SaaS時代對數(shù)據(jù)安全的重新思考

如今，SaaS驅動前臺系統(tǒng)和IaaS/PaaS顛覆了數(shù)據(jù)中心技術，數(shù)據(jù)的使用和存儲方式發(fā)生了一些變化。但是數(shù)據(jù)安全性仍然難以捉摸。

致力于數(shù)據(jù)安全的咨詢和研究機構Securosis公司在關注和發(fā)布數(shù)據(jù)安全方面有著悠久的歷史。多年來，該公司一直秉持“以數(shù)據(jù)為中心的安全性”的思想，專注于保護數(shù)據(jù)安全，這使其用戶不必再為保護設備、網(wǎng)絡和相關基礎設施而擔心。

在實踐中，以數(shù)據(jù)為中心的安全性一直沒有得到足夠的重視，因為隨著數(shù)據(jù)的傳播，安全策略和保護會隨著數(shù)據(jù)傳播到人們所知道的每一個SaaS服務。那么數(shù)字版權管理如何大規(guī)模運作?

業(yè)界為此降低了期望值，并開始依賴加密等技術，這些技術大多使用內(nèi)置功能(用于結構化數(shù)據(jù)的FDE和用于文件系統(tǒng)的嵌入式加密)，提供了一條阻礙最少的途徑，既可以實現(xiàn)法規(guī)遵從性要求，又可以使數(shù)據(jù)受到保護。這主要是安全問題，因為對應用程序的破壞仍然可以不受限制地訪問數(shù)據(jù)。

其他技術(例如屏蔽和標記化)也提供了一種手段來保護敏感數(shù)據(jù)不受入侵者的侵害。測試數(shù)據(jù)生成工具等新策略還提供了一種選項，以確保開發(fā)人員不會無意中泄露生產(chǎn)數(shù)據(jù)。但是即使采用了所有這些技術，大多數(shù)組織仍在努力保護其數(shù)據(jù)，而且并沒有變得更加簡單。

數(shù)據(jù)泄露三角形

早在2009年，Securosis公司就引入了一個稱為“數(shù)據(jù)泄露三角形”的概念，該概念提供了一種簡單的結構來列舉阻止數(shù)據(jù)泄露的幾種不同方法。用戶只要去除這個三角形的一條邊就可以有效阻止數(shù)據(jù)泄露。

數(shù)據(jù)：竊取或濫用的信息。

漏洞利用：漏洞或網(wǎng)絡攻擊路徑的組合，允許網(wǎng)絡攻擊者未經(jīng)批準訪問數(shù)據(jù)。

出口：數(shù)據(jù)離開組織的路徑。它可以是數(shù)字的(例如網(wǎng)絡出口)，也可以是物理的(例如便攜式存儲設備或硬盤被盜)。

當今的大多數(shù)安全行業(yè)都將重點放在阻止漏洞利用上，或者通過提供防止漏洞攻擊的能力(例如防火墻/IPS)，或者防止設備-端點保護的危害。也有一些廠商試圖通過出站過濾器、FW/Web代理或DLP阻止敏感數(shù)據(jù)的流出。

如上所述，保護或屏蔽數(shù)據(jù)的嘗試很難大規(guī)模實現(xiàn)。那會得到什么呢?而數(shù)據(jù)泄露行為導致組織失去大量用戶數(shù)據(jù)。

SaaS加劇了這個問題

保護數(shù)據(jù)繼續(xù)變得更加復雜。SaaS是新的前臺系統(tǒng)，而由于疫情無法在企業(yè)工作而導致員工在家遠程工作的現(xiàn)象將加速這種趨勢。

當人們知道數(shù)據(jù)在哪里時，保護數(shù)據(jù)就會十分困難?，F(xiàn)在，大多數(shù)組織都有合作伙伴來控制關鍵數(shù)據(jù)。但是，問題并沒有變得越來越簡單。

重新思考數(shù)據(jù)安全性

出于多種原因，通過加密、屏蔽、標記化數(shù)據(jù)或對數(shù)據(jù)采用嚴格的使用策略來保護數(shù)據(jù)并不是解決之道。技術行業(yè)已經(jīng)重新考慮了應用程序以及數(shù)據(jù)的創(chuàng)建、使用和存儲。因此，安全人員需要重新考慮數(shù)據(jù)安全性，以適應這種新的SaaS現(xiàn)實。組織必須重新考慮數(shù)據(jù)安全意味著什么以及潛在的解決方案。