数据安全保护和治理的新方法 原创 柯善学 网络安全观 昨天 秉持数据驱动战略的数据驱动型组织，正在利用数据，以前所未有的速度开创未来。同 时，也面临日益增长的安全、隐私、合规风险。 在过去几十年中，保护敏感数据的现有方法是孤立地建立起来的，缺乏整体性。考虑到各 组织正在越来越严格的隐私法规下处理比以往任何时候都多的数据，寻求一种新方法是极 为必要的。 当今，数据访问控制的所 谓 “ 最 佳 实 践 ” ，是创建一个明确定义的可访问数据列表，并在 此基础上制定权限。 然 而 ， 不 幸 的 是 ， 一 旦 考 虑 到 现 实 世 界 的 企 业 数 据 挑 战 ， 这 根 本不可行。 一个好的数据保护和数据治理解决方案，必须能够实现正常的数据访问，而不是中 断或产生负面影响。而一个伟大的解决方案，将使数据访问比以前更容易、更高 效、更广泛。 数据访问控制是零信任的最后环节和终极目标。基于零信任的数据访问控制，必将成为数 据安全保护和治理的新方法。 目  录 1. 背景：数据驱动战略与DataSecOps 1）数据驱动战略与数据驱动型组织 2）数据民主化与DataOps 3）数据安全与DataSecOps 2. 数据安全保护为什么这么难 1）数据的规模化治理难题 2）为什么数据分级分类很难 3）仅凭日志是远远不够的 4）数据存取方式的演变 5）难以设置的访问权限 6）新法规要求组织重新思考其数据战略 3. 保护敏感数据的现有方法 1）数据编目与分级分类 2）访问控制和权限管理 3）掩蔽、加密、符号化 4. 数据安全保护和治理的新方法 1）执行动态和细粒度数据访问控制 2）为数据访问添加上下文 3）建立分离的数据访问安全层 4）持续的敏感数据发现和分级分类 5）在数据源头保护数据 6）开展持续的权限治理 7）可在现有环境中部署 5. 示例：Satori数据访问平台 6. 总结：数据安全新方法与零信任的关系 1）数据安全新方法彻底贯彻了零信任思想 2）零信任是以数据为中心的安全架构 3）美国国防部将零信任应用于数据安全 4）数据访问控制与零信任的区别 01 背景：数据驱动战略与DataSecOps 1）数据驱动战略与数据驱动型组织 数据是一切的中心。数据的创建、存储、使用，是形成竞争优势和创新的引擎。由于云数据 存储和访问技术的飞跃，在很大程度上使数据成为一种战略资产。 数据驱动战略已经彻底改变了企业的运营方式，并为那些正确利用它的人带来了惊人的增 长。实施数据驱动战略，成为帮助企业进入数字化转型下一阶段的关键。 数据驱动型组织，即坚持数据驱动战略的组织，尤其是金融科技和健康科技等受监管行业的 组织，开始越来越关注数据湖和数据仓库中日益增长的安全性和合规性挑战。 图1-数据驱动型组织的竞争优势 2）数据民主化与DataOps 数据民主化。为了让组织充分利用数据，数据必须是可发现和可访问的。数据民主化意味着 更多的人能够访问更多的数据。但直到最近，人们还认为数据最好是分开保存，只有少数人 能够很好地理解数据并使用它。为了从这些过时的方法过渡到现代方法，人们必须提升对数 据的认知。 DataOps 是 数 据 民 主 化 的 基 石 。DevOps 致 力 于 成 为 现 代 应 用 程 序 开 发 的 更 好 框 架 。 而 DataOps用于描述在运营动态数据环境的组织中处理数据的方式。 图2-DevOps与DataOps 3）数据安全与DataSecOps 组织正在生成、存储、分析前所未有的数据量，同时还需要比以往更广泛、更高效的数据访 问。然而，更多的数据、更多的访问、更多的监管，代表着日益增长的安全、隐私、合规风 险。 正 如 DevOps 向 DevSecOps 的 演 进 ， DataOps 向 DataSecOps 的 演 进 ， 也 是 一 种 必 然 。 DataSecOps 是组织将安全视为其数据运营的一部分的方式的演变。DataSecOps是一种敏 捷、整体、安全的嵌入式方法，用于协调不断变化的数据及其用户，旨在提供快速的数据转 化价值，同时保持数据的私密性、安全性和良好的治理。DataSecOps应该被视为数据民主 化进程的推动者。 数据驱动战略呼唤新一代数据安全方案。我们需要一种新的方法，它依赖于完整的数据流可 见性、策略执行、丰富的数据访问上下文，并且可以扩展以满足当今和未来的需求。 02 数据安全保护为什么这么难 1）数据的规模化治理难题 云让企业能够比以往更轻松地构建大型计算和存储基础设施。很多情况下，云存储运营的新 定价模型基于查询/访问而非存储量。这直接导致，几乎所有拥有在线业务的公司，都以一条 阻力最小的路径，快速建立了一个PB级数据存储。 而这又进一步导致，这些平台中的数据保护和数据治理，必须以大规模方式进行。而数据治 理的所有一切，从发现和分级分类，到访问控制和安全，再到策略和审计，都需要重新发 明，以应对存储的海量数据及其生成和使用的速度。 2）为什么数据分级分类很难 敏感数据分级分类的重要性毋庸置疑，但数据分级分类真地很难： 数据是一个移动的目标。在许多情况下，数据不是先生成再存储，而是从不同的位置获取， 在这些位置它经历了ETL/ELT过程。由于ETL/ELT过程，数据通常是一个移动目标，在这些过 程中，数据被移动，以富化、匿名化或经历其他转换。这些移动可能发生在同一平台内，也 可能跨越不同的公共云或数据平台，使得跟踪起来非常复杂。 数据本身正在发生变化。当数据从一个地方移动到另一个地方时，它不仅是在旅行，而且自 身还会发生变化。您的表中原本没有任何敏感数据，但可能有人不小心添加了敏感个人信 息。 对半结构化数据进行分级分类是一项挑战。半结构化数据（例如存储在 JSON 文件或数据仓 库 或 数 据 湖 中 其 他 半 结 构 化 数 据 对 象 中 的 数 据 ） 会 增 加 数 据 分级分 类 的 复 杂 性 。 例 如 ， Snowflake表中名为 event_data 的列，可能包含不同类型的半结构化对象，并且在某些情 况下存在包含敏感数据的条目。对于半结构化数据，遍历数据以发现敏感数据变得更加困 难。 3）仅凭日志是远远不够的 日志通常非常重要。数据访问日志极其重要，因为它们可以阐明数据访问情况。数据访问日 志是由数据库引擎生成的日志，提供了有关数据库事务的信息。 虽然数据访问日志确实存在、也非常有用，但真正理解它们非常具有挑战性： 标准不一：数据访问日志一般没有标准化，粒度级别也各不相同。各种日志经常记录在不同 的数据存储中，而从不同的数据存储收集日志，有时需要大量工作来统一日志。 设置不明：数据访问日志并不总是“默认开启”，在某些情况下，它们必须进行设置和配置，包 括通过设置特定的ETL流程来“照料”它们。 信息不足：有时日志并不包含您以为该有的信息，例如，有时数据访问用户实际上并不是数 据消费者，而是分析框架使用的通用账户。找出是谁发送了查询，可能需要关联来自其他系 统的日志，这非常复杂甚至不可能实现。此外，在大多数情况下，数据访问日志不包含提取 数据的实际位置（数据库、schema、表），想从查询中了解此信息是一项艰巨任务，因为一 些数据消费者并没有运行“SELECT * FROM table”，而是一个 1000 行的分析查询，其中包 括多个子查询。 缺乏上下文：通常缺乏理解这些日志所需的关键上下文，如关于用户访问数据的信息、关于 被访问数据的性质的信息、关于什么被认为是正常的和符合组织策略的信息。这些信息通常 散布各处，并跨越各种与日志不相关的工具。 这些问题导致的结果是：仅有本机日志是远远不够的，组织仍然缺乏数据可见性。 4）数据存取方式的演变 过去，企业依靠精通SQL的分析师，直接从数据库查询信息。他们使用客户机-服务器接口直 接访问数据库，并使用数据库的用户管理系统验证其访问权限。 后来，随着组织内部对数据需求的增长，人们发明了更复杂的客户机，以简化分析师的工 作。这在很大程度上需要使用GUI（图形用户界面）抽象出SQL和数据库连接。 再后来，随着这些客户机在组织中的应用越来越广泛，通过将其部署为Web应用程序来进行 大规模供应变得越来越容易。 再后来，随着企业迁移到云，这些部署转变为即服务交付。 导致的改变。从少数单用户桌面客户端访问组织中数据，转变为大量用户使用基于Web的应 用程序甚至移动应用程序，这使得组织更难以使用数据库的用户管理系统为用户提供服务。 组织将身份验证转向应用程序，并开始使用服务帐户（service accounts）将应用程序连接 到数据库，而不是同时在数据库和应用程序两层中为每个用户调配资源。 数据访问归因问题。数据访问由不同的工具驱动，包括自主开发的应用程序、BI工具、命令 行界面、脚本。在大多数情况下，必须创建服务账户才能授予和管理这些工具的数据访问权 限。这时，连接到数据存储的用户是为工具本身配置的账户，而不是工具背后的实际员工。 虽然从用户管理的角度来看很方便，但这意味着数据访问不能归因于驱动它的真实用户。 5）难以设置的访问权限 在许多组织中，数据和分析团队被授予非常广泛的数据访问权限。虽然广泛的数据访问对于 企业的创新和成功必不可少，但由于缺乏访问权限控制，因此很难降低数据泄露的风险。 一个常见的情况是服务帐户的特权过高。服务帐户（service accounts）是应用程序用来代 表其用户访问资源的一种特殊类型的身份。服务帐户不代表任何特定用户，它代表需要访问 资源的任何用户。对于数据存储，即数据库、数据仓库、数据湖、其他系统（如缓存、搜索 引擎、消息队列等），这意味着服务帐户通常可以访问数据存储中的所有数据。这将导致两 个重大后果： 首先，数据访问的安全控制已从数据存储层转移到应用层，这意味着构建、维护、监控 安全控制的责任，已从安全团队转移到工程团队。 其次，数据已经变得更加暴露——要么是应用程序中的安全漏洞（如安全控制或SQL注 入中的漏洞），要么是使用服务帐户的凭据并直接连接到数据存储，从而完全绕过应用 程序。 过度放纵的反面则是过度限制数据访问。这当然违背了数据驱动战略的目标，所以不能被视 为合适的替代方案。 6）新法规要求组织重新思考其数据战略 随着数字转型，企业正在走向在线，每天生成、存储、处理和交换的个人信息数量惊人。出 于对个人和一般敏感信息的安全和隐私的担忧，许多司法管辖区引入了新的法规，如国内的 《数据安全法》和《个人信息保护法》、欧盟的GDPR、美国加利福尼亚的CCPA。 随着大量罚款和客户对其数据拥有的权利的明确定义，以及组织在收集、存储、使用这些数 据时必须遵守的要求，这些新法规极大地改变了组织对数据安全、隐私、治理的思考