freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

数据安全系列十:也谈以数据为中心构建安全体系
2024-09-27 17:40:28
所属地 江西省

 本文主要谈谈个人对以数据为中心构建数据安全的理解,目前多数的安全厂商谈数据安全,言必称以数据为中心构建数据安全体系,但是其对于以数据为中心还是停留在传统的网络安全的视角,下图就是目前多数厂商强调的以数据为中心的拓扑图:

1727429709_66f67c4d20593dfa9987d.png!small

其核心是强调数据位于整个防御体系的中心,从数据的视角往外看,有数据库、操作系统、应用、硬件等等,想表达的外部的攻击突破的重重边界之后才能触达数据,本质上还是传统网络安全纵深防御的理念。

笔者认为的以数据为中心是站在数据的维度来看,主要包含两个维度;

一、第一个维度,是站在数据的视角往外看,数据访问的过程,当一个数据被访问时,其由内之外分别是载体、方法、逻辑、资产访问拓扑、身份。

1、载体:数据不可能虚空存在,那么他必然有一个载体,这个载体有可能是数据库、文档、PDF、大数据平台;

2、方法:访问某个数据命令,比如针对数据库中数据SQL语句,比如Select /Update等等,  Windows操作系统操作命令,比如:copy/dir/ del等

3、上下文逻辑:访问某个数据的命令上下文逻辑关系,是否符合访问这个数据正常的逻辑,比如我们SQL注入攻击,就是不允许的运行逻辑

4、资产访问拓扑:身份访问业务系统数据,业务系统之间数据访问整体复杂的拓扑关系;

5、身份:具体访问资产的身份,身份包含了多个要素,入:人、终端、账号、应用等等,共同构成了身体体系;

     上述是站在数据的视角来看数据本身,强调的数据本身,而不是操作系统、软硬件等等,于此对应的就是针对这些行为的数据安全管控手段,下面以产品维度来具象化谈载体、方法等安全,如:

1、载体安全:文档加密 本质上就是在载体维度保护数据内容安全

2、方法安全:数据库准入  本质上是控制一些高危风险的数据操作来保护数据,如:Drop语句;

3、逻辑安全:WAF、数据库防火墙、API网关  这些产品都会针对一些SQL注入行为、API的注入行为进行监测和管控,是实现对数据的保护

4、资产访问拓扑安全:这里主要是系统之间的访问管控、人员对于系统数据访问管控;

5、身份安全:传统网络安全的范畴,主要是针对身份的管控,实现身份的全生命周期管理;

那么我们在构建数据安全体系的时候,可以围绕前文说的载体、方法、逻辑、资产拓扑、身份进行构建。

二、第二个维度:以资产为中心的第二维度是从数据流动的视角来看,前文提及数据在安全的维度有流动性的特征,那么以数据为中心就要求,当数据流动到任何位置,安全防护就应该覆盖到该位置,但是从落地的视角来看,其困难重重,数据本身是为业务服务的,基于业务的需求我们需要看到数据、互相调用数据,最终数据流动至各个业务系统,每个业务系统又有不同的访问人员,前文提及的数据安全的另一个特性:易获得性,因此相比较网络安全,数据安全风险的暴露面是无限大,任何数据会从有序、无序最终到失控,这个是数据最终的宿命。从建设的角度来看,很难做到当数据流动到任何位置,安全防护就应该覆盖到该位置,那么回归本质看问题,我们需要做到的优先解决数据访问量最多的场景优先治理,比如现在API安全产品是数据安全防护的重点之一,核心是通过API接口访问数据是目前数据访问量最多的场景。

以上简单阐述的什么是以数据为中心,这和目前业界强调的以数据为中心存在较大的差异性,也是笔者的一些个人思考,后一篇文章会谈谈分类分级。

# 网络安全 # 数据泄露 # 数据安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者