简析云数据安全平台的关键能力和应用评估

云计算的应用催生了一系列新的安全挑战。云服务的弹性使企业能够毫不费力地启动新的数据服务，从而导致无序蔓延的环境，其中数据可以在对象存储、托管服务和非托管数据库之间不断流动。由于许多基础设施是由云服务提供商（CSP）提供的，因此安装监视代理的可能性本质上是有限的。与此同时，数据被视为一种竞争优势。公司需要收集和保留更多的业务数据，并让更多的团队对数据进行访问和分析，这也增加了未经授权访问敏感信息的风险。

虽然很多传统的安全工具声称可以帮助企业解决这些安全问题，但安全专家深入研究后却发现，事情便非如此。以目前较流行的一些安全产品为例：

• 传统DLP：主要应用于保护端点、网络和本地基础设施中的数据，通常不能很好地适应云环境带来的数据挑战； 

• CSP原生安全工具：这些工具会受到功能和覆盖范围的限制，并且无法在多云环境、大数据平台和SaaS服务中执行相同的安全策略和控制；

• CSPM：这一种相对较新的数据安全解决方案，可用于识别云环境中的错误配置和分析风险。但是尽管CSPM工具具有对云基础设施服务的可见性监控，但却不知道数据本身的上下文和内容，这使得很多数据风险的优先级难以确定；

• DSPM：这是一种云原生工具，可用于发现和分类云数据存储中的敏感数据。它们可以有效识别出云上敏感数据的特定威胁。然而，这些系统基于了传统批处理的工作模式，因此在实时威胁检测方面的存在不足；

• 数据隐私解决方案（例如，BigID）：这些工具专注于识别敏感数据以满足法规遵从性的目的，并没有提供多少增加安全性的方式。而且在大多数情况下，它们需要安装代理。

在此背景下，企业对云上数据安全平台的使用需求开始产生，在Gartner发布的《2021数据安全技术成熟度曲线》中，正式提出DSP（Data Security Platform）的概念，旨在通过使用无代理架构，提供对敏感数据的可靠监视和访问管理，实现跨数据类型、存储孤岛和生态系统的数据安全保护需求。Gartner的研究人员认为，云数据安全平台必备以下9个核心功能。

能够发现和分类敏感数据是所有数据安全产品的基本要求。云数据安全平台需要能够建立最新的敏感数据清单，为各项数据安全功能的实现打好基础。在建立数据清单时，一些关键考虑因素包括：

速度——执行（无代理）扫描云环境和检测敏感数据所需的时间；

规模——有效扫描pb级数据集而不影响性能的能力；

准确性——识别所有相关记录，同时最大限度地减少误报。

管理云上数据安全态势意味着要全面分析数据风险，并持续评估存储和访问敏感数据的云资源配置，以及适用于这些资源的安全控制措施。云数据安全平台需要可以持续检测并标记错误配置、漏洞和偏离最佳实践的情况，从而使敏感数据避免处于危险之中。当发现异常情况时，平台还应该提供自动化或半自动化的修复措施。

符合监管部门的管理要求是企业云数据保护的一个重要优先事项。对于云数据安全平台而言，需要将敏感数据资产映射到相关的合规性标准，并突出显示必要的安全控制（如加密、访问控制或数据保留策略）来解决云数据合规性问题。同时，平台还应该密切监测数据流动，以查明违反数据存储或隔离要求的数据使用行为。

通过有效的访问管理，企业可以确保云上的敏感信息只能由授权账户访问，并遵循最小权限原则。因此，云数据安全平台需要提供对用户权限的可见性来降低未经授权访问的风险，帮助管理员监控和控制对敏感数据的访问，并快速识别访问特定数据集的人员与实际访问者之间的偏差或异常。

企业无法接受数据泄露事件的平均检测时间（MTTD）为几天甚至几周。因此，云数据安全平台应该具有实时监视和警报功能，帮助企业快速识别和控制对云数据资产的攻击。由于基于代理的解决方案通常不可行，云数据安全平台需要使用替代方法（例如监视云日志）来识别与敏感数据相关的异常访问模式或可疑行为。快速检测也使安全团队能够更有效地减轻云上的安全威胁。

影子数据是指未知的、隐藏的或被忽视的敏感信息，这些信息往往都没有得到适当的保护和监控。云数据安全平台需要可以检测和分类结构化和非结构化存储中的影子数据，使安全团队能够解决潜在的漏洞，并降低由于环境不受监控而引发的相关安全风险。

企业的内部员工和外部客户可能都会拥有在公司云环境中存储数据的权限。例如，自动化机器学习工具可能允许用户以XLSX文件的形式输入。然而，这可能导致受恶意软件感染的文件被上传到云存储。云数据安全平台应能够扫描现有文件和传入文件中已知的恶意签名，识别对象存储中的恶意文件，以便对其进行适当的隔离和调查。

长期以来，企业数据安全的重点工作和投入都用在如何保障数据的机密性、一致性和可用性，而对于数据清理/销毁的投入和重视往往不够。在合规形势异常严峻的今天，如何正确地销毁数据，维护企业的数据卫生环境，已经成了全球性的难题和重大隐患。对于云数据安全平台而言，需要能够在组织未遵循最佳数据治理实践时，提醒安全团队或数据所有者来帮助简化此过程。

有越来越多的企业组织开始跨多个公共云平台（例如Azure + Snowflake）存储数据。为了简化操作和降低复杂性，云数据安全平台应该允许组织跨多云环境应用相同的安全策略和威胁建模。云服务提供商提供的本地工具通常缺少此功能。

当企业开始选型部署云数据安全平台方案时，可以根据以下要素来评估它们是否真正具有以上所列举的关键功能：

如果没有准确和最新的威胁模型，即使是最强大的威胁检测引擎也无法满足企业的云数据安全防护需求。企业在选型时，应该首先检查该方案是否有一个强大的安全研究团队提供支持，同时，该团队在识别云环境的新威胁方面具有经过验证的跟踪记录。此外，模型还需要能够根据新的攻击向量和防护漏洞不断更新模型策略。

企业应该重点评估所选型的云数据安全平台是否能够全面覆盖组织当前使用或计划将来使用的各种云数据存储，这可以包括IaaS、PaaS和DBaaS。企业还应该考虑往平台上添加新数据源的速度，以及平台背后的团队是否了解与每个数据存储相关的最新风险和漏洞。

企业应该考虑平台在应用实现中需要花费的资源以及对现有系统可能产生的影响。数据安全平台需要将API连接和其他部署进行自动化设计，这将减轻安全运营团队的负担。无代理部署速度更快，并且最小化了所需的权限——当您无法访问物理服务器（大多数PaaS和DBaaS都是这种情况）时，它通常是唯一可行的选择。

此外，云数据安全平台应该被设计成带外运行模式，这样就不需要实时数据库连接，这样它就可以持续监视基础设施，而不会直接影响数据服务的性能。在不需要数据库凭证的情况下这样做可以加快实现和评估。

云数据安全平台本身必须也是安全的，要定期检查是否有任何敏感数据离开企业的合法账户并进行扫描或分类操作。企业还应该验证供应商具有必要的产品安全质量认证（ISO 27001、SOC 2 Type 2等）。 

云数据安全平台还应该与企业整体安全堆栈中的其他工具和能力有效集成。最相关的通常是SOAR、SIEM和SOC解决方案，因为这些解决方案使企业能够根据数据安全平台提供的分析报告采取行动。平台还应该与身份提供者（Identity Provider，IdP）集成，这样有助于为每个数据资产提供丰富的活动身份视图，从而为敏感数据保护做出准确的访问管理策略。

https://www.dig.security/post/data-security-platform-key-capabilities-and-criteria