CDSP:獨立的雲資料安全提供商
摘要: 隨著雲端計算的普及,企業上雲已經成為趨勢,隨之而來是上雲後的資料安全保障問題。2017年AWS上儲存的180萬伊利諾伊州選民的資訊被洩露,2018年國內某雲服務商,雲盤故障,導致一使用者三份備份資料離奇丟失,致使該使用者平臺業務全部停運,融資計劃停止,造成了不可挽回...
隨著雲端計算的普及,企業上雲已經成為趨勢,隨之而來是上雲後的資料安全保障問題。2017年AWS上儲存的180萬伊利諾伊州選民的資訊被洩露,2018年國內某雲服務商,雲盤故障,導致一使用者三份備份資料離奇丟失,致使該使用者平臺業務全部停運,融資計劃停止,造成了不可挽回的損失……類似於這樣的安全事件責任到底誰來負責,雲端的資料安全又該由誰來保護?
在我國的法律法規中對於資料運營、所有者有明確的定責:
《網路安全法》21條:網路運營者的則應根據網路安全等級保護制度的要求,履行安全保護義務,保障網路免受干擾、破壞或入侵,防止資料洩漏或被竊取或篡改。
《刑法》修正案286條:“網路服務提供者不履行法律、行政法規規定的資訊網路安全管理義務,經監管部門責令採取改正措施而拒不改正,處三年以下有期徒刑、拘役或者管制,並處或者單處罰金。
等級保護2.0 雲端計算擴充套件要求中對於審計資料的控制,雲服務商和雲服務客戶的資料訪問許可權以及雲端加密資料的密匙管理也都有明確要求。
在一系列的法律法規下,雲服務商也採取了一定的安全防護措施,例如防DDos,入侵檢測,病毒查殺、應用防火牆等。這些防護手段全都是基於傳統的網路安全防護手段,其在資料安全防護方面存在一定的不足,例如對於雲服務商和雲服務客戶的內部人員有意或者無意的資料洩露行為,還有資料洩露後的追責、定責問題。
在這種背景下獨立於雲服務商的資料安全提供商(CDSP:cloud data security provider)應運而生,由於CDSP不與雲服務商發生利益,所以能夠公正地從使用者安全本身出發思考和解決問題;並且CDSP因為其在資料安全防護方面的專業性,更有“資格”與“能力”來解決這一問題。CDSP既是對雲服務商的資料安全防護能力的有力補充,同時又能夠使資料安全掌握在雲服務使用者自己手中。
CDSP能做什麼
安全摸底
通過資料梳理及檢查工具,明晰資料資產狀況,有多少資料,這些資料的活躍度情況怎樣,哪些資料屬於敏感資料需要重點防護;發現資料庫存在哪些漏洞和哪些危險使用情況。從而做到資料安全狀況看得見。
行為管控
通過資料庫防火牆、運維管控、加密、脫敏、水印工具,防止外部黑客攻擊,運維人員違規操作,外發第三方資料,資料檔案丟失等造成的資料洩露以及資料洩露後的定責。讓企業的資料安全狀況管得住。
安全稽核
通過資料訪問稽核及資料安全態勢感知工具,詳細記錄資料訪問行為,發現異常訪問狀況以及資料安全的整體態勢。從而資料安全狀況能夠說得清。