SaaS時(shí)代對(duì)數(shù)據(jù)安全的重新思考
如今,SaaS驅(qū)動(dòng)前臺(tái)系統(tǒng)和IaaS/PaaS顛覆了數(shù)據(jù)中心技術(shù),數(shù)據(jù)的使用和存儲(chǔ)方式發(fā)生了一些變化。但是數(shù)據(jù)安全性仍然難以捉摸。
致力于數(shù)據(jù)安全的咨詢和研究機(jī)構(gòu)Securosis公司在關(guān)注和發(fā)布數(shù)據(jù)安全方面有著悠久的歷史。多年來(lái),該公司一直秉持“以數(shù)據(jù)為中心的安全性”的思想,專注于保護(hù)數(shù)據(jù)安全,這使其用戶不必再為保護(hù)設(shè)備、網(wǎng)絡(luò)和相關(guān)基礎(chǔ)設(shè)施而擔(dān)心。
在實(shí)踐中,以數(shù)據(jù)為中心的安全性一直沒(méi)有得到足夠的重視,因?yàn)殡S著數(shù)據(jù)的傳播,安全策略和保護(hù)會(huì)隨著數(shù)據(jù)傳播到人們所知道的每一個(gè)SaaS服務(wù)。那么數(shù)字版權(quán)管理如何大規(guī)模運(yùn)作?
業(yè)界為此降低了期望值,并開(kāi)始依賴加密等技術(shù),這些技術(shù)大多使用內(nèi)置功能(用于結(jié)構(gòu)化數(shù)據(jù)的FDE和用于文件系統(tǒng)的嵌入式加密),提供了一條阻礙最少的途徑,既可以實(shí)現(xiàn)法規(guī)遵從性要求,又可以使數(shù)據(jù)受到保護(hù)。這主要是安全問(wèn)題,因?yàn)閷?duì)應(yīng)用程序的破壞仍然可以不受限制地訪問(wèn)數(shù)據(jù)。
其他技術(shù)(例如屏蔽和標(biāo)記化)也提供了一種手段來(lái)保護(hù)敏感數(shù)據(jù)不受入侵者的侵害。測(cè)試數(shù)據(jù)生成工具等新策略還提供了一種選項(xiàng),以確保開(kāi)發(fā)人員不會(huì)無(wú)意中泄露生產(chǎn)數(shù)據(jù)。但是即使采用了所有這些技術(shù),大多數(shù)組織仍在努力保護(hù)其數(shù)據(jù),而且并沒(méi)有變得更加簡(jiǎn)單。
數(shù)據(jù)泄露三角形
早在2009年,Securosis公司就引入了一個(gè)稱為“數(shù)據(jù)泄露三角形”的概念,該概念提供了一種簡(jiǎn)單的結(jié)構(gòu)來(lái)列舉阻止數(shù)據(jù)泄露的幾種不同方法。用戶只要去除這個(gè)三角形的一條邊就可以有效阻止數(shù)據(jù)泄露。
- 數(shù)據(jù):竊取或?yàn)E用的信息。
- 漏洞利用:漏洞或網(wǎng)絡(luò)攻擊路徑的組合,允許網(wǎng)絡(luò)攻擊者未經(jīng)批準(zhǔn)訪問(wèn)數(shù)據(jù)。
- 出口:數(shù)據(jù)離開(kāi)組織的路徑。它可以是數(shù)字的(例如網(wǎng)絡(luò)出口),也可以是物理的(例如便攜式存儲(chǔ)設(shè)備或硬盤(pán)被盜)。
當(dāng)今的大多數(shù)安全行業(yè)都將重點(diǎn)放在阻止漏洞利用上,或者通過(guò)提供防止漏洞攻擊的能力(例如防火墻/IPS),或者防止設(shè)備-端點(diǎn)保護(hù)的危害。也有一些廠商試圖通過(guò)出站過(guò)濾器、FW/Web代理或DLP阻止敏感數(shù)據(jù)的流出。
如上所述,保護(hù)或屏蔽數(shù)據(jù)的嘗試很難大規(guī)模實(shí)現(xiàn)。那會(huì)得到什么呢?而數(shù)據(jù)泄露行為導(dǎo)致組織失去大量用戶數(shù)據(jù)。
SaaS加劇了這個(gè)問(wèn)題
保護(hù)數(shù)據(jù)繼續(xù)變得更加復(fù)雜。SaaS是新的前臺(tái)系統(tǒng),而由于疫情無(wú)法在企業(yè)工作而導(dǎo)致員工在家遠(yuǎn)程工作的現(xiàn)象將加速這種趨勢(shì)。
當(dāng)人們知道數(shù)據(jù)在哪里時(shí),保護(hù)數(shù)據(jù)就會(huì)十分困難。現(xiàn)在,大多數(shù)組織都有合作伙伴來(lái)控制關(guān)鍵數(shù)據(jù)。但是,問(wèn)題并沒(méi)有變得越來(lái)越簡(jiǎn)單。
重新思考數(shù)據(jù)安全性
出于多種原因,通過(guò)加密、屏蔽、標(biāo)記化數(shù)據(jù)或?qū)?shù)據(jù)采用嚴(yán)格的使用策略來(lái)保護(hù)數(shù)據(jù)并不是解決之道。技術(shù)行業(yè)已經(jīng)重新考慮了應(yīng)用程序以及數(shù)據(jù)的創(chuàng)建、使用和存儲(chǔ)。因此,安全人員需要重新考慮數(shù)據(jù)安全性,以適應(yīng)這種新的SaaS現(xiàn)實(shí)。組織必須重新考慮數(shù)據(jù)安全意味著什么以及潛在的解決方案。
