近年来,数据安全领域经历了根本性变革。在《从混沌到受控:解决数据安全谜题》一文中,我们已经探讨了这一转变。本文将着重介绍如何通过TrustZ产品系列,帮助数据安全团队在当前环境下实现数据安全高效防护。
首先回顾一下数据消费和数据安全方面发生的变化:根据《IBM的2024年数据泄露成本报告》,43%的数据泄露涉及客户数据。如果你是保护客户数据的数据安全团队成员,这个数据一定很令人担忧。随着在线服务采用越来越完善的安全解决方案来保护用户(包括:更强大的密码、MFA、生物识别登录和密钥),真实、可信的个人信息正是黑客发动下一代攻击以窃取身份信息和渗透组织所需要的。
《TrustZ翻译组注释:来自IBM 2024数据泄露报告》
例如,最近一家知名的基于云的数据仓库供应商的若干客户遭受了网络攻击,导致多个全球品牌的大量数据泄露。虽然该数据仓库平台本身不易被攻破,同时还有成熟的数据安全软件和大规模安全团队全天候保护数据安全,但,薄弱环节是平台客户如何配置和使用数据的过程。
这种问题不仅限于财富500强。如今,我们都在使用各种在线服务进行数字银行、支付和转账、医疗保健和许多其他日常活动。这些服务为数百万像我们一样的消费者提供服务,并存储了关于我们的非常有价值和敏感的数据,使他们成为黑客的完美目标。负责保护这些数据的数据安全团队是非常精干,但他们仍然面临高度复杂的环境。
负责构建这些在线服务的工程团队通常遵循微服务架构,其中每个服务都有自己的技术栈,对应自己的API服务器和数据库,这就导致敏感数据会存储在基于数十种不同数据库技术的数百个数据库实例中。这些数据会再被传输到数据湖仓中,数据工程团队在那里为数据分析师和数据科学家构建数据产品。最近,数据又开始从湖仓转移到矢量数据库,以支持基于GenAI的RAG功能。
如何落实数据安全可见性和访问控制结合?
从表面上看,保护客户数据很简单,(Trust Z翻译组注释:像大象装到冰箱里一样),只需要通用的三个步骤:
第一步:了解数据
整理所有数据的位置、并他们进行分类、查看拥有的数据类型。常见的分类包括:财务数据、个人身份信息(PII)和健康信息(PHI)。
第二步:了解谁可以访问数据
了解谁有权访问哪些数据——映射所有权限以查看谁在使用哪些数据,识别对数据的特权访问并解决问题。
第三步::控制数据的访问
实施访问控制措施,确保符合监管和合同要求,并降低数据泄露的风险。这些通常包括:
•审查、批准和记录任何数据访问的过程
•监控数据使用活动,以检测和减轻潜在威胁
•制定保护策略,确保数据只有在需要时才被访问
对于很多组织来说,这个深思熟路的计划在执行时往往会停留在第一步(Trust Z翻译组注释:本文点睛之笔),因为没有一个解决方案可以解决所有三个步骤。随着新数据和数据存储的不断引入,数据安全团队正忙于关注发现和分类,从未抽出时间实施有效控制。
这就是TrustZ平台的用武之地。
可见性和执行落地
TrustZ数据安全平台的核心能力是保护数据存储对象。它包括:数据库、数据仓库、数据湖,甚至是数据驱动的API,如GraphQL服务器或GenAI服务。该系统从头开始构建,使组织能够尽快实施数据访问控制。让我们看看TrustZ系统如何帮助数据安全团队超越发现和分类,落地有效的安全控制。
-
透明度
TrustZ平台提供了数据安全团队所需的所有可见性功能,以确保更有效的保护客户数据。这包括整个组织中数据发现和分类、数据访问治理和数据安全态势管理。
TrustZ平台可以通过直接扫描云账户、或者直接通过API或Terraform管理控制台添加所有的数据存储。一旦发现,数据存储将被持续监控,并生成它们存储的数据资产清单。资产清单是通过一套开箱即用的,精细到列级别的自动化分类规则实现。执行权限结构的映射,清楚地显示哪些用户可以访问哪些数据资产。最后,检测到任何可能降低其安全等级的危险配置,并向相关团队发出告警以进行补救。
-
访问控制
为了保护这些数据存储中的数据,数据安全团队可以立即对选定的数据使用场景实施控制,而不影响使用这些数据的其他人。对于在生产环境中管理数据库,数据安全团队可以使用独特的基于代理的技术,通过简单地更改连接字符串的主机名,使得访问用户或应用程序通过TrustZ连接到原有数据库,从而在数据库前部署TrustZ。对于具有完善的内置安全控制的数据存储,TrustZ使用API将权限和策略直接推送到数据存储。
TrustZ支持细粒度的权限和策略执行,数据安全团队甚至可以单独控制某个流上用户的访问。这是通过定义包含或排除策略来实现的。
对比业界的其他解决问题方式的优势
在设计数据安全流程时,业界会有几种典型的方法,他们存在不同的问题和挑战(Trust Z翻译组注释:为了有利于大家理解,增加这句话):
-
自己动手(DIY)
自己动手是指,数据安全团队与工程部门合作构建以上功能,根据组织的特定需求进行定制。这种方法涉及在几种类型的数据库平台上配置联合身份验证,将查询审计日志(如果有的话)收集到集中式日志管理平台中,并构建流程来管理数据库上的用户和权限。
这种方式的后果是,它会成为另一个需要维护的工程,灵活性差,无法应对不断变化的需求。日志收集的基础设施成本也是一个巨大障碍。
-
DSPM(数据安全态势)解决方案
数据安全态非常擅长发现和分类数据,以及显示任何可以改进的配置,以降低安全漏洞的风险。它的大部分价值在数据安全计划的第一步,这也是许多公司陷入困境的地方。在扫描和定位高优先级问题之后,这些工具带来的收益会减少。
-
窄聚焦DSP(数据安全平台)
市场上还有其他一些数据安全平台,但它们中的大多数都专注于一组非常狭窄数据存储。通常,这些数据存储具有先进的本地数据安全功能,可以直接编排这些安全功能以提供有效的控制,从而使DIY成为一种合理的选择。
案例:Gong(一家公司的名字)自动化客户数据服务
为了说明TrustZ的数据安全方法的影响,让我们仔细看看Gong公司,一家帮助组织最大限度地提高客户互动价值的公司。Gong Revenue AI Platform™捕捉和分析客户互动,提供客户洞察,并使收入和市场团队能够确定、可重复获取结果的最佳行动。
TrustZ使Gong能够控制他们的数据和数据访问,并确保敏感的客户数据得到保护。TrustZ的数据安全平台通过数据门户为Gong提供了及时的自动访问控制,以确保安全及时的访问控制,从而提高生产力。此外,TrustZ平台使Gong能够透明、简单地生成审计数据,在数百个PostgreSQL、Snowflake、OpenSearch和MongoDB数据存储的复杂环境中,通过集成Okta、Tableau、DataKip和其他工具,在几天内满足安全性和合规性要求。
结论
在当今不断发展的数据安全环境中,可见性和数据安全策略执行落地,对于保护敏感数据至关重要。本文探讨了TrustZ如何使数据安全团队超越发现和分类,实现有效、可扩展的访问控制。通过提供全面的可见性和实现精确的执行控制,TrustZ解决了现代组织面临的复杂挑战,确保客户数据在日益动态变化的环境中保证安全。
TrustZ注释:本文是一篇翻译稿,里面有大量公司名词,我们统一用TrustZ进行了替换。
--------------------------------------------------------------------
TrustZ翻译团队简介:
TrustZ团队致力于科普、推广数据治理、数据安全治理相关的技术和管理方法。将最新的国内的数据理论方法推向全球,将海外的思想整理,翻译过来回馈给感兴趣的读者。我们也会独立撰写一些文章,以汇总整理相关知识。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
