目前的数据安全正在由数据资产安全迈入数据访问和使用安全的时代——针对存储阶段的数据安全防护固然重要,其他阶段的数据安全也需要给予更多的重视;数据泄漏要面对的也不再仅仅是外部的黑客攻击,还包括内部员工、合作伙伴使用和交换数据时的数据失泄密行为。
数据访问安全域主要关注的是数据访问过程中如何实现对数据的安全管控这一需求。以终端安全隔离环境为核心,使用端到端的安全架构,帮助机构解决数据生产、访问、传输、使用、共享、流传等场景中的数据安全管控需求采用的数据安全技术。这里的安全域特指满足数据安全管控要求的通路、处理、存储、访问等独立空间区域。
数据访问安全域方法论
现有的数据访问安全技术方案,其基座来源于“网络安全”,侧重于网络攻防,即通过分析数据安全链路的风险点,在数据可能的流通路径上进行埋点检测,通过数据加解密、软件策略、威胁检测等手段进行保护,传统的 DLP、EDR、终端安全软件等都是基于这种思路实现。这样的实现方式,能够解决大部分数据访问的安全问题,但仍然会存在数据资产盘点不清,数据流通路径不明,数据访问管理不完整等盲区。
基于此,应当以数据访问场景为脉络,建立安全、隔离的数据空间,在该空间中完成数据的访问、传输、共享、删除、追溯等全程管理,以此保护数据资产安全、共享流通以及数据访问的安全。
为保障不可信环境下的数据安全性问题,建立可以安全访问数据的防护区域,需遵从如下理论方法:
- 在不可信的终端环境里构筑起可信的执行环境,为数据提供可信的生存、活动空间。
- 确保数据访问通道的安全性,降低不可信终端与云端通讯传输过程中的安全风险。
- 围绕数据资产展开动态的攻击面发现与管理,并尽量秉持预判预防的原则对潜在的攻击面提前进行收敛。
- 将安全防护维度深入到系统底层,实现细粒度的数据访问安全区域建设。
数据访问安全域的关键能力
结合目前现有的各类技术方案,综合汇总后,我们梳理出数据访问安全域需要三个关键能力:
安全的数据使用终端环境
数据的价值在于使用,数据使用安全的关键在于数据使用环境的安全。数据使用过程中,一定会在访问用户侧落地,如前所述,仅仅以加密等“保险柜” 方式进行保护是不够的,数据的访问、打开数据的应用都存在风险。因此,这里应当以“安全域”的形式建立终端数据使用的可信环境,即数据的存储、访问、应用、管理等行为都限制在安全域内。
首先,安全域环境应该是安全、高度隔离的。安全域应当对域内的网络设备、网络服务等数据交换行为加以隔离,应当具备截屏、录屏、共享屏幕、拍照、打印等防护能力,杜绝通过网络传输、外接设备等方式传出数据。总之, 要能实现隔离环境的独立性、完整性以及不可伪造的唯一性。
其次,数据在安全域间的流转应该是单向、受控的。若要在安全域与非安全域之间进行文档或数据的流转,这个流转只能是单向的,非安全域中的数据可以流向安全域,反之则禁止;
第三,使用、处理数据的软件应该是可信的。对不同类型的数据,如文档、报表、网页、数据库等,应当建立受信软件列表,避免因第三方软件引入的供应链攻击。
最后,安全域环境中的用户、软件、网络等行为均应是持续监控可审计的。应当对数据访问行为中涉及到的用户行为、进程行为、网络行为、文件行为等进行持续的监控与日志记录,从而形成数据访问全流程的安全审计能力,保障数据访问过程的不可否认性。这其中重点要记录安全域中的网络访问、数据外发、数据应用、用户操作等行为日志。这部分能力对安全团队与业务、运维、法务、行政等非安全团队之间的沟通协调具有非常高的价值。
用户针对这部分能力可以重点考察供应商对终端各主流操作系统的底层技术实力。基本原则是,无论是虚拟化技术,还是操作系统的底层驱动技术,能够用相对较少的底层技术实现更多的“安全域”安全管控维度,这样对操作系统的影响最小,而相对覆盖的潜在攻击维度更多。
安全的数据传输通路
第二个关键能力是建立安全的数据传输通路,建议从两个方面重点着手。首先是收敛潜在的攻击暴露面。潜在攻击者的所有攻击发起之前,一定要做的工作是信息收集,摸清攻击目标的所有资产信息,从中寻找最薄弱的环节,这就是攻击暴露面的概念。因此,要想收敛攻击暴露面,最有效的方式是使数据节点与数据传输通路等关键数据资产对外达到“不可见”的状态。
数世咨询建议,除了传统的资产测绘、资产管理、资产下线等方式外,基于零信任理念的 SDP 单包敲门技术是用于攻击暴露面收敛的另一个有效技术实现方式,能够以相对较小的改造成本实现关键数据资产对外的隐蔽不可见状态。
其次,加强数据通路本身的安全。可以通过加密或自定义协议等手段,防止数据流转过程中未授权用户的嗅探、劫持等潜在攻击行为,同时应用零信任框架,对已授权用户的可能的恶意行为,在数据通路中留有判断与管控能力,即对其能够访问的资源进行精细化管理。例如对 IP 地址、网段、域名、端口等用户拟访问的资源通过白名单或系统策略等机制进行最小化、动态访问管控。
要实现这一能力,除了目前较为成熟的加解密外,数世咨询认为,还可以重点从“协议”入手。即在条件允许的情况下,通过网络协议的定制化,将通用协议修改为潜在攻击者难以识别的自定义协议。当然,前提是不能影响用户的正常业务,因此,具体的定制化改造,特别是对用户已有的业务 API 数据接口、VPN 身份认证接口等,要综合评估改造成本与改造收益之间的平衡。
有机的数据治理
首先,不应受限于数据的类型、种类、数量、大小、业务软件等,数据访问安全域要能广泛覆盖如文本、文档、图像、音视频、代码、图纸以及未知文件类型等各种各样的数据类型。
其次,数据访问安全域要具备数据分级治理的能力,即针对不同类型的数据,采取不同的治理策略。例如对于核心敏感数据,限定允许访问数据的应用、用户、来源等,防止数据的越权、越界访问;又如对高风险数据,如邮件附件或安全性未知的网站、文档、软件等,要对这些高风险数据的活动边界进行强隔离,阻止潜在的安全威胁扩散。
第三,基于以上两点,数据的治理要以有机为目标,做到可更新、可持续。从数据的采集、创建开始,数据的元信息(各类标签、管控策略等)要在数据流动过程中,一直跟随着数据一起流动、更新,并进一步实现对数据的复制、修改、删减等操作能追溯到数据的起始来源和流传路径,以此作为数据访问控制策略、交换策略、审计策略的重要参数与决策依据。
数据访问安全域的技术要点
基于上述各个能力,我们认为 “数据访问安全域” 主要用到以下几个技术要点:
虚拟化技术
通过对文件系统、网络设备、进程模块等系统环境的虚拟化,在用户终端上构建出一个独立的安全区域。安全区域与非安全区域的文档、数据、注册表、内存、进程对象、网络对象、PNP 设备等各自均独立、完整运行。
这里的“虚拟化”应当在操作系统内核级实现,且具备较高质量的产品化与工程化,如此才能保证虚拟出的安全区域中,应用的安装、使用、分发等操作安全、独立、顺畅,既不影响业务应用的运转与核心数据的流转,又能保证数据访问在终端侧的安全隔离与管控。
终端侧攻防对抗技术
一是系统底层攻防。通过对底层驱动、进程行为、系统状态、用户操作等持续的安全监控,杜绝目录篡改、恶意驱动、非法模块、进程注入等针对系统的攻击行为,避免恶意攻击者对安全域的破坏与逃逸。
二是反嗅探。这一点与数据通路防护能力相对应,即在用户终端侧,通过重新编写的网络通信协议栈规避抓包与监听,如有可能,避免使用虚拟网卡,防止终端侧与 SDP 网关之间的通信流量被嗅探攻击。
三是硬件数据防篡改。在数据加解密、密钥管理、策略判断、安全域完整性保障等关键环节,结合可信执行环境(Trusted Execution Environment – TEE)等硬件可信计算技术,实现硬件级别的数据抗篡改能力。
零信任访问技术
即基于 SDP 的零信任访问技术。SPA 单包敲门机制保证了所有的 DDoS 攻击与扫描探测行为都被屏蔽在 SDP 网关之外,实现了所有资产对外零可见。默认关闭所有端口,仅在用户认证通过并授权后,动态分配业务开放端口,并在所请求资源与用户终端间实时建立加密连接,这保证了用户的每次连接都是独立的。
如前所述,SDP 是构建攻击暴露面收敛能力的主要技术手段。值得一提的是,SDP 并不是数据访问安全域所必须的,端到端的安全是主要目的,其他能够达到这一目的要求的技术均可采用。
数据标签技术
数据在不断的流转过程中,经过修改、共享、复制、再分发等多个流程后,依旧可追溯其数据来源和流转路径,这里的难点是如何在数据量不断增大或业务迭代带来新的数据类型后,数据标签在及时更新的同时,保持数据分类、分级、分代的准确性,进而保证数据治理的效果不出现明显波动,不影响数据访问安全的控制策略、交换策略与审计策略。
目前行业内主要的技术实现方式是结合行业属性,将行业特征转化为“行业标签体系”,应用于数据标签;或者根据数据的访问关系,提炼出数据的访问链路,进而一定程度上实现数据标签的自动化补足与更新。但目前,这两种方式还都无法实现完全的基于 AI 的智能数据标签,仍然是“人工”为主要驱动的“智能”,因此相比数据标签“技术”,数据治理其实更多也是一个管理问题。
数据访问安全域的价值
最后,总结下数据访问安全域的主要价值:
1. 数据流动的安全保障
通过数据访问安全域这一技术实现方式,企业与外包机构之间、企业内部各分支机构之间、企业数据中心与员工终端之间等场景下,敏感数据的流动过程始终在零信任理念下的各安全域间流转,有效保护商业秘密和敏感数据在流转环节被潜在攻击者窃取,避免经济损失。
2. 数据访问的安全隔离
“安全域”能够使得各类终端环境对数据的使用始终在“域”进行,对数据的传输和访问始终处于零信任框架中,减少业务和数据的暴露面,无论是访问过程还是事后审计,都能够达到安全可控的要求。例如,在外包场景中,核心敏感数据始终保持在“安全域”中,对外包机构来说,数据是“不落地”的, 即便外包终端突然离线,亦可以通过策略控制的方式,自动清除域中的数据。
3. 数据管理的全面覆盖
通过数据访问安全域,可以实现机构、团队数据保护全覆盖,做到统一、整体的数据保护落地,实现数据保护水桶无短板,改变以往 DLP 只能覆盖某些核心部门、业务,终端 EDR、桌管等只做策略控制,不做数据管理的问题。
4. 数据治理的降本增效,降低成本与运维复杂度
如前所述,综合采用DLP、终端/桌管等产品时,在成本与运维复杂度上,投入产出比并不理想,因此,Hysolate 或一知安全这样的数据访问安全域方案,对数据的使用过程可以做到“软件定义数据生命周期”,能够为用户带来显著的降本增效。
5. 数据风险的分级管理
通过数据访问安全域,可以限制不安全的数据访问流程(如接入、访问互联网网站,打开安全性未知的文档,测试、使用第三方安全性未知的应用软件等)对终端设备可能造成的安全性风险,实现数据分级治理的目的,提高终端系统的安全性。
综上所述,我们认为,数据访问安全域基于零信任理念,依托用户现有的终端基础设施,基本不影响终端侧用户原有的业务流程与使用习惯,能够为用户提供一个性价比较高且部署改造成本较低的备选方案,在技术层面与商业层面都具有较高的价值。
本文摘编自数世咨询发布的《数据访问安全域能力白皮书》,全文下载:
数据访问安全域能力白皮书
更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。
2 评论