数据安全保护和治理的新方法

网络安全观

发布于 2021-12-01 16:19:39

8360

发布于 2021-12-01 16:19:39

文章被收录于专栏：网络安全观网络安全观

秉持数据驱动战略的数据驱动型组织，正在利用数据，以前所未有的速度开创未来。同时，也面临日益增长的安全、隐私、合规风险。

在过去几十年中，保护敏感数据的现有方法是孤立地建立起来的，缺乏整体性。考虑到各组织正在越来越严格的隐私法规下处理比以往任何时候都多的数据，寻求一种新方法是极为必要的。

当今，数据访问控制的所谓“最佳实践”，是创建一个明确定义的可访问数据列表，并在此基础上制定权限。然而，不幸的是，一旦考虑到现实世界的企业数据挑战，这根本不可行。

一个好的数据保护和数据治理解决方案，必须能够实现正常的数据访问，而不是中断或产生负面影响。而一个伟大的解决方案，将使数据访问比以前更容易、更高效、更广泛。

数据访问控制是零信任的最后环节和终极目标。基于零信任的数据访问控制，必将成为数据安全保护和治理的新方法。

目录

1. 背景：数据驱动战略与DataSecOps

1）数据驱动战略与数据驱动型组织

2）数据民主化与DataOps

3）数据安全与DataSecOps

2. 数据安全保护为什么这么难

1）数据的规模化治理难题

2）为什么数据分级分类很难

3）仅凭日志是远远不够的

4）数据存取方式的演变

5）难以设置的访问权限

6）新法规要求组织重新思考其数据战略

3. 保护敏感数据的现有方法

1）数据编目与分级分类

2）访问控制和权限管理

3）掩蔽、加密、符号化

4. 数据安全保护和治理的新方法

1）执行动态和细粒度数据访问控制

2）为数据访问添加上下文

3）建立分离的数据访问安全层

4）持续的敏感数据发现和分级分类

5）在数据源头保护数据

6）开展持续的权限治理

7）可在现有环境中部署

5. 示例：Satori数据访问平台

6. 总结：数据安全新方法与零信任的关系

1）数据安全新方法彻底贯彻了零信任思想

2）零信任是以数据为中心的安全架构

3）美国国防部将零信任应用于数据安全

4）数据访问控制与零信任的区别

背景：数据驱动战略与DataSecOps

1）数据驱动战略与数据驱动型组织

数据是一切的中心。数据的创建、存储、使用，是形成竞争优势和创新的引擎。由于云数据存储和访问技术的飞跃，在很大程度上使数据成为一种战略资产。

数据驱动战略已经彻底改变了企业的运营方式，并为那些正确利用它的人带来了惊人的增长。实施数据驱动战略，成为帮助企业进入数字化转型下一阶段的关键。

数据驱动型组织，即坚持数据驱动战略的组织，尤其是金融科技和健康科技等受监管行业的组织，开始越来越关注数据湖和数据仓库中日益增长的安全性和合规性挑战。

图1-数据驱动型组织的竞争优势

2）数据民主化与DataOps

数据民主化。为了让组织充分利用数据，数据必须是可发现和可访问的。数据民主化意味着更多的人能够访问更多的数据。但直到最近，人们还认为数据最好是分开保存，只有少数人能够很好地理解数据并使用它。为了从这些过时的方法过渡到现代方法，人们必须提升对数据的认知。

DataOps是数据民主化的基石。DevOps致力于成为现代应用程序开发的更好框架。而DataOps用于描述在运营动态数据环境的组织中处理数据的方式。

图2-DevOps与DataOps

3）数据安全与DataSecOps

组织正在生成、存储、分析前所未有的数据量，同时还需要比以往更广泛、更高效的数据访问。然而，更多的数据、更多的访问、更多的监管，代表着日益增长的安全、隐私、合规风险。

正如DevOps向DevSecOps的演进，DataOps向DataSecOps的演进，也是一种必然。DataSecOps 是组织将安全视为其数据运营的一部分的方式的演变。DataSecOps是一种敏捷、整体、安全的嵌入式方法，用于协调不断变化的数据及其用户，旨在提供快速的数据转化价值，同时保持数据的私密性、安全性和良好的治理。DataSecOps应该被视为数据民主化进程的推动者。

数据驱动战略呼唤新一代数据安全方案。我们需要一种新的方法，它依赖于完整的数据流可见性、策略执行、丰富的数据访问上下文，并且可以扩展以满足当今和未来的需求。

数据安全保护为什么这么难

1）数据的规模化治理难题

云让企业能够比以往更轻松地构建大型计算和存储基础设施。很多情况下，云存储运营的新定价模型基于查询/访问而非存储量。这直接导致，几乎所有拥有在线业务的公司，都以一条阻力最小的路径，快速建立了一个PB级数据存储。

而这又进一步导致，这些平台中的数据保护和数据治理，必须以大规模方式进行。而数据治理的所有一切，从发现和分级分类，到访问控制和安全，再到策略和审计，都需要重新发明，以应对存储的海量数据及其生成和使用的速度。

2）为什么数据分级分类很难

敏感数据分级分类的重要性毋庸置疑，但数据分级分类真地很难：

数据是一个移动的目标。在许多情况下，数据不是先生成再存储，而是从不同的位置获取，在这些位置它经历了ETL/ELT过程。由于ETL/ELT过程，数据通常是一个移动目标，在这些过程中，数据被移动，以富化、匿名化或经历其他转换。这些移动可能发生在同一平台内，也可能跨越不同的公共云或数据平台，使得跟踪起来非常复杂。

数据本身正在发生变化。当数据从一个地方移动到另一个地方时，它不仅是在旅行，而且自身还会发生变化。您的表中原本没有任何敏感数据，但可能有人不小心添加了敏感个人信息。

对半结构化数据进行分级分类是一项挑战。半结构化数据（例如存储在 JSON 文件或数据仓库或数据湖中其他半结构化数据对象中的数据）会增加数据分级分类的复杂性。例如，Snowflake表中名为 event_data 的列，可能包含不同类型的半结构化对象，并且在某些情况下存在包含敏感数据的条目。对于半结构化数据，遍历数据以发现敏感数据变得更加困难。

3）仅凭日志是远远不够的

日志通常非常重要。数据访问日志极其重要，因为它们可以阐明数据访问情况。数据访问日志是由数据库引擎生成的日志，提供了有关数据库事务的信息。

虽然数据访问日志确实存在、也非常有用，但真正理解它们非常具有挑战性：

标准不一：数据访问日志一般没有标准化，粒度级别也各不相同。各种日志经常记录在不同的数据存储中，而从不同的数据存储收集日志，有时需要大量工作来统一日志。

设置不明：数据访问日志并不总是“默认开启”，在某些情况下，它们必须进行设置和配置，包括通过设置特定的ETL流程来“照料”它们。

信息不足：有时日志并不包含您以为该有的信息，例如，有时数据访问用户实际上并不是数据消费者，而是分析框架使用的通用账户。找出是谁发送了查询，可能需要关联来自其他系统的日志，这非常复杂甚至不可能实现。此外，在大多数情况下，数据访问日志不包含提取数据的实际位置（数据库、schema、表），想从查询中了解此信息是一项艰巨任务，因为一些数据消费者并没有运行“SELECT * FROM table”，而是一个 1000 行的分析查询，其中包括多个子查询。

缺乏上下文：通常缺乏理解这些日志所需的关键上下文，如关于用户访问数据的信息、关于被访问数据的性质的信息、关于什么被认为是正常的和符合组织策略的信息。这些信息通常散布各处，并跨越各种与日志不相关的工具。

这些问题导致的结果是：仅有本机日志是远远不够的，组织仍然缺乏数据可见性。

4）数据存取方式的演变

过去，企业依靠精通SQL的分析师，直接从数据库查询信息。他们使用客户机-服务器接口直接访问数据库，并使用数据库的用户管理系统验证其访问权限。

后来，随着组织内部对数据需求的增长，人们发明了更复杂的客户机，以简化分析师的工作。这在很大程度上需要使用GUI（图形用户界面）抽象出SQL和数据库连接。

再后来，随着这些客户机在组织中的应用越来越广泛，通过将其部署为Web应用程序来进行大规模供应变得越来越容易。

再后来，随着企业迁移到云，这些部署转变为即服务交付。

导致的改变。从少数单用户桌面客户端访问组织中数据，转变为大量用户使用基于Web的应用程序甚至移动应用程序，这使得组织更难以使用数据库的用户管理系统为用户提供服务。组织将身份验证转向应用程序，并开始使用服务帐户（service accounts）将应用程序连接到数据库，而不是同时在数据库和应用程序两层中为每个用户调配资源。

数据访问归因问题。数据访问由不同的工具驱动，包括自主开发的应用程序、BI工具、命令行界面、脚本。在大多数情况下，必须创建服务账户才能授予和管理这些工具的数据访问权限。这时，连接到数据存储的用户是为工具本身配置的账户，而不是工具背后的实际员工。虽然从用户管理的角度来看很方便，但这意味着数据访问不能归因于驱动它的真实用户。

5）难以设置的访问权限

在许多组织中，数据和分析团队被授予非常广泛的数据访问权限。虽然广泛的数据访问对于企业的创新和成功必不可少，但由于缺乏访问权限控制，因此很难降低数据泄露的风险。

一个常见的情况是服务帐户的特权过高。服务帐户（service accounts）是应用程序用来代表其用户访问资源的一种特殊类型的身份。服务帐户不代表任何特定用户，它代表需要访问资源的任何用户。对于数据存储，即数据库、数据仓库、数据湖、其他系统（如缓存、搜索引擎、消息队列等），这意味着服务帐户通常可以访问数据存储中的所有数据。这将导致两个重大后果：

首先，数据访问的安全控制已从数据存储层转移到应用层，这意味着构建、维护、监控安全控制的责任，已从安全团队转移到工程团队。
其次，数据已经变得更加暴露——要么是应用程序中的安全漏洞（如安全控制或SQL注入中的漏洞），要么是使用服务帐户的凭据并直接连接到数据存储，从而完全绕过应用程序。

过度放纵的反面则是过度限制数据访问。这当然违背了数据驱动战略的目标，所以不能被视为合适的替代方案。

6）新法规要求组织重新思考其数据战略

随着数字转型，企业正在走向在线，每天生成、存储、处理和交换的个人信息数量惊人。出于对个人和一般敏感信息的安全和隐私的担忧，许多司法管辖区引入了新的法规，如国内的《数据安全法》和《个人信息保护法》、欧盟的GDPR、美国加利福尼亚的CCPA。

随着大量罚款和客户对其数据拥有的权利的明确定义，以及组织在收集、存储、使用这些数据时必须遵守的要求，这些新法规极大地改变了组织对数据安全、隐私、治理的思考方式。

保护敏感数据的现有方法

1）数据编目与分级分类

大多数数据治理计划，都是从试图了解数据在组织中的位置以及正在生成、处理、存储、读取的数据类型开始的。

在大多数情况下，这一过程要求所有利益相关者合作并共享他们所知道的信息，以构建所有数据流的地图。包括谁正在访问数据，他们正在访问什么类型的数据，以及数据存储在哪里。对于大型组织来说，这本身就是一个巨大的挑战，因为团队成员分布在不同的地理位置和不同的时区。通常情况下，这些计划启动缓慢，往往中途失败。

另一个障碍是数据是一个移动的目标——特别是在云环境中，生成新的数据存储既快速又简单，而传统的IT治理效果较差。当这些举措产生结果时，背景和环境可能已经改变，组织可能在不知不觉中掌握更敏感的信息。

即使在了解了敏感信息的位置之后，组织仍需努力使该信息具有可操作性。而依赖数据防泄漏（DLP）解决方案来提供上下文通常太少、太晚。

2）访问控制和权限管理

一旦组织知道他们拥有什么样的敏感信息以及这些信息在哪里，就有必要建立防护栏和边界，限制只有需要的人才能访问这些信息。

虽然有很多工具可以帮助组织管理对资源的访问，例如数据存储，但它们并不了解数据。试图在数据存储schema的特定部分上定义访问控制，是非常具有挑战性的：半结构化和非结构化数据存储没有schema，而且，就基于模式的数据存储而言，为每个用例的每个用户，在表和列级别管理细粒度权限的过程，在规模上是一个无法克服的挑战。

3）掩蔽、加密、符号化

一些组织遵循复制敏感数据的策略，并应用各种技术消除静止数据的风险，例如掩蔽、加密、符号化——例如，在掩蔽其中的任何敏感信息的同时，为开发团队提供生产数据库的副本以供调试。

虽然这种方法对特定用例有效，但由于缺乏灵活性和由此产生的开销，在规模上失败了。为每个用例创建一个数据副本，应用所需的转换来保护它，并授予对它的访问权，是一个缓慢的过程。每当克隆数据存储中需要新字段时，都需要调整并重新运行复制过程。此外，这种设计方法会产生更多的数据，从而导致更大的风险、更大的运营开销和更高的基础设施成本。

总之，在过去几十年中，保护敏感数据的现有策略是一个一个地建立起来的，缺乏整体性。它们会导致巨大的操作开销，并且只能解决部分问题。考虑到各组织正在云中采用新的数据存储技术，并在越来越严格的隐私法规下处理比以往任何时候都多的数据，寻求一种新方法是很必要的。

数据保护和治理的新方法

新一代数据安全方案应遵循以下原则：

1）执行动态和细粒度数据访问控制

必须意识到，解决数据访问安全挑战，不能以牺牲业务输出为代价。一个好的解决方案必须既能确保企业的安全，又不会减慢企业的速度。

为了解决这个问题，组织需要能够了解他们的敏感数据在哪里，尤其是当它与数据湖和数据仓库中的其他数据混合时，并跟踪其消费者的使用情况，还要能够对用户访问敏感数据和受监管数据设置限制。

为了真正解决数据安全问题，组织需要能够强制执行动态和细粒度数据访问控制，可以保护敏感数据，揭露行为异常。这才是新一代数据安全方案的基本思想。

2）为数据访问添加上下文

数据存储库本身就是一个宇宙。如果没有专门的平台，企业就不可能高效跟踪内部发生的事情。组织希望回答一些基本问题，例如谁在访问他们的数据、正在访问哪些类型的数据、这些数据的用途。

实现这一目标的最佳且唯一的方法，是为数据访问添加用户、数据、意图上下文，即将用户身份、数据类型、访问意图的信息关联起来。这些类型的上下文，通常存在于多个系统中。如组织的身份系统提供有关人员及其群体的信息；数据目录和主数据管理系统包含有关数据集及其业务上下文的信息；数据存储维护与访问相关的日志；数据库权限则上下文化授权访问。

为此，至少需要将标签分为两类：身份标签和数据标签。身份标签提供有关尝试访问数据的实体的上下文信息（例如，组织单位、位置，甚至特定帐户）。数据标签提供有关所访问数据的上下文信息。大多数上下文信息，默认由分级分类引擎生成，但客户也可以自定义。

3）建立分离的数据访问安全层

每个组织都以不同的方式处理数据保护。可以将它们提炼为两种方法：

1）外挂安全：在现有系统之外，挂接安全/隐私控制；
2）设计安全：通过设计，嵌入安全/隐私。

就流行偏好而言，当今大多数公司都倾向于外挂安全。从表面上看，这似乎是阻力最小的路径，因为它容易集成到他们已有的系统架构和运营中。

但实际上，采用设计安全方式，建立一个与数据架构分离的数据访问安全层，可以在不限制访问的情况下确保数据安全，使得现代企业更有可能获得成功。

将访问控制与数据平台分离，是与DataSecOps方法保持一致的唯一方法，是阻力最小和功效最大的真正途径。因此，必须采用可跨任何数据平台或API工作的通用数据访问服务。

通过建立分离的数据访问安全层，将访问控制（以及访问控制日志记录）与数据存储基础设施分离。这样，设置访问控制策略以及审计它们，就可以跨不同平台实现统一，从而获得跨多个数据存储的访问管理的统一体验。

4）进行持续的敏感数据发现和分级分类

敏感信息往往会出现在意料不到的地方，当你刚刚绘制完成敏感数据地图后，可能发现敏感数据随即出现在新的位置。这正是墨菲定律想表达的意思。

数据经常变化，只有通过持续的可见性和洞察力，才能大规模地保护和治理数据，比如数据盘点、数据访问审计、数据访问控制等。

为此，需要进行持续的敏感数据发现和分级分类。根据不同的数据类型，可以采取的具体方法包括：字典匹配、模式匹配、算法匹配、机器学习等。

对半结构化数据进行持续分级分类很重要。在许多数据分类中，半结构化数据通常被忽略或统一归为一个块（例如，包含 1,000 个不同值的消息，被标记为“电子邮件”，仅仅因为其中一个值是电子邮件地址）。由于半结构化数据在许多情况下不一致，因此对其进行持续分级分类很重要。例如，半结构化数据可能包含随时间添加的额外键，而没有任何数据库schema变更。

数据分级分类的粒度级别。所需的粒度级别有两个：

位置级粒度：可以细化到特定的数据存储、数据库、schema、表或列。要求了解位于特定列内的半结构化数据中不同数据类型的位置，可能更加细化。
数据类型粒度：在大多数情况下，至少需要定义分类数据的类别。在许多情况下，要求更加具体，并将数据分类为特定类型，例如电话号码、姓名、血型、患者 ID 或社会保障号码。

5）在数据源头保护数据

避免传统的数据副本方法。传统数据控制的一个主要问题在于，许多组织都会为不同的用例（例如，掩蔽和非掩蔽数据集）复制schema。这种粗糙的方法，会导致过时的数据、繁冗而缓慢的审批流程，以及每种使用模式的数据仓库数量不断增加。对于具有合理数据规模的组织来说，复制数据或复制基础设施都是不可扩展或不切实际的。

基于上下文的数据访问控制，通过强制执行多个策略，来避免创建数据的副本。这些策略负责解释每种使用模式，可以根据每种单独的使用模式，掩蔽、减少、转换数据，而无需修改schema或数据。

尽量避免使用静态数据转换（例如，用掩蔽的电子邮件地址，替换数据集中的所有电子邮件地址），而是利用动态数据转换在源头保护敏感数据，例如，当用户查询不应暴露于个人识别信息（PII）的电子邮件地址时，可以掩蔽这些地址。这确保了组织只存储他们需要的数据，并允许通过配置谁可以访问数据而不是运行在线复制过程，以更灵活的方式提供对数据的访问。

6）开展持续的权限治理

无法贯彻最小权限原则，是许多组织面临的问题。权限几乎是单向发展的——请求增加权限的情况频繁发生，但很少会有人主动请求删除访问权限。这导致，权限的膨胀速度，会比面团发酵还要快。

为解决权限回收问题，应分析用户权限（用户有权使用什么）和实际数据访问（用户实际使用什么）之间的差距。然后对差距进行优先级排序，以便及时回收不必要的权限。

将数据授权给人，而非授权人到数据。目前最流行的数据授权方式是RBAC（基于角色的访问控制）。RBAC是一个授权用户访问数据的系统，它可以定义哪些角色可以访问哪些位置的数据。事实上，数据位置是不明确的，因为数据在不断地移动。此外，在一个快速发展的组织中，角色也未必准确定义其工作范围。因此，公司不得不实施手动流程，旨在验证控制的准确性，这就必然降低了流程速度。

因此，应该考虑将数据授权给人的选项。这种方法可以定义感兴趣的数据类型以及获取访问权限所需的内容。这种替代方案需要一种更细粒度的授权机制，该机制考虑到数据和访问属性。ABAC（基于属性的访问控制）就是这样一种方法，它允许更灵活的策略。再加上一个数据访问层，不仅可以控制访问，还可以控制返回的数据和涉及的过程。这样，就使得对于不同使用模式的维护，可以从手动转向自动。

7）可在现有环境中透明化部署

避免重建数据基础设施。大多数组织不会仅仅为了采用数据安全解决方案，而重新构建其数据基础设施。通过替换部分数据基础设施（如存储或查询引擎）或依靠广泛部署应用程序或端点代理来提供安全价值的解决方案，既很难实施，又很难被欣赏。

在现有环境中透明化部署。数据安全不是一个全新市场，企业已经投资建立自己的数据平台和流程。因此，数据安全解决方案必须能够在不中断企业业务的情况下适应现有环境，并在不影响现有使用模式和工具的情况下集成到现有基础设施中。最重要的是，目标必须是通过简单、高效、广泛的数据访问，来优化他们的数据运营。

按照这个逻辑，一个好的数据保护和数据治理解决方案，必须能够实现正常的数据访问，而不是中断或产生负面影响。然而，一个伟大的解决方案，将使数据访问比以前更容易、更高效、更广泛！

示例：Satori 安全数据访问

Satori是RSA 2021大会的创新沙盒十强决赛入围者。Satori在日语中有“顿悟”之意。Satori秉持DataSecOps理念，引入了位于数据消费者和数据存储之间的通用数据访问服务的概念。毫无疑问，Satori通用数据访问平台是上述数据安全新方法的典型示例。

Satori提出了一种新的数据安全方法，提供了对数据和数据流的持续可见性，实施必要的安全控制，强制执行合规性和隐私政策，同时使合法访问变得简单、快速、高效。Satori通过将用户/应用程序身份与实时数据发现、分级分类、行为分析相结合，实现了这一点。

Satori 充当数据消费者（用户/应用程序）和数据存储之间的数据访问层，也是一个上下文感知层，其方式与代理类似。它检查每个事务，对动态数据进行分级分类，通过 IAM 解决方案或数据存储用户和角色配置添加身份上下文，并为所有云数据存储提供精细的访问控制策略和集中分析。

Satori 的核心是一个透明代理服务，数据消费者连接到它，而不是连接到实际的数据存储本身。Satori 对其数据用户是透明的，因此不需要对业务智能 (BI) 或分析工具进行任何更改，也不会改变数据用户使用数据的方式（即查询或命令中没有变化）。Satori 对数据存储也是透明的，因此不会改变数据存储本身中的任何内容（即没有创建视图或schema），身份认证、授权、审计机制也保持不变。

Satori 通过下述上下文，富化每个数据活动：

身份：Satori 监控到数据存储的新连接的创建，并使用该信息在组织的IAM (身份和访问管理) 系统中查找用户的配置文件。
数据：Satori 会同时观察查询和结果集，以对包含敏感信息（如姓名、电子邮件地址、社会保障号码）的事务进行分类。
行为：Satori 分析环境中的真实用户访问，以了解正常访问是什么样的，同时还提供了一套丰富的开箱即用的行为策略，以促进数据访问安全。

图3-Satori通用数据访问平台/服务

Satori架构解决可靠性和低延迟问题的方法是，将数据流量分成两个数据路径：代理和分析。代理意味着将字节从数据消费者传输到数据存储；分析是运行算法和策略引擎的地方。每条路径都由一组单独的计算资源处理，更重要的是，由具有不同代码库和发布节奏的单独软件处理。

对于代理，Satori 使用Nginx，这是一种众所周知的代理软件。使用 Nginx 的开箱即用功能，来代理 TCP 和 HTTP 流量并终止 TLS 连接。每个 Satori 部署都包含一组高度可用的 Nginx 代理服务器，作为 Kubernetes 集群中的容器。数据消费者和数据存储之间的连接仅通过 Nginx。

对于分析，Satori 使用Rust构建了“分析器”（Analyzer），Rust是一种专注于安全性、并发性、高性能的系统编程语言。分析器不在数据消费者和数据存储之间的数据路径中。相反，它从 Nginx 接收流量捕获，并异步处理它们。根据应用于连接的策略，分析器可以指示 Nginx 终止连接、阻止查询、返回空结果集、掩蔽敏感数据。

总结：数据安全新方法与零信任的关系

简单总结下数据安全新方法与零信任的关系：

1）数据安全新方法彻底贯彻了零信任思想

数据安全新方法本质上是一种新型的数据访问控制方法，而数据访问控制必然依赖于零信任方法。作为新一代数据访问控制的代表，Satori正在全面实现基于零信任的数据访问控制服务。

2）零信任是以数据为中心的安全架构

这是零信任与以网络为中心的传统安全模型的主要区别。

数据是零信任的支柱目标之一。在《美国联邦政府零信任战略》中支柱目标包括：支柱目标1-身份；支柱目标2-设备；支柱目标3-网络；支柱目标4-应用；支柱目标5-数据。本质上，实现数据安全，是零信任的终极目标。

3）美国国防部将零信任应用于数据安全

不妨看看美国国防部（DoD）面向数据安全的零信任架构。