首頁  >  IT頻道  >  業界資訊  > 正文

幹貨|數據中臺安全體系構建方法論

2020-07-08 16:03:19 | 來源: 北國網 | 責編: 鄭思雯
分享到:

  一、為何要構建數據中臺安全

  近幾年來,“中臺”一詞在企業社會數字化轉型中被不斷提起,今天,綠盟君將與大家一起討論如何構建中臺的數據安全體系。數據安全聚焦數據,那麼中臺的數據安全聚焦的便是在數據中台下如何構建數據安全體系,或者直接稱之為“數據安全中臺”。

    首先我們從數據中臺的業務邏輯入手,共同找尋數據中台中數據和安全的結合點。

  1.1數據中臺通用業務邏輯

幹貨|數據中臺安全體系構建方法論

圖 1.1數據中臺通用業務邏輯

    上圖中沒有出現任何“中臺”字眼,那麼它和數據中臺有什麼關係呢?顧名思義,數據中臺必然是聚焦在數據層面提供中臺能力的存在,但只論“存在”二字難免有些狹隘的把數據中臺靜態化了,數據安全更關注的是動態的數據流轉,所以我們關注數據中臺業務邏輯,是因為“以數據中臺價值為目標的建設過程和場景應用”才是安全建設防護的核心對象。

    這也是我們為什麼在“中臺數據安全”概念中為何不圈定業務中臺進來。本質上數據中臺和業務中臺就是緊耦合的關係,數據中臺提供“數據業務化”的支撐給業務中臺,業務中臺提供“業務數據化”反哺給數據中臺,相互促進優化。防護好了數據中臺的數據安全,業務中臺的數據安全隨之明朗。

  1.2數據中臺安全關注點

    數據安全固然聚焦數據的流轉,但在體系化的理念加持下防護的對象必然涉及數據中臺建設和應用過程中的一切,基礎設施安全、運維過程安全、數據處理安全、數據應用安全以及數據價值發揮的過程安全。

    接下來我們將從這些關注點逐步剖析數據中臺業務過程中的安全風險和訴求。

  二、數據中臺常見風險識別2.1 基礎設施

    數據中臺的建設,通常始於數據的匯聚,匯聚的過程中先暫且不關注各數據源的原始數據庫和匯聚方式,但到了數據湖區,歸集數據的存儲則是不能繞開的核心環節。

    數據湖區的中心庫源於各種開源組件架構的大數據平臺、關係型數據庫、文件存儲服務器等基礎設施,甚至在一些特定行業領域會應用各種多媒體存儲設施。除此之外存儲服務宿主的服務器、運維管理的主機等設施都必不可少。

    硬體服務器、主機、開源組件、數據庫以及數據導入導出的傳輸通道和過程,通常容易出現漏洞、弱口令、主機木馬、病毒、拖庫、撞庫等風險,這些風險並不會因為進入數字化時代而消弭,而是每時每刻都不能被忽略。

  2.2 數據運維

    數據進入湖區,經過治理後形成各種主題庫/專題庫的數據倉庫,針對數據湖區、數據倉庫中存放數據的日常運維,數據治理過程的編目、梳理等服務介入,處處都是大量數據訪問行為和數據外流的真實現狀,大量的人員深度接觸數據的場景中,業務的需要致使數據治理、維護在得到人工服務推進的同時也給人員提供了大量獲取數據的便利。

  數據治理是提升數據質量和價值的必經之路,但是如果完全因業務需要而驅動數據在“外人”面前裸奔是有極大風險的,所以針對不同人員、不同級別/類別的數據,應用必要的安全措施也是必不可少的。

  2.3 數據處理及應用

    數據在治理過程中、在BI分析過程中、在數據開發測試中、在應用到人工智慧、機器學習等使用過程中,數據的流轉是否合理、是否在有效權限下被使用、是否被有效監控和檢測等,這些場景中在未發現數據洩露之前很可能在上面的一系列過程中無論數據owner還是服務提供方誰都說不清到底發生過什麼,和會發生什麼。

    所以在數據的處理和應用過程中,每個場景、每個對數據的訪問行為和每個數據流轉的去向都是不可信的。

    此外,數據的風險也不能單單滿足於事後發現再去定位回溯追蹤,事中的感知乃至事前的預判和預防都是需要主動去碰撞的。

  2.4 數據業務化

    前面提到數據中臺和業務中臺的緊耦合性,意味著數據中臺對業務中臺的業務支持以及業務前臺對數據&業務雙中臺的依賴都是不能割裂的。因為數據中臺形成的數據集市最終是要把數據給到業務中臺,給到業務前臺,所以從數據流轉鏈路看,這個邊界很有必要圈住業務前臺——通常是業務應用系統。

    無論是門戶網站也好,定制業務的集成接口服務也好,還是應用程序或是數據開放環境等基礎設施,如果Web防護的不好、接口安全機制不完備、開放原則和權限策略不明確等等,這些對象都會成為被攻擊的目標,也會成為被拖走數據的入口,如果忽略了這一環,中臺加固的再好依舊改變不了數據洩露的現實。

  三、數據中台下綠盟數據安全構建思路

  3.1 數據安全建設思路

    數據安全建設應該走一條什麼樣的路線?Gartner的DCAP,NIST CSF的IPDR,以及真實場景的實踐反饋,無一例外都指明數據安全最基礎的一環就是摸清家底——數據資產的管理。得益於數據中臺數據治理過程,基於數據的層層標準化治理和分類分級切分,安全已經站在了較高的臺階,更多需要聚焦的是敏感數據和針對敏感數據應如何制定安全策略。

    可能這裡會讓人產生一個邏輯上的疑問——到底是先讓數據治理把數據理順,之後再搭建數據層面的安全策略,還是先設置安全的門檻然後才能動手治理數據?

    其實原則很簡單,安全和業務不應有先後,需要尋找的是平衡,莫不如讓安全出面來治理數據,讓安全為數據治理保駕護航,狹隘一點姑且將其也稱之為“數據安全治理”。

    綜上所述,做好數據中臺的數據安全體系構建,敏感數據的管理能力是貫穿安全防護整個中臺建設過程和所有應用場景的大前提。無論是針對數據庫、大數據平臺等基礎設施的防護,還是數據運維場景、BI分析、數據處理訪問的風險控制,精確到數據層面的權限策略和相應措施,都是把數據安全做到位,做徹底的關鍵。

    下面我們一起來看一下綠盟科技在數據中台下搭建數據安全體系時如何兌現這一理念和思路。

  3.2 綠盟數據安全體系構建路線

幹貨|數據中臺安全體系構建方法論

圖 1.2 綠盟數據中臺安全體系架構

    結合前文提到的理念和數據中臺業務邏輯中識別的風險及防護對象,我們的思路如上圖所示:

    敏感數據資產化的管理能力,是貫穿始終的核心和關鍵,“發現識別->分類分級->權限策略”和IPDR架構的“Identification”理念高度契合。同時可視化技術也是資產化管理的有效手段,為整個體系的安全目標打好數據資產可見、可管、可控的紮實基礎。

    結合數據中臺業務邏輯的風險識別分析,我們把能力架構分層次的摞了一下,先從基礎設施的防護做起,基礎設施/組件的漏洞發現、配置核查,基礎數據庫的防護,服務主機終端的加固防泄漏,傳輸安全等能力來保障基礎環境和設施的安全。

    依據數據中臺的建設邏輯,數據的運維層面,結合敏感數據管理策略,應用運維堡壘機、脫敏、加密、水印等技術保障簡單業務邏輯場景下的數據安全訪問,並沉澱可審計、可追溯的能力基礎——日誌和水印。

    到了數據被分析、處理、應用的場景下,面對在BI分析過程中、在數據開發測試中、在應用到人工智慧、機器學習等使用過程中,數據的流轉是否合理,是否在有效權限下被使用,是否被有效監控和檢測等需求和痛點問題時,因場景的複雜多元,安全也需要更多的數據、更智慧的技術、更多維的視角來支撐。

    綠盟數據安全體系中以ISOP-DS平臺為牽引,通過探針、終端、邊界的產品聯動,針對應用系統日誌、安全審計日誌、數據訪問和流轉的流量日誌等安全大數據的採集和建倉形成支撐解決問題和風險的核心基座。基於敏感數據權限策略貫穿牽引和全場景零信任的權限管控,通過UEBA、NTA等技術支撐多維數據分析、多環節數據關聯、多路徑行為監控能力的應用,有效實現敏感數據異常流轉感知、敏感數據訪問行為識別和監控。多源採集數據同樣支撐著對已發生數據安全風險事件的追溯定位和風險預警後的處置決策,採集數據的分析充分和ISOP-DS的運營工作臺結合,融合Soar的自適應編排響應處置能力快速實現風險閉環。

    此外,前文提到數據中臺安全的邊界是要延展到業務前臺的,針對Web應用的防護和防篡改,集成接口服務的接口流量監控檢測,開發測試環境主機自身及應用的終端防泄漏,數據開放的風險控制,ISV的終端和網絡邊界防泄漏……同樣都是數據中台下數據安全體系中不可缺少的一環。

    最後,還是回到安全行業的那句老話上——“安全三分靠產品七分靠服務”。數據場景的諮詢評估、數據運營、數據安全運營等服務在數據安全領域都是必不可少的,無論對像是數據中臺還是數據平臺。安全運營是充分發揮產品能力價值和持續保障安全效果的最直接有效的手段,同樣也是提升產品能力和智慧化程度的有效指引。

  四、小結

  除了前面已經提到的“Identification”,我們從基礎設施安全、數據運維安全、數據服務安全在數據中臺的安全體系中來看,契合的剛好是IPDR的“Protection”,而數據處理及應用安全更多體現的是“Detection”,同時結合運營服務剛好完整閉合了“Response”這一環。

    值得一提的是,傳統安全的防護能力並非到了大數據場景和數字化時代、人工智慧時代就過時了,在我們的核心理念中,敏感數據的資產化管理來穿針引線,貫穿整個體系架構中的每一層每一環,形成點到面的拉通覆蓋,讓數據庫的防護也踏踏實實落到數據層面,字段粒度乃至內容粒度,那麼每一種安全的能力都不是一個人在戰鬥。

  五、綠盟數據安全產品系列

  綠盟數據安全團隊,致力於融合平臺、產品、服務等能力構建體系化數據安全解決方案,從頂層設計規劃、諮詢評估到產品落地、綜合運營保障,全方位保障數據全生命週期安全。

    目前綠盟科技已經形成集:數據安全智慧運營平臺(ISOP-DS)、敏感數據發現于風險評估系統(IDR)、數據防泄漏系統(網絡DLP+終端DLP+郵件DLP+存儲DLP)、數據庫審計(DAS)、數據庫防火晼]DAS-FW)、數據脫敏系統(DMS)、零信任系統\全流量探針(UTS)等全系列數據安全產品,並提供數據安全合規評估、數據安全管理體系建設諮詢、數據分類分級、個人信息安全影響評估、數據安全駐場運營、數據安全遠程專家諮詢等服務。

    專業的數據安全專家團隊,成熟的產品、服務模式,才能提供前沿安全的數據體驗。

  綠盟科技相關產品簡介

  ·數據安全智慧運營平臺(ISOP-DS)

  結合探針與大數據智慧分析能力,提供數據資產管理、數據風險監控、數據事件閉環處理、數據安全綜合態勢能力。

  ·敏感數據發現于風險評估系統(IDR)

  捍衛數據安全的第一步!全網數據資產測繪,智慧數據分類分級,實時數據流轉測繪,平臺組件安全掃描。

  ·數據防泄漏系統(網絡DLP+終端DLP+郵件DLP+存儲DLP)

  敏感信息定位,洩露風險防控、安全事件取證。

  ·數據庫審計(DAS)

  數據操作異常實時發現,數據風險事件閉環追蹤。

  ·數據庫防火晼]DAS-FW)

  攻擊風險可防,非法訪問可控、可疑行為可審。

  ·數據脫敏系統(DMS)

  一款能量化敏感數據重識別風險,同時做到敏感數據可用不可見、所需方可見的集脫敏數據風險評估、動態脫敏、靜態脫敏功能于一體的產品。

  ·零信任系統

  基於認證授權、鏈路加密等技術的的零信任訪問安全系統,可建立統一的用戶可信訪問控制通道,通過持續驗證、動態多層級、細粒度的授權控制,打造基於用戶、設備、應用、API的動態可信訪問安全。並支持與數據安全運營平臺對接提供完整基於數據與人員權限的管控能力。

國際在線版權與信息產品內容銷售的聲明:

1、“國際在線”由中國國際廣播電臺主辦。經中國國際廣播電臺授權,國廣國際在線網絡(北京)有限公司獨家負責“國際在線”網站的市場經營。

2、凡本網註明“來源:國際在線”的所有信息內容,未經書面授權,任何單位及個人不得轉載、摘編、複製或利用其他方式使用。

3、“國際在線”自有版權信息(包括但不限于“國際在線專稿”、“國際在線消息”、“國際在線XX消息”“國際在線報道”“國際在線XX報道”等信息內容,但明確標注為第三方版權的內容除外)均由國廣國際在線網絡(北京)有限公司統一管理和銷售。

已取得國廣國際在線網絡(北京)有限公司使用授權的被授權人,應嚴格在授權範圍內使用,不得超範圍使用,使用時應註明“來源:國際在線”。違反上述聲明者,本網將追究其相關法律責任。

任何未與國廣國際在線網絡(北京)有限公司簽訂相關協議或未取得授權書的公司、媒體、網站和個人均無權銷售、使用“國際在線”網站的自有版權信息產品。否則,國廣國際在線網絡(北京)有限公司將採取法律手段維護合法權益,因此產生的損失及為此所花費的全部費用(包括但不限于律師費、訴訟費、差旅費、公證費等)全部由侵權方承擔。

4、凡本網註明“來源:XXX(非國際在線)”的作品,均轉載自其它媒體,轉載目的在於傳遞更多信息,豐富網絡文化,此類稿件並不代表本網贊同其觀點和對其真實性負責。

5、如因作品內容、版權和其他問題需要與本網聯絡的,請在該事由發生之日起30日內進行。