到人,并為審計(jì)日志進(jìn)行完整性保護(hù),保證可事后追責(zé)。
3.3 為企業(yè)批量應(yīng)用提供多種數(shù)據(jù)類型的保護(hù)
企業(yè)同時(shí)存在結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù),需要采用不同技術(shù)手段加以保護(hù)。
結(jié)構(gòu)化數(shù)據(jù)是指具有確定長(zhǎng)度或結(jié)構(gòu)的數(shù)據(jù),嚴(yán)格遵循數(shù)據(jù)格式和長(zhǎng)度規(guī)范,主要通過關(guān)系型數(shù)據(jù)庫(kù)進(jìn)行存儲(chǔ)和管理,例如身份證號(hào)碼、電話號(hào)碼、銀行卡號(hào)等。可以將CASB插件與數(shù)據(jù)安全管理平臺(tái)相結(jié)合,針對(duì)結(jié)構(gòu)化數(shù)據(jù)進(jìn)行加密,并實(shí)現(xiàn)“主體到應(yīng)用內(nèi)用戶、客體到字段”的細(xì)粒度訪問控制和安全審計(jì),可以防范來自數(shù)據(jù)庫(kù)等服務(wù)側(cè)的威脅。
非結(jié)構(gòu)化數(shù)據(jù)一般集中存儲(chǔ)于企業(yè)文件服務(wù)器中,包括各種格式的辦公文檔、圖片、音頻、視頻信息等。將CASB插件與管理平臺(tái)相結(jié)合,可以實(shí)現(xiàn)針對(duì)非結(jié)構(gòu)化數(shù)據(jù)的安全審計(jì),以及“逐文件逐密鑰”的透明文件加密。
如圖6所示,“CASB 管理平臺(tái)”維護(hù)和下發(fā)安全策略,包括加密策略和細(xì)粒度訪問控制策略,這些策略下發(fā)至插件中,由插件執(zhí)行;“CASB 數(shù)據(jù)操作審計(jì)與分析系統(tǒng)”負(fù)責(zé)對(duì)數(shù)據(jù)訪問的日志留存及審計(jì);“KLM密鑰生命周期管理系統(tǒng)”負(fù)責(zé)加解密所用密鑰的統(tǒng)一管理。
3.3.1 結(jié)構(gòu)化數(shù)據(jù)安全保護(hù)
對(duì)于留存在數(shù)據(jù)庫(kù)和應(yīng)用中的結(jié)構(gòu)化數(shù)據(jù),CASB安全插件、CASB 管理平臺(tái)以及密鑰管理系統(tǒng)的組合,可以在數(shù)據(jù)整個(gè)生命周期對(duì)其加以保護(hù)。通過僅允許已授權(quán)用戶訪問并查看敏感信息,可確保對(duì)數(shù)據(jù)的有效控制。
密管理平臺(tái)進(jìn)行交互,獲取加解密策略以及密鑰。CASB插件模式下可通過“主體到應(yīng)用內(nèi)用戶,客體到字段級(jí)”的細(xì)粒度訪問控制,實(shí)現(xiàn)面向用戶端的動(dòng)態(tài)脫敏。
3.3.2 非結(jié)構(gòu)化數(shù)據(jù)安全保護(hù)
針對(duì)非結(jié)構(gòu)化數(shù)據(jù)的安全保護(hù),CASB插件模式可實(shí)現(xiàn)落盤加密,讀盤解密,同時(shí)進(jìn)行操作的安全審計(jì),可實(shí)現(xiàn)“主體到應(yīng)用內(nèi)用戶、客體到文件”的細(xì)粒度訪問控制及審計(jì)。
針對(duì)非結(jié)構(gòu)化數(shù)據(jù)的安全保護(hù),以“安全審計(jì)”為主要手段,可實(shí)現(xiàn)“主體到應(yīng)用內(nèi)用戶, 客體到文件”的細(xì)粒度訪問控制。如圖8所示,CASB 插件模式支持對(duì)指定文件夾進(jìn)行加密, 該文件夾(及其子文件夾)下的文件在保存時(shí)被加密;可選擇要授權(quán)的應(yīng)用進(jìn)程,通過白名單機(jī)制使應(yīng)用正常訪問;未授權(quán)應(yīng)用進(jìn)程或者直接拷貝文件,只能讀取到密文文件。服務(wù)側(cè)整體的文件加密,支持“逐文件逐密鑰”的透明文件加密。
3.3.3 “分布式加密、集中式管控”降低管理成本
如圖7所示,CASB安全插件部署在應(yīng)用服務(wù)端,只需進(jìn)行簡(jiǎn)單配置,應(yīng)用無須再進(jìn)行任何額外修改,即可向數(shù)據(jù)庫(kù)輸出密文,數(shù)據(jù)以密文形式存儲(chǔ)于數(shù)據(jù)庫(kù)中。插件與數(shù)據(jù)庫(kù)加解對(duì)于應(yīng)用系統(tǒng)數(shù)量眾多的企業(yè),如果采用傳統(tǒng)的單節(jié)點(diǎn)部署模式,在各個(gè)應(yīng)用系統(tǒng)或數(shù)據(jù)庫(kù)系統(tǒng)上獨(dú)立部署加密審計(jì)產(chǎn)品,則企業(yè)將無法統(tǒng)一管理和監(jiān)控應(yīng)用系統(tǒng)中數(shù)據(jù)運(yùn)行情況,同時(shí)成本高,后期維護(hù)難度大。
如圖9所示,CASB插件模式支持企業(yè)批量應(yīng)用系統(tǒng)的分布式加密與集中式管控,降低維護(hù)和管理成本。在各個(gè)應(yīng)用系統(tǒng)上只需增加安全插件和簡(jiǎn)單配置,即可實(shí)現(xiàn)細(xì)粒度的加密、脫敏、審計(jì)等,支持根據(jù)企業(yè)各級(jí)系統(tǒng)架構(gòu)部署集中數(shù)據(jù)安全管理平臺(tái),統(tǒng)一下發(fā)數(shù)據(jù)安全策略。讓企業(yè)能夠?qū)崟r(shí)掌握其多個(gè)應(yīng)用系統(tǒng)運(yùn)行狀況,對(duì)應(yīng)用中所有數(shù)據(jù)加解密狀態(tài)、訪問控制授權(quán)情況以及審計(jì)日志情況實(shí)現(xiàn)統(tǒng)一管理和監(jiān)控。
4 結(jié)語(yǔ)
信息化升級(jí)徹底打破了傳統(tǒng)的網(wǎng)絡(luò)防護(hù)邊界,伴隨著數(shù)據(jù)科技時(shí)代的到來,企業(yè)面臨嚴(yán)峻的安全失控、數(shù)據(jù)泄露等風(fēng)險(xiǎn),企業(yè)安全建設(shè)理念正在從以網(wǎng)絡(luò)為中心,轉(zhuǎn)向聚焦以數(shù)據(jù)為中心。數(shù)據(jù)安全密碼防護(hù)體系,本質(zhì)上是用密碼“重構(gòu)數(shù)據(jù)邊界”,在新的“數(shù)據(jù)虛擬邊界”上重新定義一套安全控制規(guī)則,實(shí)現(xiàn)對(duì)現(xiàn)有應(yīng)用系統(tǒng)、現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)下的“安全能力疊加增強(qiáng)”。
圍繞數(shù)據(jù)加解密控制可以將多種安全機(jī)制結(jié)合,包括防繞過的訪問控制、高置信度的數(shù)據(jù)審計(jì)等,這些安全機(jī)制豐富和增強(qiáng)了安全防護(hù)水平,最終構(gòu)建以密碼技術(shù)為核心、多種安全技術(shù)相互融合的新安全體系,為企業(yè)的業(yè)務(wù)發(fā)展保駕護(hù)航。
作者簡(jiǎn)介
白小勇,北京煉石網(wǎng)絡(luò)技術(shù)有限公司創(chuàng)始人、CEO,長(zhǎng)期致力于密碼應(yīng)用、數(shù)據(jù)安全等方面的研究工作,開創(chuàng)性地將CASB云訪問安全代理技術(shù)改進(jìn)并融入企業(yè)私有場(chǎng)景,實(shí)現(xiàn)免改造應(yīng)用增強(qiáng)細(xì)粒度數(shù)據(jù)防護(hù)。
來源:信息安全與通信保密雜志社
北京市公安局海淀分局備案號(hào):11010802023656號(hào)