近日,由国家工业信息安全发展研究中心、云安全联盟大中华区、中国电子商会自主创新与安全技术委员会指导,中孚信息主办的2021年MIX安全云峰会成功召开。炼石网络创始人、CEO白小勇受邀参加,并作《零信任环境下企业数据安全新战法》主题演讲,与参会嘉宾针对数据安全新框架、新战法进行深入探讨。
信息技术快速演进,数字经济蓬勃发展,促使海量数据资源汇聚融合、开发利用,推动数据价值的正向发挥,但也带来了严峻的数据安全挑战。从经济学的外部效应特征看,数据安全防护本身存在消费方与受益方不一致,以化工企业举例,如果没有《环境保护法》等法律法规制约,在不考虑社会责任情况下,其最经济的选择是就地排污排废,数据安全亦然。
近年来,国家高度重视安全建设,全力提升数据安全保障能力,构建起坚实有力的安全法律屏障,并形成“五法一典”共治的安全新局面。2015年施行《国家安全法》,2017年施行《网络安全法》,2020年施行《密码法》,2021年施行《数据安全法》、《个人信息保护法》,这都为保障数据安全夯实法律基础。
聚焦到重要数据和个人信息保护,在“四法”基础上进一步延伸出“四条例”:《关键信息基础设施安全保护条例》、《网络安全等级保护条例》(征求意见稿)、《商用密码管理条例》(修订草案征求意见稿)、《数据安全管理条例》(2021年国务院立法计划),在技术和管理等方面的数据合规提出了明确指引和要求。
《数据安全法》、《个人信息保护法》中的数据安全需求可分为三个层次,即安全、控制、占有。
第一层次的安全,是指保障数据完整性、保密性、可用性的强制性要求:该层次中所提出的技术和管理要求,具有跨国通用性,可用国际(或国家)标准实现接轨和互操作性。
第二层次的控制,是指对数据的收集、存储、使用、加工、传输、提供、公开、删除等环节提出除安全以外的强制性要求。比如自然人对个人信息的知情权、决定权等。
第三层次的占有,是指政府对私营部门所收集产生的数据强制获取的要求。另外一层含义还包括,政府对于原本就为其所占有的数据(例如政务数据)如何处理的问题。
基于三个层次的划分,上层的占有和控制对应的是治理手段,企业需与律所等机构合作以提升内控水平;下层的安全对应传统数据安全保护技术手段。最终实现治理手段和技术手段双管齐下,从而满足内在实战防护与外部合规需求。
纵观产业发展轨迹,过去企业侧重于用“防漏洞、堵漏洞”的方式去保护数据,而今天看网络漏洞在所难免,所以直接对数据本身做保护是实现数据安全更直接有效的手段。对标经典网络安全攻击模型ATT&CK,炼石考虑到ATT&CK模型侧重针对网络攻防对抗,难以覆盖“主动式保护数据”的各种技术手段,因而从“以数据为中心”的角度提出了数据安全新框架DTTACK,全称是Data-centric Tactics, Techniques And Common Knowledge(以数据为中心的战术、技术和通用知识)。
DTTACK框架的构建,以NIST安全能力模型和安全滑动标尺模型为重要参考,形成了六大战术作为DTTACK基本结构,即识别、防护、检测、响应、恢复、反制(“IPDRRC”)。DTTACK不是网络、服务器或应用程序安全性的模型,而是更强调数据本身的安全性,并从对数据的“应对式”防护,向“主动式”防护转变,重视从业务风险映射视角列举数据保护需求。将DTTACK框架置入零信任环境,在识别的前提下,需要覆盖事前防护、事中检测/响应,事后恢复/反制等机制。
![白小勇:零信任环境下企业数据安全新战法]( "白小勇:零信任环境下企业数据安全新战法")
当然,“以网络攻防为中心的安全”与“以数据保护为中心的安全”之间是相互关联、依赖、演进的,两者相辅相成,能够实现全方位多维度的网络与数据安全防护。可喜的是,当前金融、工信、交通等重点领域,也纷纷出台了相应技术规范,加速建设数据安全。
在数字化转型浪潮中,企业信息化水平发生了质的飞跃,信息化架构前端向移动化转变,后端向云化转变,海量数据融合共享,在一定程度上打破了原有安全边界和防护模式,传统安全假设的信任边界正在“消失”。面对敞口快速放大的安全威胁,“传统城墙式防护”难以奏效,亟需零信任环境下的新战法。这就需要有一个从传统粗粒度边界防御,到“主体到人、客体到字段”细粒度防护的思路转变。
零信任环境下的新战法主要涵盖两方面,一方面是用户接入侧的零信任,另一方面是数据中心侧的零信任,以下将针对数据中心侧的零信任进行具体阐述。
安全漏洞层出不穷,攻击手段与利用手法日益复杂精妙,攻击方和内部威胁方天然具有单点突破的优势。同时,在构建安全防御体系的过程中,由于防护规则覆盖难以面面俱到,或在具体实施过程中难免疏漏,或内部人员天然有接触数据的风险,这些都可能导致某个安全节点被突破失效,所以简单堆叠防护技术和产品在体系化进攻和日益复杂的内部威胁面前是难以奏效的。
在零信任的环境下,企业需要考虑如果前面一道防御机制失效了,后面一道防御机制如何补上后手,进而打造协同联动的技术体系,实现多样化多层次递进式的防御纵深。零信任环境下的新战法,提倡的是面向失效的防御理念,主要从安全能力、数据形态、技术栈等多个维度构建,这几者独立正交、层层递进,可筑起更为有效的数据纵深防御。
从安全能力维度来看,针对数据安全威胁的事前防护、事中检测/响应、事后恢复/反制等多种安全机制,从时间轴角度构建面向失效的纵深防御。
“IPDRRC”体现了数据保护的时间顺序,对于当前企业的数据安全建设,应在数据识别、分类分级以及身份识别的前提下,优先从“防护”环节构建数据安全增强点。因为,越靠近“事前防护”,投资回报率越高,如果仅依靠检测/响应、恢复、反制等环节,损失已经发生,企业会付出更高成本。
从数据形态维度来看,数据大致可以分成传输态、存储态和使用态,而身份鉴别及信任体系则是对数据访问的补充或者前提,基于“数据三态”可延伸出数据全生命周期,并在数据形态的转化中,构建出密码安全一体化的数据防护体系。
具体来看,在数据存储和使用态的切换中,如果不经过数据加密,只进行访问控制和身份认证,当明文数据在数据库或归档备份时,数据访问容易被绕过。但当在数据流转的关键节点上,对数据进行加解密,并结合用户的身份信息和上下文环境做访问控制,可以构建防绕过的访问控制、高置信度的审计,实现在数据存储、使用形态上的防御纵深。其中,密码贯穿其中,成为数据多种形态转换中重要的防护手段。
从技术栈维度来看,当前从网络安全到数据安全,防护重点正在从“网关/端点”转向“应用”。传统的网络安全防护是“按分区”构建,主要围绕端点和网关,侧重于网络流量的还原和解析,进一步检测威胁、拦截攻击。而数据安全防护思路是“追数据”,是针对数据本身在业务应用流转的不同环节,施加安全增强手段,实现安全切面。因此,沿着数据流转路径,在典型B/S三层信息系统架构(终端侧、应用侧、基础设施侧)的多个数据处理流转点,总结出适用技术栈不同层次的数据保护技术。
以存储加密技术为例,可选择一种或者组合多种:侧重于PC端的DLP终端加密技术;侧重于应用服务器端的CASB代理网关、应用内加密(集成密码SDK)、应用内加密(AOE面向切面加密);侧重于数据库端的数据库加密网关、数据库外挂加密、TDE透明数据加密、UDF用户自定义函数加密;侧重于文件系统的TFE透明文件加密、FDE全磁盘加密。如,在个人信息保护中,所有涉及到个人信息的文件系统,可以用FDE技术进行基础性的安全防护,而针对于特别重要的敏感个人信息,可再叠加实施应用内加密,从而构建了防御纵深。
基于技术栈维度的加密,其背后的延伸意义在于,《数据安全法》、《个人信息保护法》中要求对重要数据、个人信息等进行有效管控。
第一种思路是将重要数据物理集中、统一管控。将周边系统中的重要数据“物理搬家”,统一集中在重要信息库,然后改造上下游大量应用,用“专属ID”替换原来保存在应用中的重要数据,并与“核心信息库”绑定关联。这种思路面临的挑战是上下游大量应用的高并发性能挑战、以及频繁调用重要信息库的延时等,还有上下游应用的数据残留。
第二种思路是将重要数据物理分散、统一管控。上下游大量应用中的个人信息等重要数据,原地加密(或去标识化),再结合密钥管理KMS和数据安全管理平台统一化,从而实现数据的“物理分散、管控集中”。
最后,炼石给出了数据安全体系构建的参考示意图,以治理和技术的手段,从安全监管层、安全能力层、数据层,解决实战与合规的问题,为企业信息化建设、业务架构设计提供数据安全能力参考。
炼石作为一家以数据为中心的安全技术创新厂商,提倡“以数据为中心的新安全理念”,致力于创新安全技术,让数据共享更有价值。炼石愿与业界同仁凝心聚力、携手同行,撬动产业迭代更新,营造良好数字生态,探寻升维破局之路,全力推进我国数据安全产业高质量发展,助力打造数字经济新优势。
炼石网络是一家以数据为中心的安全技术创新厂商,提倡“以数据为中心的新安全理念”,自主研发CASB业务数据安全平台和高性能国密产品,开创性实现免开发改造应用、敏捷实施细粒度数据保护,该产品入选工信部2020年网络安全技术应用试点示范推荐项目,并夺得第七届互联网安全大会(ISC 2019)首届“创新独角兽沙盒大赛”总冠军。基于AOE面向切面数据安全技术,将安全与业务在技术上解耦、但又在能力上融合交织 ,实现主体到应用内用户、客体到字段级的防护,打造“以加密和去标识化技术为核心,融合数据识别、防护、检测/响应、追溯等多种安全技术”的实战化数据安全防护体系。炼石为政府、金融、教育医疗文旅、工业央企商业等行业用户,提供个人信息保护、商业秘密保护以及国密合规改造方案,让数据开发利用更安全。
![白小勇:零信任环境下企业数据安全新战法]( "白小勇:零信任环境下企业数据安全新战法")
原文始发于微信公众号(炼石网络CipherGateway):白小勇:零信任环境下企业数据安全新战法
当然,“以网络攻防为中心的安全”与“以数据保护为中心的安全”之间是相互关联、依赖、演进的,两者相辅相成,能够实现全方位多维度的网络与数据安全防护。可喜的是,当前金融、工信、交通等重点领域,也纷纷出台了相应技术规范,加速建设数据安全。
评论