一. 核心功能
數據分類和發現
數據安全治理的前提是對組織的數據進行分級分類,數據分類和發現是實現數據分級分類的技術支撐。目前大多數據分類和發現產品都附帶符合相關政策的內置字典或搜索算法,如PCI,HIPAA或GDPR。但是,不同產品的搜索能力有所不同,例如速度和準確性。在特定DBMS,文件類型,Hadoop或云平臺搜索的能力將因廠商而異。如果打算將產品與DBMS一起使用,需要搜索到列/表元數據或字段。此外,需要檢查是否可以在數據庫中的二進制大對象(BLOB)或字符大對象(CLOB)中搜索數據。一些產品只能在非結構化文件中進行搜索,并通過將元數據附加到每個文件進行標記。
數據安全策略管理
數據安全治理中的數據安全策略管理是實現數據使用安全的基礎。數據安全策略管理需要提供統一管理控制臺的能力,可以控制所有數據存儲倉庫的安全策略。大多數產品會分拆這些功能,用戶需要分別購買不同的產品,但同時也需要通過單一的軟件或管理控制臺進行統一管理。將角色和責任在數據安全治理過程中統一起來的功能非常重要。策略的應用通常基于通過第三方產品(如(AD)或LDAP)進行身份驗證(用戶身份和業務角色)。策略管理人員定義對特定數據的訪問策略,甚至需要授予多個用戶組訪問多個數據單元的多對多的能力。如果應用程序通過使用連接池來提供更高效的數據訪問帳戶,那么在應用程序的級別識別業務用戶的就是很重要的能力要求。有時可以通過與Kerberos等身份驗證協議與應用程序進行通信,但并不是所有應用程序都提供此功能。其他產品可能會使用應用層的代理程序來收集用戶身份,從應用程序工具中關聯日志,或者使用代理技術攔截和分析來自應用程序或Web服務器的網網絡通訊。以應用層為中心的工具將不具有數據層用戶訪問權限的視圖。應該注意,還有其他控制措施來解決這個問題,例如額外的代理監控代理軟件或數據層的加密軟件。
監控用戶權限和數據訪問行為
數據安全治理中的用戶權限監控和訪問行為管理是實現數據安全使用的手段。制訂安全策略來管理和監視所有可訪問特定數據集的應用用戶和管理權限。監控AD成員資格的變化或個別權限的更改是非常重要的,以確保它們符合業務角色、數據類型或數據存儲位置相關的要求。檢測數據修改、權限提升和更改安全警報的功能,對于檢測潛在的惡意內部人員或外部黑客活動以及滿足合規性,但是并不是所有的產品都在存儲層運行,并且它們可能無法評估數據庫管理員,系統管理員或開發人員等特權用戶的能力。因此,產品能夠攔截各種管理員在數據和應用層的訪問也很重要。產品需要在服務器峰值加載或網絡通信擁擠時持續運行。如果在基礎架構高度負載的情況下需要進行密集監控,則必須考慮網絡架構和產品的能力要求。否則,可能導致延遲或在極端情況下不能監視某些行為。
審計和報表
數據安全治理中的審計和報表技術是保證數據安全使用在既定規范內的關鍵。隨著數據分析要求的不斷增長,對報表功能的需求也將增長。在各種監管環境中的審計員需要有能力在歷史日志的基礎上對用戶行為的進行洞察,這可能需要至少一個月的可訪問數據。合規性還將需要各種監控功能的審計跟蹤,例如異常用戶行為,數據更改,違反政策或更改權限。在發生違規或安全事件的情況下,重要的是能夠進行審計日志分析來追溯所有行為,包括數據訪問、修改或權限更改。
行為分析,警報和阻斷
數據安全治理中的行為分析和告警和阻斷是實現數據安全使用的技術保障。基于預先選擇的監控條件創建安全警報的能力至關重要,這可能導致不同級別的警報范圍從政策違規到訪問數據的可疑行為。警報機制,包括控制臺顯示器的告警、對關鍵安全人員、數據所有者或業務人員的自動消息傳遞。也可以啟用其他功能,例如自動阻斷訪問或刪除行為。極端的反應可能包括在大規模數據下載情況下關閉訪問。未來的產品甚至能夠通過一些關聯分析來檢測異常行為。分析歷史訪問趨勢的能力將提供越來越重要的洞察力以檢測不適當的行為。產品的不同之處在于管理控制臺界面的易用性,可以管理和報告安全警報,以及不同數據存儲平臺內的報告的粒度。例如:關于數據庫審計行為,需要在可以檢測的命令數量與軟件/硬件處理能力以及結果集進行分析的能力之間進行權衡。如果服務器或網絡通信已經嚴重加載,并且本地監視代理程序處理大量日志的能力受到限制,則可能會發生這種情況。可以根據數據內容和組成員資格或權限阻止數據訪問。當控制臺通過具有下發的策略管理或不同監視功能的代理或軟件來監督多個數據對象時,可能會有不同的檢測結果。
數據保護
數據安全治理中的數據保護技術是實現數據安全的核心手段。一些供應商通過加密,令牌化或數據脫敏提供獨立的數據保護工具,而其他廠商不提供這些工具,這樣用戶需要獨立購買相關產品。在這兩種情況下,這些防護產品可能不會集成到單個管理控制臺中,并且需要與數據安全策略的仔細協調。選擇這些工具需要仔細評估每種可能提供的威脅和風險。例如,實現透明的數據庫加密可以防止系統管理員的訪問,但數據庫管理員仍然可以訪問。通過數據庫服務器上的代理應用數據動態脫敏,并通過AD鏈接,可以用于防止數據庫管理員訪問。然而,存儲時數據不受保護;它仍然可以由系統管理員訪問。加密或令牌化字段可以保護正在活動或存儲的數據元素,但必須注意這不會影響應用程序的操作。
相關技術
當前的Gartner對DCAP的研究覆蓋四個細分市場:數據庫審計和保護(DAP);數據訪問管理(DAG);云訪問安全代理(CASB);和數據保護(DP),其中包括加密,令牌化和數據脫敏(DM)。不同的進化軌跡,意味著不同的產品在其產品路線圖中具有不同的目標和基本功能。雖然沒有一款產品完全符合DCAP的要求,但這些產品在每種類別中都在完成跨數據處理對象的兼容能力:
DAP
這些產品已經開發了多年,用于實施數據安全策略,數據分類和發現,特權訪問管理,數據活動監控或行為分析,審計和數據保護。以前,專注于RDBMS和數據倉庫,某些產品開始兼容Hadoop和非結構化文件共享以及DBaaS。
DAG
這是 有時被稱為以文件為中心的審計和保護(FCAP)。通常,這些產品專注于實施文件數據的安全訪問策略,數據分類和發現,以及文件存儲庫和目錄服務(如SharePoint)的活動監視和審計。這些產品與身份和訪問管理(IAM)密切相關。一些產品也開始包含云SaaS應用的功能。
CASB
在SaaS應用程序或云存儲環境(如Microsoft Office 365,Salesforce,ServiceNow,Box和Dropbox)中保護數據的能力正在通過多種產品快速增長。這些產品具備跨越DCAP,數據丟失防護(DLP)和用戶實體行為分析(UEBA)等能力的數據安全控制。CASB正在不斷發展數據分類和發現,訪問控制,活動監控,審計和阻斷,改寫,加密,標記化和隔離等方面的不同組合。這些產品通常是獨立的,一些CASB可以從企業DLP產品導入策略,但它們的管理并不與內部部署DLP集成。
DP
這些產品傳統上側重于通過多個數據倉庫(RDBMS,數據倉庫,非結構化大數據和一些基于云的企業文件同步和共享[EFSS]工具)的加密,標記化或遮蔽來保護數據。但是,通過添加實時警報,活動監控和審計功能,幾項產品已經創新發展。DAP和DAG產品可以提供對文件或數據庫中所有數據的訪問的監視和審計,但這些DP產品通常只關注敏感數據類型。
產品可以使用各種技術通過應用層和/或數據層進行連接。通過需要應用層代理,接口或與特權管理工具的集成,穿透隱藏了身份標識的連接池,從而對來自應用層的個人訪問進行控制。
