我們已經(jīng)生活在基于云的數(shù)字時(shí)代，那些能夠從數(shù)據(jù)中獲取最大價(jià)值的組織將成為最后的贏家。在數(shù)字化轉(zhuǎn)型和數(shù)據(jù)民主化的發(fā)展背景下，企業(yè)開展數(shù)據(jù)安全保護(hù)也面臨諸多新挑戰(zhàn)：

• 首先，不斷復(fù)雜的云計(jì)算基礎(chǔ)設(shè)施架構(gòu)很容易讓數(shù)據(jù)安全和治理專業(yè)人員覺得困擾，他們需要處理多個(gè)配置各異的云計(jì)算平臺(tái)，而多云基礎(chǔ)設(shè)施建設(shè)還在不斷發(fā)展，這讓云計(jì)算的應(yīng)用管理具有很大挑戰(zhàn)性；
• 其次，開發(fā)人員和業(yè)務(wù)人員經(jīng)常因?yàn)楣ぷ髟颍诙虝r(shí)間內(nèi)創(chuàng)建新的數(shù)據(jù)存儲(chǔ)系統(tǒng)，卻沒有經(jīng)過規(guī)范的授權(quán)批準(zhǔn)。因此，企業(yè)組織會(huì)大量產(chǎn)生出大量難以監(jiān)控的“影子數(shù)據(jù)”；
• 此外，隨著云計(jì)算的廣泛應(yīng)用，企業(yè)組織的傳統(tǒng)安全邊界已不復(fù)存在。網(wǎng)絡(luò)上的任何人都有可能以合規(guī)或違規(guī)的方式訪問數(shù)據(jù)，這使得企業(yè)的敏感數(shù)據(jù)更加容易被非法攻擊者竊取。

以上因素共同構(gòu)成了一個(gè)新的“數(shù)據(jù)安全攻擊面”，這是一種新的威脅途徑。為了應(yīng)對(duì)挑戰(zhàn)，研究機(jī)構(gòu)Gartner在其發(fā)布的《2022年數(shù)據(jù)安全技術(shù)成熟度曲線》報(bào)告中，提出了一種新的數(shù)據(jù)安全方案——數(shù)據(jù)安全態(tài)勢(shì)管理（DSPM）。根據(jù)Gartner給出的定義，DSPM旨在為企業(yè)組織提供更加全面的數(shù)據(jù)安全可見性，以便深入了解敏感數(shù)據(jù)的位置、訪問權(quán)限、如何被利用以及如何存儲(chǔ)等安全狀況態(tài)勢(shì)信息。DSPM的主要功能包括：數(shù)據(jù)安全策略實(shí)施、數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)分類、數(shù)據(jù)泄漏保護(hù)、數(shù)據(jù)訪問監(jiān)控、數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)風(fēng)險(xiǎn)補(bǔ)救、數(shù)據(jù)風(fēng)險(xiǎn)排序、數(shù)據(jù)所有者標(biāo)識(shí)、數(shù)據(jù)合規(guī)性報(bào)告、數(shù)據(jù)流映射以及數(shù)據(jù)沿襲識(shí)別等。

如果將DSPM與CSPM（云安全態(tài)勢(shì)管理）進(jìn)行比較，我們可以發(fā)現(xiàn)，CSPM的主要功能是保護(hù)企業(yè)云上應(yīng)用和數(shù)據(jù)免受未經(jīng)授權(quán)的訪問，但無法為組織提供有關(guān)數(shù)據(jù)的詳細(xì)上下文信息，而DSPM解決方案則聚焦于云上數(shù)據(jù)的流通和變化，重點(diǎn)幫助組織解決如下問題：

• 幫助企業(yè)識(shí)別本地和云端的所有數(shù)據(jù)資產(chǎn)；
• 幫助企業(yè)定位數(shù)據(jù)位于何處；
• 幫助企業(yè)了解誰可以訪問敏感數(shù)據(jù)，訪問方式是什么；
• 幫助企業(yè)了解應(yīng)該遵從的數(shù)據(jù)監(jiān)管政策；
• 幫助企業(yè)響應(yīng)和處置數(shù)據(jù)安全事件。

完善的DSPM方案應(yīng)該具備數(shù)據(jù)發(fā)現(xiàn)、優(yōu)先級(jí)評(píng)估、安全防護(hù)和持續(xù)監(jiān)控等關(guān)鍵要素，這樣才能識(shí)別所有已知和未知的數(shù)據(jù)，并根據(jù)數(shù)據(jù)量、暴露情況和安全態(tài)勢(shì)確定安全隱患的風(fēng)險(xiǎn)級(jí)別，提出風(fēng)險(xiǎn)警報(bào)和補(bǔ)救指導(dǎo)。因此，企業(yè)組織要做好數(shù)據(jù)安全態(tài)勢(shì)管理工作并不是件很容易的事情，而遵循以下最佳實(shí)踐，可以幫助企業(yè)從DSPM項(xiàng)目建設(shè)中獲取更多好處。

01建立數(shù)據(jù)資產(chǎn)目錄

DSPM是一種以數(shù)據(jù)為中心的數(shù)據(jù)治理和安全防護(hù)方法。因此，組織首先有必要發(fā)現(xiàn)并登記所有的數(shù)據(jù)資產(chǎn)信息。擁有原生發(fā)現(xiàn)功能的云服務(wù)商只能識(shí)別正規(guī)的云原生資產(chǎn)，但是識(shí)別率往往不夠全面，比如難以識(shí)別影子數(shù)據(jù)資產(chǎn)。這些實(shí)例或工作負(fù)載通常是為備份或?qū)嶒?yàn)任務(wù)生成重復(fù)副本的產(chǎn)物。作為DSPM策略的一個(gè)核心部分，為所有數(shù)據(jù)資產(chǎn)整理出一套完備的目錄至關(guān)重要，無論資產(chǎn)是在本地，還是在公共云、私有云、混合云或者SaaS應(yīng)用程序上。

02做好數(shù)據(jù)環(huán)境分析

現(xiàn)代企業(yè)組織每年都要處理PB級(jí)的海量數(shù)據(jù)。這些數(shù)據(jù)會(huì)以不同的格式保存在整個(gè)企業(yè)數(shù)字化環(huán)境中，包括結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。發(fā)現(xiàn)和分類如此大量的數(shù)據(jù)對(duì)企業(yè)而言是個(gè)巨大的挑戰(zhàn)。組織應(yīng)該利用人工智能/機(jī)器學(xué)習(xí)技術(shù)（比如NLP），以準(zhǔn)確發(fā)現(xiàn)和分類敏感數(shù)據(jù)，并且更深入地了解其數(shù)據(jù)使用環(huán)境。

03將各類安全解決方案有效協(xié)同

組織必須將DSPM解決方案與已有的CSPM、CWPP、SOC、SEIM等方案有效整合，統(tǒng)一運(yùn)營(yíng)使用。雖然CSPM等解決方案缺乏對(duì)數(shù)據(jù)理解能力，但可以彌補(bǔ)DSPM解決方案難以具備的防護(hù)能力。如果充分利用DSPM提供的敏感數(shù)據(jù)洞察力，組織可以根據(jù)數(shù)據(jù)敏感度來確定資產(chǎn)的優(yōu)先級(jí)，以解決現(xiàn)有防護(hù)體系中的不足。這不僅使組織能夠緩解誤報(bào)引起的警報(bào)疲勞，還可以更有效地保護(hù)敏感系統(tǒng)。

04用零信任框架優(yōu)化訪問

未經(jīng)授權(quán)的訪問是導(dǎo)致企業(yè)數(shù)據(jù)泄露的主要原因之一。組織必須盡快實(shí)現(xiàn)基于最低權(quán)限訪問模型的零信任框架。對(duì)于安全團(tuán)隊(duì)而言，可以充分分析數(shù)據(jù)訪問相關(guān)信息，比如訪問敏感數(shù)據(jù)的身份、訪問者的地理位置及其訪問這些數(shù)據(jù)的頻次。這些信息可以幫助組織更好地優(yōu)化其訪問策略和控制，并保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的訪問。

05加強(qiáng)對(duì)流數(shù)據(jù)的監(jiān)管

在多云時(shí)代，越來越多的組織選擇使用Kafka和Confluent之類的流數(shù)據(jù)平臺(tái)。這些平臺(tái)允許組織實(shí)時(shí)處理和分析數(shù)據(jù)，以便及時(shí)作出決策。然而組織在管理流數(shù)據(jù)時(shí)會(huì)遇到一些挑戰(zhàn)，比如未經(jīng)授權(quán)訪問和數(shù)據(jù)蔓延等問題。組織必須深入了解經(jīng)由流數(shù)據(jù)平臺(tái)傳輸?shù)拿舾袛?shù)據(jù)，并利用這些信息建立訪問控制措施，以防止數(shù)據(jù)蔓延和未經(jīng)授權(quán)的訪問。

06做好隱私合規(guī)分析

遵守?cái)?shù)據(jù)隱私法并不容易，因?yàn)閿?shù)據(jù)正在失去控制，分散到眾多的數(shù)據(jù)系統(tǒng)和存儲(chǔ)地點(diǎn)。由于數(shù)據(jù)急劇增加，很難將數(shù)據(jù)與個(gè)人身份準(zhǔn)確對(duì)應(yīng)起來。由于缺乏數(shù)據(jù)的上下文信息，企業(yè)往往很難理解與單個(gè)數(shù)據(jù)集相關(guān)的合規(guī)策略。但作為DSPM策略的一個(gè)關(guān)鍵部分，組織必須將數(shù)據(jù)治理工作與監(jiān)管政策要求嚴(yán)格對(duì)應(yīng)起來，以便有效地履行隱私義務(wù)，比如數(shù)據(jù)主體權(quán)利的實(shí)現(xiàn)和跨境數(shù)據(jù)傳輸?shù)取?/p>

參考鏈接：https://www.networkcomputing.com/data-centers/6-best-practices-data-security-posture-management-dspm