一. 核心功能
数据分类和发现
数据安全治理的前提是对组织的数据进行分级分类,数据分类和发现是实现数据分级分类的技术支撑。目前大多数据分类和发现产品都附带符合相关政策的内置字典或搜索算法,如PCI,HIPAA或GDPR。但是,不同产品的搜索能力有所不同,例如速度和准确性。在特定DBMS,文件类型,Hadoop或云平台搜索的能力将因厂商而异。如果打算将产品与DBMS一起使用,需要搜索到列/表元数据或字段。此外,需要检查是否可以在数据库中的二进制大对象(BLOB)或字符大对象(CLOB)中搜索数据。一些产品只能在非结构化文件中进行搜索,并通过将元数据附加到每个文件进行标记。
数据安全策略管理
数据安全治理中的数据安全策略管理是实现数据使用安全的基础。数据安全策略管理需要提供统一管理控制台的能力,可以控制所有数据存储仓库的安全策略。大多数产品会分拆这些功能,用户需要分别购买不同的产品,但同时也需要通过单一的软件或管理控制台进行统一管理。将角色和责任在数据安全治理过程中统一起来的功能非常重要。策略的应用通常基于通过第三方产品(如(AD)或LDAP)进行身份验证(用户身份和业务角色)。策略管理人员定义对特定数据的访问策略,甚至需要授予多个用户组访问多个数据单元的多对多的能力。如果应用程序通过使用连接池来提供更高效的数据访问帐户,那么在应用程序的级别识别业务用户的就是很重要的能力要求。有时可以通过与Kerberos等身份验证协议与应用程序进行通信,但并不是所有应用程序都提供此功能。其他产品可能会使用应用层的代理程序来收集用户身份,从应用程序工具中关联日志,或者使用代理技术拦截和分析来自应用程序或Web服务器的网网络通讯。以应用层为中心的工具将不具有数据层用户访问权限的视图。应该注意,还有其他控制措施来解决这个问题,例如额外的代理监控代理软件或数据层的加密软件。
监控用户权限和数据访问行为
数据安全治理中的用户权限监控和访问行为管理是实现数据安全使用的手段。制订安全策略来管理和监视所有可访问特定数据集的应用用户和管理权限。监控AD成员资格的变化或个别权限的更改是非常重要的,以确保它们符合业务角色、数据类型或数据存储位置相关的要求。检测数据修改、权限提升和更改安全警报的功能,对于检测潜在的恶意内部人员或外部黑客活动以及满足合规性,但是并不是所有的产品都在存储层运行,并且它们可能无法评估数据库管理员,系统管理员或开发人员等特权用户的能力。因此,产品能够拦截各种管理员在数据和应用层的访问也很重要。产品需要在服务器峰值加载或网络通信拥挤时持续运行。如果在基础架构高度负载的情况下需要进行密集监控,则必须考虑网络架构和产品的能力要求。否则,可能导致延迟或在极端情况下不能监视某些行为。
审计和报表
数据安全治理中的审计和报表技术是保证数据安全使用在既定规范内的关键。随着数据分析要求的不断增长,对报表功能的需求也将增长。在各种监管环境中的审计员需要有能力在历史日志的基础上对用户行为的进行洞察,这可能需要至少一个月的可访问数据。合规性还将需要各种监控功能的审计跟踪,例如异常用户行为,数据更改,违反政策或更改权限。在发生违规或安全事件的情况下,重要的是能够进行审计日志分析来追溯所有行为,包括数据访问、修改或权限更改。
行为分析,警报和阻断
数据安全治理中的行为分析和告警和阻断是实现数据安全使用的技术保障。基于预先选择的监控条件创建安全警报的能力至关重要,这可能导致不同级别的警报范围从政策违规到访问数据的可疑行为。警报机制,包括控制台显示器的告警、对关键安全人员、数据所有者或业务人员的自动消息传递。也可以启用其他功能,例如自动阻断访问或删除行为。极端的反应可能包括在大规模数据下载情况下关闭访问。未来的产品甚至能够通过一些关联分析来检测异常行为。分析历史访问趋势的能力将提供越来越重要的洞察力以检测不适当的行为。产品的不同之处在于管理控制台界面的易用性,可以管理和报告安全警报,以及不同数据存储平台内的报告的粒度。例如:关于数据库审计行为,需要在可以检测的命令数量与软件/硬件处理能力以及结果集进行分析的能力之间进行权衡。如果服务器或网络通信已经严重加载,并且本地监视代理程序处理大量日志的能力受到限制,则可能会发生这种情况。可以根据数据内容和组成员资格或权限阻止数据访问。当控制台通过具有下发的策略管理或不同监视功能的代理或软件来监督多个数据对象时,可能会有不同的检测结果。
数据保护
数据安全治理中的数据保护技术是实现数据安全的核心手段。一些供应商通过加密,令牌化或数据脱敏提供独立的数据保护工具,而其他厂商不提供这些工具,这样用户需要独立购买相关产品。在这两种情况下,这些防护产品可能不会集成到单个管理控制台中,并且需要与数据安全策略的仔细协调。选择这些工具需要仔细评估每种可能提供的威胁和风险。例如,实现透明的数据库加密可以防止系统管理员的访问,但数据库管理员仍然可以访问。通过数据库服务器上的代理应用数据动态脱敏,并通过AD链接,可以用于防止数据库管理员访问。然而,存储时数据不受保护;它仍然可以由系统管理员访问。加密或令牌化字段可以保护正在活动或存储的数据元素,但必须注意这不会影响应用程序的操作。
相关技术
当前的Gartner对DCAP的研究覆盖四个细分市场:数据库审计和保护(DAP);数据访问管理(DAG);云访问安全代理(CASB);和数据保护(DP),其中包括加密,令牌化和数据脱敏(DM)。不同的进化轨迹,意味着不同的产品在其产品路线图中具有不同的目标和基本功能。虽然没有一款产品完全符合DCAP的要求,但这些产品在每种类别中都在完成跨数据处理对象的兼容能力:
DAP
这些产品已经开发了多年,用于实施数据安全策略,数据分类和发现,特权访问管理,数据活动监控或行为分析,审计和数据保护。以前,专注于RDBMS和数据仓库,某些产品开始兼容Hadoop和非结构化文件共享以及DBaaS。
DAG
这是 有时被称为以文件为中心的审计和保护(FCAP)。通常,这些产品专注于实施文件数据的安全访问策略,数据分类和发现,以及文件存储库和目录服务(如SharePoint)的活动监视和审计。这些产品与身份和访问管理(IAM)密切相关。一些产品也开始包含云SaaS应用的功能。
CASB
在SaaS应用程序或云存储环境(如Microsoft Office 365,Salesforce,ServiceNow,Box和Dropbox)中保护数据的能力正在通过多种产品快速增长。这些产品具备跨越DCAP,数据丢失防护(DLP)和用户实体行为分析(UEBA)等能力的数据安全控制。CASB正在不断发展数据分类和发现,访问控制,活动监控,审计和阻断,改写,加密,标记化和隔离等方面的不同组合。这些产品通常是独立的,一些CASB可以从企业DLP产品导入策略,但它们的管理并不与内部部署DLP集成。
DP
这些产品传统上侧重于通过多个数据仓库(RDBMS,数据仓库,非结构化大数据和一些基于云的企业文件同步和共享[EFSS]工具)的加密,标记化或遮蔽来保护数据。但是,通过添加实时警报,活动监控和审计功能,几项产品已经创新发展。DAP和DAG产品可以提供对文件或数据库中所有数据的访问的监视和审计,但这些DP产品通常只关注敏感数据类型。
产品可以使用各种技术通过应用层和/或数据层进行连接。通过需要应用层代理,接口或与特权管理工具的集成,穿透隐藏了身份标识的连接池,从而对来自应用层的个人访问进行控制。