本文主要谈谈个人对以数据为中心构建数据安全的理解,目前多数的安全厂商谈数据安全,言必称以数据为中心构建数据安全体系,但是其对于以数据为中心还是停留在传统的网络安全的视角,下图就是目前多数厂商强调的以数据为中心的拓扑图:
其核心是强调数据位于整个防御体系的中心,从数据的视角往外看,有数据库、操作系统、应用、硬件等等,想表达的外部的攻击突破的重重边界之后才能触达数据,本质上还是传统网络安全纵深防御的理念。
笔者认为的以数据为中心是站在数据的维度来看,主要包含两个维度;
一、第一个维度,是站在数据的视角往外看,数据访问的过程,当一个数据被访问时,其由内之外分别是载体、方法、逻辑、资产访问拓扑、身份。
1、载体:数据不可能虚空存在,那么他必然有一个载体,这个载体有可能是数据库、文档、PDF、大数据平台;
2、方法:访问某个数据命令,比如针对数据库中数据SQL语句,比如Select /Update等等, Windows操作系统操作命令,比如:copy/dir/ del等
3、上下文逻辑:访问某个数据的命令上下文逻辑关系,是否符合访问这个数据正常的逻辑,比如我们SQL注入攻击,就是不允许的运行逻辑
4、资产访问拓扑:身份访问业务系统数据,业务系统之间数据访问整体复杂的拓扑关系;
5、身份:具体访问资产的身份,身份包含了多个要素,入:人、终端、账号、应用等等,共同构成了身体体系;
上述是站在数据的视角来看数据本身,强调的数据本身,而不是操作系统、软硬件等等,于此对应的就是针对这些行为的数据安全管控手段,下面以产品维度来具象化谈载体、方法等安全,如:
1、载体安全:文档加密 本质上就是在载体维度保护数据内容安全
2、方法安全:数据库准入 本质上是控制一些高危风险的数据操作来保护数据,如:Drop语句;
3、逻辑安全:WAF、数据库防火墙、API网关 这些产品都会针对一些SQL注入行为、API的注入行为进行监测和管控,是实现对数据的保护
4、资产访问拓扑安全:这里主要是系统之间的访问管控、人员对于系统数据访问管控;
5、身份安全:传统网络安全的范畴,主要是针对身份的管控,实现身份的全生命周期管理;
那么我们在构建数据安全体系的时候,可以围绕前文说的载体、方法、逻辑、资产拓扑、身份进行构建。
二、第二个维度:以资产为中心的第二维度是从数据流动的视角来看,前文提及数据在安全的维度有流动性的特征,那么以数据为中心就要求,当数据流动到任何位置,安全防护就应该覆盖到该位置,但是从落地的视角来看,其困难重重,数据本身是为业务服务的,基于业务的需求我们需要看到数据、互相调用数据,最终数据流动至各个业务系统,每个业务系统又有不同的访问人员,前文提及的数据安全的另一个特性:易获得性,因此相比较网络安全,数据安全风险的暴露面是无限大,任何数据会从有序、无序最终到失控,这个是数据最终的宿命。从建设的角度来看,很难做到当数据流动到任何位置,安全防护就应该覆盖到该位置,那么回归本质看问题,我们需要做到的优先解决数据访问量最多的场景优先治理,比如现在API安全产品是数据安全防护的重点之一,核心是通过API接口访问数据是目前数据访问量最多的场景。
以上简单阐述的什么是以数据为中心,这和目前业界强调的以数据为中心存在较大的差异性,也是笔者的一些个人思考,后一篇文章会谈谈分类分级。