近期,IT東方彙王牌活動T-Chat182期邀請中國信通院、錦天城律所、默克、賽諾菲等科研機構、律所和科技企業的IT高管們,圍繞“醫療大健康行業資料跨境合規的思考與實踐”主題展開讨論與分享。默安科技安全研究院院長程進在會上發表題為《多雲複雜環境下的資料安全思考》的演講,圍繞雲上資料安全面臨的形勢、雲資料服務帶來的新風險、雲上資料安全解決思路等三個方面,分享了目前多雲環境下資料安全挑戰與解決這一問題的新思路和新方法。
圖 默安科技安全研究院院長程進(右一)現場分享
雲上資料安全當下形勢如何?
近年來,資料安全事件頻發,成為企業上雲面臨的首要安全威脅。2022年9月,微軟Azure Blob存儲伺服器配置錯誤,65000個實體的敏感資料公開;2022年12月,LastPass遭到黑客攻擊,黑客通過開發環境源碼竊取到了員工身份認證憑據,竊取了雲上備份的資料……Gartner研究表明,針對雲服務成功進行的一些攻擊行為幾乎全部來自于客戶的錯誤配置、管理不當、其他疏忽導緻的錯誤行為。預計到2025年,對雲服務控制不當的組織90%會将其敏感資料暴露出去。伴随企業上雲程序的加快,雲上資料安全的保護已迫在眉睫。
與此同時,資料保護越來越成為各國關注的焦點,目前全球已有60%的國家和地區制定了資料與隐私保護立法,大陸也不斷加強對資料及隐私安全的監管,對廣大政企提出了更高的資料安全合規性要求。《網絡安全法》《資料安全法》《個人資訊保護法》等資料安全相關法律法規相繼頒布,核心要求是監管和規範企業或個人對于資料的相關行為,以防止濫用資料,以及監管跨境資料轉移等内容,重點保障國家、企業、個人的利益。
雲資料服務帶來哪些安全風險?
雲資料服務給業務帶來了更強的靈活性和靈活性,但同時也帶來了新的安全風險。雲上資料安全問題産生的原因可以分為以下幾類:在配置層面,包括存儲服務被開放到公網、網絡政策開放過大、賬戶權限控制不當、缺少行為審計、存在未授權服務等;在監測層面,包括存儲服務權限過大、缺乏資料行為審計、雲賬戶憑據洩露、缺少存儲配置檢查、缺乏異常行為分析等。
圖 雲上資料安全事件的原因分類
資料存儲方式多、配置繁雜、容易出錯
大量雲安全事件的發生都源于基礎配置的錯誤,但由于不同雲服務商提供的雲服務類型、配置方式、安全規範要求等均存在差異,僅僅依賴于廠商或企業自身難以關注到安全方方面面。
權限管理多樣、難梳理誰能通路什麼資料
權限的來源,除了角色、組、使用者外,還有resource-based policies,想要梳理出來目标資料能被誰通路,複雜度非常高。
雲上基本無流量監測手段、資料洩露行為難發現
目前僅有極少數雲廠商支援VPC flow,絕大部分并不支援,缺乏對雲端的流量監測手段,導緻雲端資料安全難以有效保障。
雲上日志種類多、資料量大、普遍缺乏審計
以國内三大雲廠商為例,阿裡雲、騰訊雲、華為雲存在日志的雲服務超過70+種,可審計的行為類型超過10000+類,需要重點審計的行為則超過300+類。但現實情況卻是,由于雲上日志種類多、資料量大,國内普遍缺乏對雲上日志的審計。
如何解決雲上資料安全問題?
針對多雲環境資料安全防護,程進給出以下建議:一是收集雲上資料資産、雲服務資産清單;二是排查雲上資料資産暴露、洩露情況;三是雲上安全防護左移,實作應用上線即安全;四是結合監管要求和企業業務,守住安全基線合規底線;五是可視化資料、風險及合規情況,實時評價雲上管理能力;六是加強多雲基礎設施,保障資料存儲的安全性;七是統一身份和通路管理,實作最小化權限原則;八是持續檢測雲平台日志,即時發現異常行為。
那麼,是否有這樣一類方案能夠全面有效地解決雲上資料安全問題呢?
資料安全态勢管理(DSPM)的新技術應運而生。DSPM使用隻讀的權限,通過雲平台提供的 API 接口,擷取雲資源配置資訊、雲行為日志資訊,用于檢測資源的配置是否存在安全風險、雲上行為是否存在風險、是否存在雲上資料洩露等問題。
圖 資料安全态勢管了解決方案
DSPM主要通過以下四個關鍵步驟來有效降低資料風險:一是檢查敏感資料,識别資料跨境存儲,包括發現資料資産位置、識别敏感資料類型、分析資料是否暴露等。二是雲上資料存儲服務合規,包括雲安全配置合規檢查以及雲安全最佳配置實踐。三是雲行為安全審計,包括雲平台記錄檔分析、風險行為識别、資源通路告警和建立使用者畫像。四是雲内資料權限梳理,梳理雲上賬号、資源、角色、組等權限實體對象,繪制資料/資源與權限的對應關系,識别授予過高通路權限帶來的風險。
DSPM能為企業提供以下關鍵價值和收益:一是資料服務配置安全,幫助使用者進行雲上服務合規檢查,自動出具合規報告,并提供一鍵修複能力。二是資料洩露事件發現,識别資料是否暴露,檢測資料接口是否對外,及時治理,實時阻斷資料洩露行為。三是敏感資料識别分類,發現敏感資料位置,并進行資料分類。四是敏感資料流轉,支援多雲、混合雲統一管理,雲上資料通路關系,流轉權限梳理。
宵明——保護雲上資料安全利器
默安科技推出的宵明·雲安全态勢管理平台,在一個統一的界面中将最佳安全實踐應用于混合雲、多雲,識别并自動修複複雜雲環境中的安全問題,保護雲基礎架構以及雲上資料安全,是解決雲上配置、資料、行為、身份安全的利器。宵明內建了DSPM的部分能力,并在資料安全方面提供以下核心能力:
自動資料發現
建構資料跨越多個雲服務商存儲敏感資料的多種服務,包括對象存儲、塊狀存儲、資料庫服務在内,如 Amazon S3、Google Cloud Storage、Azure Blob、阿裡雲OSS等。
資料分類分級
使用機器學習的方式了解資料的内容,将它們按照PCIDSS、HIPAA、個人資訊保護法等法律法規的要求分類分級。這使組織可以更有效地管理其資料安全狀況,确定不同資料資産的安全政策和事件響應的優先級。
資料暴露檢測
綜合儲存桶通路控制ACL、權限政策Policy、檔案ACL,通過邏輯檢測分析儲存桶中檔案暴露風險,防止發生敏感資料洩露等重大安全問題。
惡意檔案掃描
通過多種病毒檢測引擎,實時檢測雲存儲中攜帶蠕蟲、木馬、腳本病毒等惡意内容的檔案,幫助使用者及時識别和清理潛在的安全威脅。
資料使用審計
收集所有資料存儲服務的日志在獨立的位置存儲,審計存儲桶級别的建立、修改安全政策等行為日志,以及檔案對象級别的檔案讀取、存儲、修改、删除等行為日志,發現任何異常的資料通路行為并及時阻斷。
目前,宵明·雲安全态勢管理平台已在政府、智能制造等行業得到成功應用,并憑借先進的創新理念與産品實力,于近日獲得“雲原生安全技術創新獎”。默安科技将繼續憑借領先的技術優勢、卓越的産品理念和豐富的實戰經驗,在雲安全領域積極探索與深耕,幫助廣大政企客戶構築并完善基于雲的下一代安全防護體系。