云計算的應用催生了一系列新的安全挑戰。云服務的彈性使企業能夠毫不費力地啟動新的數據服務，從而導致無序蔓延的環境，其中數據可以在對象存儲、托管服務和非托管數據庫之間不斷流動。由于許多基礎設施是由云服務提供商（CSP）提供的，因此安裝監視代理的可能性本質上是有限的。與此同時，數據被視為一種競爭優勢。公司需要收集和保留更多的業務數據，并讓更多的團隊對數據進行訪問和分析，這也增加了未經授權訪問敏感信息的風險。

雖然很多傳統的安全工具聲稱可以幫助企業解決這些安全問題，但安全專家深入研究后卻發現，事情便非如此。以目前較流行的一些安全產品為例：

• 傳統DLP：主要應用于保護端點、網絡和本地基礎設施中的數據，通常不能很好地適應云環境帶來的數據挑戰； 
• CSP原生安全工具：這些工具會受到功能和覆蓋范圍的限制，并且無法在多云環境、大數據平臺和SaaS服務中執行相同的安全策略和控制；
• CSPM：這一種相對較新的數據安全解決方案，可用于識別云環境中的錯誤配置和分析風險。但是盡管CSPM工具具有對云基礎設施服務的可見性監控，但卻不知道數據本身的上下文和內容，這使得很多數據風險的優先級難以確定；
• DSPM：這是一種云原生工具，可用于發現和分類云數據存儲中的敏感數據。它們可以有效識別出云上敏感數據的特定威脅。然而，這些系統基于了傳統批處理的工作模式，因此在實時威脅檢測方面的存在不足；
• 數據隱私解決方案（例如，BigID）：這些工具專注于識別敏感數據以滿足法規遵從性的目的，并沒有提供多少增加安全性的方式。而且在大多數情況下，它們需要安裝代理。

在此背景下，企業對云上數據安全平臺的使用需求開始產生，在Gartner發布的《2021數據安全技術成熟度曲線》中，正式提出DSP（Data Security Platform）的概念，旨在通過使用無代理架構，提供對敏感數據的可靠監視和訪問管理，實現跨數據類型、存儲孤島和生態系統的數據安全保護需求。Gartner的研究人員認為，云數據安全平臺必備以下9個核心功能。

1.建立敏感數據清單

能夠發現和分類敏感數據是所有數據安全產品的基本要求。云數據安全平臺需要能夠建立最新的敏感數據清單，為各項數據安全功能的實現打好基礎。在建立數據清單時，一些關鍵考慮因素包括：

• 速度——執行（無代理）掃描云環境和檢測敏感數據所需的時間；
• 規模——有效掃描pb級數據集而不影響性能的能力；
• 準確性——識別所有相關記錄，同時最大限度地減少誤報。

2.數據安全態勢管理

管理云上數據安全態勢意味著要全面分析數據風險，并持續評估存儲和訪問敏感數據的云資源配置，以及適用于這些資源的安全控制措施。云數據安全平臺需要可以持續檢測并標記錯誤配置、漏洞和偏離最佳實踐的情況，從而使敏感數據避免處于危險之中。當發現異常情況時，平臺還應該提供自動化或半自動化的修復措施。

3.云上數據合規

符合監管部門的管理要求是企業云數據保護的一個重要優先事項。對于云數據安全平臺而言，需要將敏感數據資產映射到相關的合規性標準，并突出顯示必要的安全控制（如加密、訪問控制或數據保留策略）來解決云數據合規性問題。同時，平臺還應該密切監測數據流動，以查明違反數據存儲或隔離要求的數據使用行為。

4.訪問管理

通過有效的訪問管理，企業可以確保云上的敏感信息只能由授權賬戶訪問，并遵循最小權限原則。因此，云數據安全平臺需要提供對用戶權限的可見性來降低未經授權訪問的風險，幫助管理員監控和控制對敏感數據的訪問，并快速識別訪問特定數據集的人員與實際訪問者之間的偏差或異常。

5.實時監控和警報

企業無法接受數據泄露事件的平均檢測時間（MTTD）為幾天甚至幾周。因此，云數據安全平臺應該具有實時監視和警報功能，幫助企業快速識別和控制對云數據資產的攻擊。由于基于代理的解決方案通常不可行，云數據安全平臺需要使用替代方法（例如監視云日志）來識別與敏感數據相關的異常訪問模式或可疑行為。快速檢測也使安全團隊能夠更有效地減輕云上的安全威脅。

6.影子數據檢測

影子數據是指未知的、隱藏的或被忽視的敏感信息，這些信息往往都沒有得到適當的保護和監控。云數據安全平臺需要可以檢測和分類結構化和非結構化存儲中的影子數據，使安全團隊能夠解決潛在的漏洞，并降低由于環境不受監控而引發的相關安全風險。

7.惡意軟件分析

企業的內部員工和外部客戶可能都會擁有在公司云環境中存儲數據的權限。例如，自動化機器學習工具可能允許用戶以XLSX文件的形式輸入。然而，這可能導致受惡意軟件感染的文件被上傳到云存儲。云數據安全平臺應能夠掃描現有文件和傳入文件中已知的惡意簽名，識別對象存儲中的惡意文件，以便對其進行適當的隔離和調查。

8.改善數據衛生環境

長期以來，企業數據安全的重點工作和投入都用在如何保障數據的機密性、一致性和可用性，而對于數據清理/銷毀的投入和重視往往不夠。在合規形勢異常嚴峻的今天，如何正確地銷毀數據，維護企業的數據衛生環境，已經成了全球性的難題和重大隱患。對于云數據安全平臺而言，需要能夠在組織未遵循最佳數據治理實踐時，提醒安全團隊或數據所有者來幫助簡化此過程。

9.支持多云環境

有越來越多的企業組織開始跨多個公共云平臺（例如Azure + Snowflake）存儲數據。為了簡化操作和降低復雜性，云數據安全平臺應該允許組織跨多云環境應用相同的安全策略和威脅建模。云服務提供商提供的本地工具通常缺少此功能。

當企業開始選型部署云數據安全平臺方案時，可以根據以下要素來評估它們是否真正具有以上所列舉的關鍵功能：

(1) 威脅模型

如果沒有準確和最新的威脅模型，即使是最強大的威脅檢測引擎也無法滿足企業的云數據安全防護需求。企業在選型時，應該首先檢查該方案是否有一個強大的安全研究團隊提供支持，同時，該團隊在識別云環境的新威脅方面具有經過驗證的跟蹤記錄。此外，模型還需要能夠根據新的攻擊向量和防護漏洞不斷更新模型策略。

(2) 覆蓋范圍

企業應該重點評估所選型的云數據安全平臺是否能夠全面覆蓋組織當前使用或計劃將來使用的各種云數據存儲，這可以包括IaaS、PaaS和DBaaS。企業還應該考慮往平臺上添加新數據源的速度，以及平臺背后的團隊是否了解與每個數據存儲相關的最新風險和漏洞。

(3) 可實現性

企業應該考慮平臺在應用實現中需要花費的資源以及對現有系統可能產生的影響。數據安全平臺需要將API連接和其他部署進行自動化設計，這將減輕安全運營團隊的負擔。無代理部署速度更快，并且最小化了所需的權限——當您無法訪問物理服務器（大多數PaaS和DBaaS都是這種情況）時，它通常是唯一可行的選擇。

此外，云數據安全平臺應該被設計成帶外運行模式，這樣就不需要實時數據庫連接，這樣它就可以持續監視基礎設施，而不會直接影響數據服務的性能。在不需要數據庫憑證的情況下這樣做可以加快實現和評估。

(4) 安全性

云數據安全平臺本身必須也是安全的，要定期檢查是否有任何敏感數據離開企業的合法賬戶并進行掃描或分類操作。企業還應該驗證供應商具有必要的產品安全質量認證（ISO 27001、SOC 2 Type 2等）。

(5) 系統集成能力

云數據安全平臺還應該與企業整體安全堆棧中的其他工具和能力有效集成。最相關的通常是SOAR、SIEM和SOC解決方案，因為這些解決方案使企業能夠根據數據安全平臺提供的分析報告采取行動。平臺還應該與身份提供者（Identity Provider，IdP）集成，這樣有助于為每個數據資產提供豐富的活動身份視圖，從而為敏感數據保護做出準確的訪問管理策略。

參考鏈接：https://www.dig.security/post/data-security-platform-key-capabilities-and-criteria