隨著數(shù)字化轉(zhuǎn)型進(jìn)入深水區(qū)，幾乎所有企業(yè)的數(shù)據(jù)管理方式都在發(fā)生轉(zhuǎn)變，從基于網(wǎng)絡(luò)的數(shù)據(jù)中心管理數(shù)據(jù)轉(zhuǎn)向?qū)⑵浯鎯?chǔ)在云中，也因此建立起云數(shù)據(jù)安全策略來保護(hù)云環(huán)境中的這些數(shù)據(jù)。隨著越來越多的數(shù)據(jù)遷移到云端，安全策略必須要能夠適應(yīng)廣泛的數(shù)據(jù)存儲(chǔ)、位置、用途和環(huán)境，包括公共云、私有云、混合基礎(chǔ)架構(gòu)和多云環(huán)境。

　　可以理解，企業(yè)內(nèi)部的安全團(tuán)隊(duì)希望在實(shí)施這些安全策略時(shí)檢查所有相關(guān)的復(fù)選框，以確保全面的覆蓋。然而，在這個(gè)過程中，非常容易滋生企業(yè)管理者對(duì)安全團(tuán)隊(duì)最常見的不滿——安全在限制和阻礙業(yè)務(wù)創(chuàng)新。

　　以下是安全團(tuán)隊(duì)在定義和實(shí)施云數(shù)據(jù)安全策略時(shí)應(yīng)注意和避免的幾個(gè)陷阱：

　　趕不上趟的手動(dòng)文檔流程

　　開發(fā)團(tuán)隊(duì)利用云中數(shù)據(jù)的優(yōu)勢(shì)來生成越來越多的云數(shù)據(jù)存儲(chǔ)和工具，他們會(huì)通過不斷地試錯(cuò)來保持這種創(chuàng)新的步調(diào)，與此同時(shí)，這使得安全性很難同步跟上這些新的或經(jīng)過重大修改的數(shù)據(jù)存儲(chǔ)的過時(shí)的手動(dòng)文檔。

　　如果安全團(tuán)隊(duì)試圖限制這些嘗試過程，開發(fā)團(tuán)隊(duì)就不太可能順暢地探索最前沿的新興技術(shù)，那么企業(yè)的業(yè)務(wù)創(chuàng)新就會(huì)受阻。更令人擔(dān)憂的情況是，開發(fā)團(tuán)隊(duì)可以通過使用非標(biāo)準(zhǔn)和未經(jīng)批準(zhǔn)的解決方案，就像刷信用卡一樣輕松地繞過安全性?，F(xiàn)有的手動(dòng)流程只會(huì)記錄既定的內(nèi)容，這是一個(gè)日益嚴(yán)峻的挑戰(zhàn)。

　　缺失的數(shù)據(jù)跟蹤

　　一些安全人員可能認(rèn)為這第一個(gè)坑與自家企業(yè)無關(guān)，因?yàn)楹芏嗥髽I(yè)都允許數(shù)據(jù)在云環(huán)境中不受限制地自由移動(dòng)或修改。

　　雖然有利于業(yè)務(wù)開展，但這種方式忽略了數(shù)據(jù)的指數(shù)級(jí)增長(zhǎng)態(tài)勢(shì)，以及高頻的數(shù)據(jù)跨域存儲(chǔ)和傳播趨勢(shì)，這就導(dǎo)致幾乎無法定位數(shù)據(jù)所在的位置。這種缺乏可見性和跟蹤控制性的局面將不可避免地導(dǎo)致在此過程中丟失或?yàn)E用敏感的個(gè)人或客戶數(shù)據(jù)。數(shù)據(jù)已經(jīng)成為重要的生產(chǎn)資料，數(shù)據(jù)變形、越權(quán)使用、數(shù)據(jù)泄露將導(dǎo)致嚴(yán)重的后果。

　　數(shù)據(jù)訪問邊界枷鎖

　　管理不同人員對(duì)數(shù)據(jù)的訪問對(duì)于確保數(shù)據(jù)不被濫用或丟失至關(guān)重要，負(fù)責(zé)業(yè)務(wù)實(shí)施和業(yè)務(wù)創(chuàng)新的團(tuán)隊(duì)都需要經(jīng)常訪問數(shù)據(jù)，如果圍繞數(shù)據(jù)使用創(chuàng)建嚴(yán)格的訪問控制策略和邊界在本質(zhì)上會(huì)形成數(shù)據(jù)孤島，再次限制創(chuàng)新。

　　安全團(tuán)隊(duì)?wèi)?yīng)該將這些訪問策略視為支持協(xié)作業(yè)務(wù)創(chuàng)新的機(jī)會(huì)，而不是因?yàn)楹ε率?duì)數(shù)據(jù)的控制而阻礙創(chuàng)新。如果訪問管理不是高度自動(dòng)化、自適應(yīng)，并且能夠根據(jù)需要快速調(diào)整的，那么避免阻礙業(yè)務(wù)流程的唯一方法是廣泛授予訪問權(quán)限，從而將企業(yè)置于風(fēng)險(xiǎn)之中。換句話說，發(fā)展和安全必須同步抓，不能顧此失彼。

　　沒有存儲(chǔ)足夠的數(shù)據(jù)

　　試圖過度控制數(shù)據(jù)訪問和使用的企業(yè)不僅不愿意提供對(duì)現(xiàn)有數(shù)據(jù)的訪問權(quán)限，而且如果沒有他們認(rèn)為的新數(shù)據(jù)，還會(huì)限制他們認(rèn)為是新的“不必要”數(shù)據(jù)的存儲(chǔ)。正當(dāng)?shù)睦碛?。同樣，這種限制性的數(shù)據(jù)安全策略會(huì)把業(yè)務(wù)創(chuàng)新機(jī)會(huì)和安全風(fēng)險(xiǎn)一起拋棄。

　　安全團(tuán)隊(duì)必須考慮到，對(duì)企業(yè)有益的新趨勢(shì)、最佳實(shí)踐或創(chuàng)新想法可能“隱藏”在他們禁止的數(shù)據(jù)中。如果有適當(dāng)?shù)牧鞒淘谛枰獣r(shí)刪除此類數(shù)據(jù)，則無需進(jìn)行此類限制。安全團(tuán)隊(duì)需要擺脫傳統(tǒng)的 IT 安全管控思維，因?yàn)橛袃r(jià)值的安全團(tuán)隊(duì)?wèi)?yīng)該與開發(fā)團(tuán)隊(duì)合作起來，成為業(yè)務(wù)的推手和賦能方。

　　沒有使用正確的數(shù)據(jù)存儲(chǔ)技術(shù)

　　隨著每一項(xiàng)新技術(shù)投入使用，數(shù)據(jù)存儲(chǔ)技術(shù)可能需要特定的熟練程度。過多的安全解決方案可能會(huì)導(dǎo)致運(yùn)營(yíng)混亂，并難以確定存儲(chǔ)在其中的數(shù)據(jù)是否安全，從而導(dǎo)致安全團(tuán)隊(duì)放棄添加新技術(shù)。這種保守的方法可能會(huì)再次阻礙創(chuàng)新，或者更糟——導(dǎo)致團(tuán)隊(duì)使用錯(cuò)誤的方法和流程。

　　隨著數(shù)據(jù)存儲(chǔ)技術(shù)與業(yè)務(wù)用例一起不斷發(fā)展，安全團(tuán)隊(duì)必須跟上他們?cè)谄髽I(yè)內(nèi)部的發(fā)展進(jìn)度，能夠可靠地洞察組織安全狀況的工具與存儲(chǔ)無關(guān)，可提供控制符合策略和標(biāo)準(zhǔn)的安全保證。

　　無故刪除數(shù)據(jù)

　　盡快從云基礎(chǔ)設(shè)施中刪除數(shù)據(jù)已成為安全團(tuán)隊(duì)的一種常見做法，因?yàn)樗麄冊(cè)絹碓綋?dān)心失去對(duì)數(shù)據(jù)的跟蹤或控制權(quán)。這是另一種短視的創(chuàng)新方法，因?yàn)樾屡d技術(shù)可能需要這些已刪除的數(shù)據(jù)。

　　如果對(duì)在不刪除現(xiàn)有數(shù)據(jù)的情況下控制現(xiàn)有數(shù)據(jù)的能力沒有足夠的信心，包括確保數(shù)據(jù)沒有超過允許的保留期，安全團(tuán)隊(duì)將繼續(xù)限制創(chuàng)新進(jìn)展。使用正確的、適合的工具，安全團(tuán)隊(duì)將深入了解數(shù)據(jù)的位置和使用情況，并能夠就其保留做出明智的決策。

　　探索新的數(shù)據(jù)安全策略

　　可以看到，要解決這些陷阱和差距，需要安全團(tuán)隊(duì)在業(yè)務(wù)發(fā)展和安全管理之間找到適當(dāng)?shù)钠胶?。“?chuàng)新和安全是矛盾的”的論調(diào)已經(jīng)過時(shí)，企業(yè)既需要保持創(chuàng)新以在數(shù)字化轉(zhuǎn)型中完成業(yè)務(wù)升級(jí)，增強(qiáng)競(jìng)爭(zhēng)力，同時(shí)也需要保障數(shù)據(jù)的安全訪問、安全使用、安全共享。

　　總結(jié)而言，以上多條安全策略的陷阱都在于兩點(diǎn)，一是傳統(tǒng)的安全邊界防護(hù)思維不適應(yīng)云環(huán)境中數(shù)據(jù)快速產(chǎn)生、傳播的特性，二是訪問、使用、存儲(chǔ)的管理機(jī)制缺乏對(duì)數(shù)據(jù)的完整可見和持續(xù)跟蹤，因此無法制定有效且恰如其分的安全措施。

　　因此，就如同DevOps流行之后，將安全嵌入其中形成DevSecOps，為開發(fā)閉環(huán)創(chuàng)造了良好的安全性——在數(shù)字化時(shí)代的DataOps流程中，將安全視為DataOps的一部分，以敏捷、整體的方式在其嵌入安全屬性，DataSecOps將用于控制和協(xié)調(diào)不斷變化的數(shù)據(jù)及其用戶，讓數(shù)據(jù)能夠更快捷、更安全地創(chuàng)造提供價(jià)值。

　　DataSecOps的核心是數(shù)據(jù)安全的左移，在數(shù)據(jù)運(yùn)營(yíng)的第一現(xiàn)場(chǎng)持續(xù)地對(duì)數(shù)據(jù)處理和使用全流程進(jìn)行追蹤，這樣才能監(jiān)測(cè)到數(shù)據(jù)經(jīng)變形處理流轉(zhuǎn)的整個(gè)過程，直面數(shù)據(jù)的多態(tài)性和多副本性，發(fā)掘數(shù)據(jù)風(fēng)險(xiǎn)的真正源頭。

　　目前，國(guó)內(nèi)外已有DataSecOps的相關(guān)應(yīng)用實(shí)踐。國(guó)際上，諸如BigID、Satori等廠商已推出相關(guān)產(chǎn)品，并獲得了成功市場(chǎng)驗(yàn)證。國(guó)內(nèi)而言，數(shù)據(jù)安全廠商數(shù)安行作為國(guó)內(nèi)DataSecOps的首倡者，建立有數(shù)據(jù)運(yùn)營(yíng)安全平臺(tái)，以零信任數(shù)據(jù)安全架構(gòu)為基礎(chǔ)，以人工智能技術(shù)為核心驅(qū)動(dòng)，對(duì)數(shù)據(jù)業(yè)務(wù)全流程進(jìn)行無改造映射，以數(shù)據(jù)為中心，向頻繁接受數(shù)據(jù)的業(yè)務(wù)和用戶靠近，對(duì)數(shù)據(jù)運(yùn)營(yíng)過程中的數(shù)據(jù)進(jìn)行自動(dòng)的梳理，全流程跟蹤數(shù)據(jù)的形態(tài)變化和運(yùn)行軌跡，持續(xù)評(píng)估數(shù)據(jù)在業(yè)務(wù)系統(tǒng)計(jì)算終端、服務(wù)器接口等處的運(yùn)行風(fēng)險(xiǎn)?；陲L(fēng)險(xiǎn)評(píng)估結(jié)果，對(duì)不同數(shù)據(jù)角色和風(fēng)險(xiǎn)接受程度進(jìn)行自適應(yīng)的細(xì)粒度的防護(hù)策略。

　　在未來，云數(shù)據(jù)的產(chǎn)生量與使用量只會(huì)繼續(xù)增加，數(shù)據(jù)的應(yīng)用場(chǎng)景也會(huì)變得更加復(fù)雜。數(shù)據(jù)安全與數(shù)據(jù)開發(fā)利用是同步建設(shè)、同步發(fā)展的伴生關(guān)系，現(xiàn)階段的數(shù)據(jù)安全更多將會(huì)向平臺(tái)型發(fā)展，將數(shù)據(jù)進(jìn)行完整統(tǒng)一的映射，形成統(tǒng)一的梳理識(shí)別、統(tǒng)一的數(shù)據(jù)身份、統(tǒng)一的管控策略，在自動(dòng)化的監(jiān)測(cè)下，實(shí)現(xiàn)數(shù)據(jù)安全的最佳保障。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<