数据安全平台(DSP)将数据安全控制与业务逻辑和细粒度授权相结合,可显著提升数据安全措施的成效、确保数据的安全性。安全和风险管理领导者可通过本报告了解DSP市场的定义、运行机制和动态。
主要发现
-
多数企业机构采用的数据安全策略和框架已经过时。同样过时的还有仅专注于发现攻击者的安全工具,这些工具缺乏充足的数据防护能力,难以支持高级用例的内外部数据共享需求。
-
企业机构的IT环境充斥着孤岛式的安全控制措施,导致其难以针对常见用例实施统一的数据安全策略。
-
数据策略要素和规则的激增,促使厂商加快步伐,在其数据安全平台(DSP)中引入各种不同的数据安全功能。
-
部署了DSP的企业机构正在精简其数据访问控制和防护措施,这有助于提高数据安全的可观测性,改善数据安全和监管合规。
建议
负责大型数据存储的安全和风险管理领导者应:
-
借续签合同的机会对相关供应商和产品进行整合,降低数据安全工作的复杂度和成本。例如,可选择将数据库活动监控、数据脱敏、数据发现和标记化产品整合到DSP中。
-
优先选择可支持多种数据存储类型和业务应用的DSP产品,以最大限度提升部署的灵活性。
-
在设计(新的)数据存储时,将DSP作为核心(而非事后)考虑因素。此类数据存储可能包括,用于储存人工智能(AI)和机器学习(ML)用例所需原始数据的数据湖。
-
制定基于策略的数据访问规则,确保针对不同数据孤岛实施标准化的数据安全控制,改善数据安全治理和安全态势,并且支持业务部门的数据共享需求。
市场定义
数据安全平台(DSP)提供跨数据孤岛的数据发现、策略定义和策略执行功能。其中,策略执行功能包括格式保留加密、标记化和动态数据脱敏。这些功能可通过连接器、自主性代理(agent)、透传性代理(proxy)以及应用编程接口(API)提供。
为支持业务领域的数据使用和共享需求(如支持AI/ML用例),企业机构必须实施数据安全控制,以及可快速配置且易于理解的细粒度数据访问控制。基于密切配合的数据访问控制和数据安全控制,企业机构可以了解和共享(利用)更多的数据。然而,数据访问权限和数据安全控制的配置和精简极为复杂,给企业机构造成了挑战。这一挑战还延伸到了数据隐私以及分析治理和数据伦理等领域。
DSP为企业机构提供了所需的多数组件,这些组件至关重要,可帮助其实施良好的数据治理并优化数据安全控制,同时防止数据访问和策略规则的指数级增长。
该市场的必备功能包括:
-
与数据目录集成,或具备原生数据编目功能
-
通过动态数据脱敏(DDM)、格式保留加密(FPE)或标记化、数据存储API,或特定数据库自带的访问控制策略格式等,执行字段级或数据对象级粒度的授权策略。
-
支持多种常用的云数据湖产品
该市场的标准功能包括:
-
自助和自动化数据访问配置(加速)工作流。
-
数据活动监控(DAM)和审计
-
针对结构化数据存储中敏感数据的数据发现
-
支持传统的关系型数据库管理系统(RDBMS)
-
与常用的身份目录集成
该市场的可选功能包括:
-
静态数据脱敏(SDM)
-
测试数据管理
-
合成数据创建
-
差分隐私数据子集的创建
-
应用与数据间关系的可观测性
市场描述
DSP为企业机构提供了其在数据安全领域所需的多数组件。这些组件至关重要,可帮助企业机构实施良好的数据治理并优化数据安全控制,同时通过统一的系统控制安全策略和访问权限,从而防止数据访问规则的指数级增长。此外,DSP采取基于策略的访问控制(PBAC)模式,可以根据企业机构的具体情境,例如本地数据监管要求或时间敏感性要求等,对控制策略进行调整。DSP还利用多项功能简化了数据治理流程。具体包括:利用策略继承实现策略规则的广泛应用;使用现成模板创建常见策略;以及利用测试工具对策略进行测试、确保策略在部署前零错误,从而降低出现冗余策略的几率。
鉴于DSP的用例范围十分广泛而推动其采用的因素也很多,Gartner观察到的买家角色同样多种多样。除了信息安全、治理和合规领导者(基于Gartner客户问询)之外,还包括参与数据管理、数据授权和数据分析工作的IT领导者等其他角色。
直至近期,针对大型数据存储库的安全管理和访问权限设置一直是一项困难又复杂的任务,往往会衍生出大量的访问规则和安全措施。除了数量庞大,这种传统的安全控制措施还存在另一个显著问题,即无法自动执行基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)策略(分别基于用户的身份和所涉数据的内容实施访问控制)。此外,这些控制措施并不具备可扩展性,并且无法为企业机构的风险评估提供全面和情境化的信息,导致其难以确定适合的安全水平。受困于这些问题,企业机构的数据往往得不到充分的利用——因其无法直接被用于新的业务计划。
数据得不到充分利用的情况在各个行业都很常见,但矛盾的是,相反的情况同样常见。企业机构普遍摇摆于两个极端之间:过度限制数据访问,以至于扼杀了创新;或者过度放松对数据的限制,使自身面临数据泄露风险。换言之,无法平衡数据安全和数据利用两方面的需求,导致企业机构只能在这两种极端情形中择其一。
作为一种集成产品,DSP可以帮助企业机构保护大型云数据存储中的数据,还可以协同各项功能,将业务需求置于优先地位。
市场方向
Gartner客户问询显示,自2021年Gartner指出DSP融合了不同的数据安全控制措施以来,Gartner客户对于此类产品的关注度已显著上升。从2021年到2022年,最终用户关于DSP的电话问询数量增加了70%,其中重点提到了旨在保护云数据湖(用于存储AI/ML用例所需原始数据)的DSP。
企业机构对于DSP的关注受以下因素的推动:
-
在大型数据存储中快速配置细粒度数据保护和授权规则的需求。这是最显著的驱动因素,原因在于这一需求无法依靠各种独立、孤岛式的数据安全产品和传统的授权产品来满足。
-
AI/ML应用。此类应用激发了企业机构对于数据湖价值的关注,因为数据湖常被用于存储算法训练所需的原始数据,包括个人可识别信息和受监管的数据。将个人信息用于AI模型训练会带来显著的安全和合规挑战,而鉴于此类模型的部署可能会引发连锁反应,这一挑战尤为艰巨。DSP可在应对相关挑战方面发挥关键作用,其所提供的强大安全措施,可以确保AI和ML模型以安全和合规的方式使用敏感数据。
-
数据上云。对于许多企业机构,数据上云是一个关键的转变,可以提高部署的灵活性和可扩展性。DSP可在这一转变中发挥关键作用,为企业机构提供必要的安全基础设施,以便其在将大量数据迁移到公有云的过程中保障数据的安全性。此外,DSP能够随数据量的增加扩展安全协议,从而确保企业机构在发挥云计算潜在优势的同时,可以有效应对威胁并遵守合规要求。
-
整合策略控制平面,简化管理。DSP的管理控制平面与数据类型和控制对象解耦,企业机构将能够通过统一的控制台管理各类数据安全策略,并针对不同的数据孤岛或预期控制目标执行这些策略。例如,企业机构可能可以基于统一的策略规则库实施适当级别的数据保护措施,包括数据脱敏、数据校订、标记化、加密或使用隐私增强计算(PEC)技术等。根据用户属性的不同,可以将这些技术用于一个字段(或一个文件)。AI和ML将在策略创建的自动化中发挥不可或缺的作用。DSP提供全面的API支持,可利用此类技术实现流程的自动化,并与现有流程和工具(例如外部数据目录)集成。
-
实现全面数据安全所需的技术已变得广泛可用。当前,DSP以独立工具和云服务两种形式提供。云DSP产品将针对多数可用的DSP安全控制提供低集成门槛的API,从而使多数企业机构都能以合理的价格实施同类最佳的数据安全控制措施。伴随这一趋势,数据安全团队的职责将发生转变,从建立数据防护的“大门” ,变为针对所有数据管道和数据产品提供安全护栏。
-
希望通过整合安全供应商来降低安全工作的复杂度。2022年Gartner首席信息安全官:安全供应商整合之扩展检测和响应与安全访问服务边缘趋势调研显示,受访企业机构明显倾向于减少安全领域的供应商或产品的数量,92%的受访者表示所在企业到2022年底将积极实施供应商整合战略。
未来几年,上述因素将推动DSP市场进一步集中化并实现显著增长。Gartner尚未对DSP市场的规模进行估计。不过,该市场提供的功能与若干独立市场存在重叠,可能会从这些市场吸纳一部分收入。此类DSP功能包括:
-
数据授权
-
标记化和数据脱敏
-
数据库活动监控
-
数据发现和数据分类
DSP将继续融合更多的数据安全功能
作为融合各类数据安全和合规工具的集成平台,DSP将引入更多的安全控制措施并持续演进。近期,DSP供应商在平台中引入了以下数据安全功能:
-
数据库活动监控,对于检测数据更改和生成未授权特权增加警报至关重要,而这一能力对识别内外部潜在威胁和满足特定的合规要求必不可少。DSP市场的第一批供应商已在其产品中融合了DAM功能,并且这一趋势展现出了强劲的势头。
-
将个人同意和预期用途纳入策略决策对于确保隐私合规至关重要。要做到这一点,DSP需要能够与同意管理工具和数据库通信,为访问控制提供相关信息。虽然常被主流DSP所忽略,这一数据安全能力已经成为影响数据安全各个组件的关键因素。
过去,基于DSP可作为总体概念涵盖数据安全大市场(包含若干组成部分或子市场)的假设,Gartner关于DSP的研究对通用型数据安全平台(bDSP)和DSP进行了区分。此类研究不仅关注适用范围更广的数据安全平台(bDSP),还关注聚焦特定领域的平台,如专注于数据访问治理(DAG)、数据防泄露(DLP)和数据安全态势管理(DSPM)的平台。然而,后续的观察明确显示,针对结构化数据的授权功能以及基于数据目录的数据治理受到了市场的显著青睐,而客户和供应商也随之将这类功能置于了优先地位。基于此,业界对相关术语进行了精简,将这些专注于特定安全功能的平台统称为“DSP”。
市场分析
Gartner观察到,部分供应商推销的DSP产品尚不能满足Gartner定义的最低标准。鉴于DSP的功能非常广泛,难以完整列举,本文将其分为了三类,即必备、标准和可选功能(参见“市场定义”部分)。
DSP的功能应具有整体性。完善的单一供应商DSP产品应具备以下特征:
-
采取完全集成的系统设计,提供完整的前端控制台、统一的策略执行和一致的后端数据模型。这种设计免除了使用多个松散连接的管理系统的需要,并且降低了对API集成(使用API集成不同的模块)的依赖。
-
产品架构必须最大限度减少文件输入/输出(I/O)与网络I/O,以支持低延迟的数据访问。
-
与KNIME、微软PowerBI和SAS等常用的数据分析应用集成,可支持细粒度的用户访问策略——最好比应用内置的安全控制更为精细。
-
针对违反常见合规标准的情况,提供预定义的报告模板。常见的合规标准包括:互联网安全中心(CIS)基准、美国国家标准和技术研究院(NIST)的合规要求、支付卡行业数据安全标准(PCI DSS)、欧盟的《通用数据保护条例》(GDPR)、中国的《中华人民共和国个人信息保护法》(PIPL)以及美国的健康保险便利及责任法案(HIPAA)。
单一供应商DSP产品的优势
虽然可以通过实施五种或更多的独立工具完整实现“市场定义”中概述的部分功能,企业机构仍然选择了利用单一DSP产品来提供这些功能。原因在于,DSP的核心功能决定了,此类平台能够在以下用例和架构中发挥显著的效果:
-
对云数据存储中的结构化数据进行治理和保护,支持数据和分析(相关供应商示例包括Amazon Redshift、Databricks、Google BigQuery、Microsoft Azure Data Lake和Snowflake)。
-
易于部署,可降低复杂性和成本。
-
覆盖所有数据存储的一致数据分类和策略执行。
-
字段级访问管理、数据转换或数据加密,比底层云数据库的访问管理功能更为精细。
-
简化和减少为云数据存储配置字段级访问规则所需的策略规则。
-
创建开发和测试数据,且无需复制数据集。可直接将DSP保护的敏感数据用于开发和测试,无需创建数据的脱敏副本。或者,也可使用动态数据脱敏(DDM)功能减少需要准备的数据量。
DSP采用面临的挑战
-
数据存储自带的安全控制与企业机构预期利用第三方工具(如DSP)配置的安全控制之间缺乏明确的“分界线”。Databricks和Snowflake等常用数据存储的供应商,正在通过自建或收购小型DSP供应商在其产品中引入更多的安全控制。这给DSP的采用带来了一些不确定性。
-
管理耗时:数据安全产品的日常管理(无论其品质和整合程度如何)是一项耗时的任务。DSP也不例外。企业机构需要建立适当的治理流程,并配备必要的人员和技能,来支持DSP的日常管理。例如,在某些情况可能需要引入额外的人才(例如数据管家)。
-
覆盖范围不足:DSP往往仅覆盖最常用的云数据存储和业务应用。几乎所有DSP供应商都声称,其产品能够支持广泛的数据存储和应用。即使如此,对于超出DSP原有覆盖范围的数据存储,其实施可能会变得非常困难且旷日持久。AI和大语言模型(LLM)使用中涉及的向量数据库就是一个很好的例子。
-
对本地数据存储缺少支持:现有DSP产品普遍专注于基于云的数据存储库和业务应用,对本地数据库则往往未能提供同样的支持。对于依赖传统数据存储解决方案的客户,这可能会导致其难以找到适合的DSP。
-
数据安全治理的成熟度较低:高质量的安全策略、标准和指南,对于DSP的成功实施至关重要。在缺少明确授权或者不清楚安全要求的情况下,数据保护几乎无从谈起。
-
规划和准备:对于使用加密技术(如标记化和格式保留加密[FPE])保护数据的DSP,需要在规划和实施方面投入大量的时间和精力,将DSP与所有所需的业务应用和用例实现集成。
-
引入不同来源的数据:可能需要创建额外的数据目录来管理这些数据。许多DSP的数据编目功能有限,可能无法满足复杂的协作需求。
-
未能充分采用隐私增强计算技术:DSP供应商对于差分隐私和合成数据等隐私增强计算技术的关注度较低,未能在DSP中充分引入此类技术(无论是自建还是收购)。其结果是,最终用户还需要额外采用基于软件的安全控制,从而造成新的碎片化问题。
代表性厂商
DSP市场仍处于早期发展阶段,但也已经存在多种符合本文列举的核心要求的DSP产品。此外,该市场的供应商起点各异,包括开辟新领域的初创企业、引入DSP功能的标记化供应商、引入DSP功能的外化授权管理(EAM)产品供应商,以及拓展产品组合的数据目录或DAM供应商,不一而足。但同时,没有任何一家供应商在所有功能上都达到了一流水平。因此,负责评估DSP产品的联合团队必须在启动评估流程之前,对企业机构的需求进行优先级排序,明确必备、标准和可选功能。
表1列举了一些代表性的DSP供应商。该供应商列表基于“市场定义”部分介绍的必备和标准功能创建。
Table 1: 代表性数据安全平台供应商
供应商 | 产品名称 |
ALTR | |
comforte Data Security Platform | |
IBM Security Guardium Data Protection | |
Immuta Data Security Platform | |
Microsoft Purview | |
EncryptRIGHT | |
Unified Data Security Platform | |
Protegrity Data Security Platform | |
Raito Data Security Platform | |
Satori Data Security Platform | |
Data Command Center | |
SecuPi Platform | |
CipherTrust Data Security Platform | |
TrustLogix Cloud Data Security Platform | |
PlainID Authorization Platform | |
Velotix |
来源:Gartner(2024年1月)
市场建议
战略和规划
-
无论是否采用DSP,企业机构都必须制定数据安全愿景,将改善数据科学家和业务应用用户的体验作为主要目标。具体包括:减少新用例批准和实施过程中的摩擦,降低AI/ML的延迟,以及构建数据产品。
-
更新数据安全策略和数据安全治理(DSG)框架,避免使用过时的策略和框架。重新评估现有数据安全策略、流程和标准的成效和优势。例如,过时的安全策略通常遵循“需知”原则,会默认将数据封锁起来。然而,数据必须经过处理和共享才能展现广泛的价值。采用DSP的企业机构需要遵循“需共享”原则,通过安全的数据共享最大限度推动协作和数据变现。
-
充分利用外部机会。外部期望(例如,合规要求或立法)为企业机构提供了机会,可以加快针对受监管要求或即将出台的法律约束的数据存储部署DSP。
-
转变所遵循的数据使用和共享范式,从“需知”转向“需共享”原则。例如,遵循“需知”原则,DAM用户会得到数百万条日志,没有人知道数据库中究竟发生了什么。根据供应商的承诺,一旦发生数据泄露,这些日志会在瞬间展现明确的意义并揭示出需要封锁哪些数据。就像中世纪的盔甲,穿上它虽然保证基本的安全,但却无法很好地走路。然而,截至目前,数据应以何种方式被使用仍然取决于业务需求,而DSP驱动的安全可以为此提供支持。DSP就像现代的摩托车骑行服,穿上它不仅可以高速驾驶,同时还能自然地活动身体。
评估
在选择任何一家供应商的DSP产品之前,与数据科学家和应用负责人合作,启动功能试点计划,确保产品的功能和用户体验能够满足自身需求。
在初步评估阶段,应:
-
评估产品功能的广度和深度,涵盖数据发现、分类、访问控制、加密和监控等。
-
评估可在多大程度上对产品进行定制以满足自身特有的需求(例如,产品是否具备支持数据集市所需的可扩展性,或是否提供数据科学家自助服务)。
-
评估产品提供的安全措施(如加密、标记化、数据脱敏或DAM)能否满足企业机构当前和未来的需求。
-
对于受监管数据,确保产品符合《通用数据保护条例》、HIPAA以及《加州消费者隐私法案》(CCPA)等监管标准的要求。此外,还需要确认产品是否提供合规管理方面的功能。
-
确保DSP具有可扩展性,能够处理当前和预期的数据量并且不会影响性能。例如,旨在支持高级分析和ML的DSP架构,应能够避免输入/输出瓶颈,并最大限度减少额外的延迟。
-
考察产品与企业机构当前的IT基础设施和业务应用的集成情况。许多业务应用必须与DSP集成或者借助某种中间件,才能使用其身份驱动的规则和策略。例如,部分业务应用可能需要在进行SQL查询时中继用户名,而这并非默认操作。
-
考察供应商是否与其他技术供应商(例如,常用业务应用的供应商)建立了合作关系。这种合作伙伴关系意味着强大的生态系统和较低的集成难度。
-
对产品进行概念验证时,从日常需要与DSP交互的用户那里收集反馈。
部署和运营
-
在完成实施工作后,指派充足的人员/团队参与DSP的日常运营。Gartner注意到,企业机构普遍抱有一种错误的认识,即数据库管理员(DBA)、合规人员和其他相关人员通过完成本角色的例行工作,便可以实现成熟的数据安全。但事实上,数据安全是一项需要大量人力投入且有些单调的任务。参与大型数据存储数据安全工作的IT领导者必须牢记这一点。
-
确立负责执行数据安全治理最佳实践的角色,例如数据管家以及本地或业务单元级别的数据安全官。
-
将DSP服务(例如,配置新用户、用例或脱敏要求)纳入企业机构的IT服务管理框架,如信息技术基础设施库(ITIL)、服务目录或服务等级协议等。