数据安全平台将数据安全控制与业务逻辑和细粒度授权相结合,可显著提高效率和数据安全性。本市场指南向安全和风险管理领导者介绍了 DSP 市场的定义、原理和动态。
主要发现
-
大多数组织都拥有过时的政策和框架,以及只专注于寻找攻击者的过时工具。这些工具缺乏足够的能力来保护需要内部和外部数据共享的高级用例的数据。
-
各自为政的特定安全控制措施使得在常见用例中无法实施一致的数据安全策略。
-
数据策略元素和规则的爆炸式增长正在促使供应商将不同的数据安全功能快速融合到数据安全平台 (DSP) 中。
-
应用 DSP 的组织正在简化数据访问控制和保护,从而提高数据安全可观察性并提高安全性和法规合规性。
建议
负责大型数据存储的安全和风险管理领导者应该:
-
随着合同的续签,减少供应商或产品的数量并降低复杂性和成本。例如,数据库活动监控、数据屏蔽、数据发现和标记化产品都是整合到 DSP 中的良好候选产品。
-
青睐涵盖各种数据存储和业务应用程序的 DSP 产品,以提供最大的部署灵活性。
-
对于(新)数据存储(例如,为人工智能(AI)和机器学习(ML)用例存储原始数据的数据湖),将 DSP 视为核心设计考虑因素,而不是事后考虑。
-
编写基于策略的数据访问规则,标准化跨孤岛的控制,增强治理和安全态势,并满足共享数据的业务需求。
市场定义
数据安全平台 (DSP) 将数据发现、策略定义和跨数据孤岛的策略实施相结合。策略实施功能包括格式保留加密、标记化和动态数据屏蔽。这些功能可以通过连接器、代理、代理服务器和 API 提供。
利用数据和共享数据的业务需求(例如AI/ML用例)需要数据安全控制和高度精细的数据访问,这些访问可以快速配置且易于理解。严密的数据访问和安全控制允许您披露和共享(利用)更多数据。然而,在配置和调整权利和数据安全控制方面,组织面临着足够的复杂性。这延伸到数据隐私以及分析治理和道德。
DSP 提供了大多数必需的组件,这些组件对于实现良好的数据治理和优化的数据安全控制至关重要,同时防止数据访问和策略规则的急剧增加。
必备能力
该市场必须具备的能力包括:
-
与数据目录或产品原生数据编目功能集成
-
通过动态数据屏蔽 (DDM)、格式保留加密 (FPE) 或标记化、数据存储 API或特定数据库原生的访问控制策略格式等方式实施字段级或数据对象级粒度授权策略
-
支持多种流行的基于云的数据湖产品
标准功能
该市场的标准能力包括:
-
用于(加速)提供数据访问的自助服务和自动化工作流程
-
数据活动监控 (DAM) 和审计
-
结构化数据存储中的敏感数据的数据发现
-
支持传统关系数据库管理系统 (RDBMS )
-
与流行身份目录集成
可选功能
该市场的可选功能包括:
-
静态数据屏蔽 (SDM)
-
测试数据管理
-
创建合成数据
-
创建差异隐私数据子集
-
应用程序和数据之间关系的可观察性
市场描述
DSP提供了实现良好数据治理和优化数据安全控制所需的大部分组件,同时通过提供集中式策略和权限控制系统来防止数据访问规则呈指数级增长。此外,基于策略的访问控制 (PBAC) 会根据上下文(如区域数据或时间敏感限制)调整策略。DSP还通过策略继承等功能简化治理流程,以便广泛应用规则、为常用策略提供现成的模板,以及测试工具以确保策略在部署前没有错误,从而减少冗余策略的可能性。
由于 DSP 采用的用例和驱动因素非常广泛,Gartner 并未观察到单一的买方角色。虽然信息安全、治理和合规性领导者在 Gartner 的调查中被视为买家,但 Gartner 还观察到参与数据管理、数据授权和数据分析的 IT 领导者也是买家。
直到最近,管理大数据存储库中的安全性和设置精确的访问权限都是一项复杂的工作,通常会导致大量的访问规则和安全措施。这些传统控制的另一个重要问题是,它们无法使用基于角色的访问控制 (RBAC) 和基于属性的访问控制 (ABAC)自动执行策略,这些策略取决于用户的身份和数据的内容。这些控制不可扩展,导致风险评估不完整且缺乏背景信息,从而难以应用正确的安全级别。因此,数据通常未得到充分利用,因为可以利用它的新业务计划无法轻松访问数据。
这种情况在各个行业都很常见,但矛盾的是,相反的情况也一样。组织经常在两个极端之间摇摆不定:过度限制数据访问,以致扼杀创新;或将数据开放得过于开放,导致数据泄露。这反映了在数据安全性和实用性之间寻找平衡的挣扎,通常会导致过度封锁或不合理地暴露敏感数据。
借助单一集成的 DSP 产品,组织可以保护大型云数据存储中的数据。此类产品还可以协作地将业务需求放在首位。
市场方向
自 2021 年底确定将数据安全控制融合到 DSP 以来,客户的兴趣(从入站查询来看)显著增长。2021年至 2022 年,有关 DSP 的最终用户呼叫数量增长了 70%,重点关注保护用作AI/ML用例的原始数据存储的基于云的数据湖的 DSP 。
有几个因素推动了客户对 DSP 的兴趣:
-
需要在大型数据存储中快速提供细粒度的数据保护和授权规则。这是最重要的驱动因素,使用单独和孤立的数据安全和传统授权产品根本无法实现。
-
AI/ML 应用。它们吸引了人们对数据湖价值的关注,因为它们经常存储可识别且受监管的原始数据以用于训练算法。AI 模型训练和个人数据的这种结合带来了重大的安全性和合规性挑战,尤其是考虑到部署这些模型的影响时。DSP 在缓解这些担忧方面发挥着关键作用,它提供了强大的安全措施,确保在 AI 和 ML 中安全且合规地使用敏感数据。
-
将数据迁移到云环境。对于许多组织来说,这是一个关键的转变,可以提高灵活性和可扩展性。DSP 在这一转变中发挥了重要作用,在数据迁移到公共云时,它提供了必要的安全基础设施来保护大量数据。DSP 能够随着数据增长扩展安全协议,确保企业在利用云的潜力时能够以强大的姿态抵御威胁并遵守监管要求。
-
通过整合的策略控制平面简化管理。DSP 管理控制平面与数据类型和控制对象分离,从而实现集中管理。管理界面将允许从单个控制台管理数据安全策略,并且无论数据孤岛或所需的控制目标如何,都可以应用该策略。例如,这可能涉及一个策略规则库,客户端可以在其中实施适当级别的数据保护,例如数据屏蔽、数据编辑、标记化、加密或使用隐私增强计算 (PEC) 技术。这些技术可以根据用户属性应用于字段(或文件)。AI和 ML 将成为自动创建策略不可或缺的部分。完整的 API 支持允许实现自动化并与现有流程和工具(例如外部数据目录)集成。
-
技术的广泛应用对于全面数据安全至关重要。DSP 可作为独立工具和基于云的服务产品使用。基于云的产品将充分利用通过低门槛 API 集成提供的 DSP 安全控制,使许多组织能够以可承受的价格实现一流的数据安全控制。数据安全的角色转变为在整个数据管道和数据产品中提供护栏,而不是大门。
-
希望通过整合安全供应商数量来降低复杂性。2022年 Gartner CISO:安全供应商整合 XDR 和 SASE 趋势调查的数据表明,客户明显倾向于整合或减少安全领域的供应商或产品数量,92% 的企业表示他们将在 2022 年底前积极推行供应商整合战略。
这些因素将导致未来几年 DSP 市场进一步集中并大幅增长。Gartner 尚未估计 DSP 市场规模,但 DSP 市场提供的功能与几个独立市场提供的功能重叠,并将从这些市场中获取收入。此类 DSP 功能包括:
-
数据授权
-
标记化和数据屏蔽
-
数据库活动监控
-
数据发现和分类
数据安全功能将继续整合到 DSP 中
DSP 是集成了各种数据安全和合规性工具的集成平台,随着越来越多的控制措施被纳入其中,DSP 也在不断发展。以下是供应商最近添加的一些控制措施示例:
-
数据库活动监控 (DAM) 对于检测数据更改和生成未经授权的权限增加警报至关重要。此功能对于识别来自组织内部或外部黑客的潜在威胁以及满足特定的合规性要求至关重要。第一批供应商和产品已经整合了 DAM,这种整合的势头非常强劲。
-
将个人的同意和预期用途纳入政策制定决策对于隐私合规至关重要。这导致需要能够与同意管理工具和同意管理数据库通信以通知访问控制的 DSP。数据安全的这一方面经常被主要 DSP 忽视,但它已成为影响各种数据安全组件的关键因素。
从历史上看,Gartner 对 DSP 的研究将广谱数据安全平台 (bDSP) 与 DSP 区分开来,其假设是 DSP 可能是一个涵盖数据安全这一元市场的总体概念,其中包含多个组件或子市场。此类研究涵盖了范围广泛的平台 (bDSP) 和范围更窄的平台(例如,数据访问治理 [DAG]、数据丢失预防 [DLP] 和数据安全态势管理 [DSPM])。然而,很明显,结构化数据的授权功能与通过数据目录进行的数据治理相结合,获得了显著的吸引力,导致客户和供应商优先考虑这些方面。因此,该行业现在已经简化了术语,简单地将这些重点平台称为“DSP”。
市场分析
我们经常看到销售 DSP 的供应商不符合Gartner 的最低要求。由于 DSP 功能的完整列表非常广泛,我们将功能分为三类:必备、标准和可选,如市场定义部分所述。
这些功能应该是有凝聚力的。架构良好的单一供应商 DSP 产品应具有以下特点:
-
DSP应设计为一个完全集成的系统,提供统一的前端控制台、统一的策略实施和一致的后端数据模型。这种方法消除了对多个松散连接的管理系统的需求,并减少了对基于 API 的不同模块集成的依赖。
-
最小化文件输入/输出 (I/O)和网络 I/O以支持低延迟数据访问的产品架构。
-
与流行的数据分析应用程序集成,例如KNIME 、Microsoft PowerBI 和SAS ,实现细粒度的用户级访问策略,最好超出应用程序内置控件的粒度。
-
预定义模板,用于根据常见合规标准进行报告,例如互联网安全中心 (CIS) 基准、美国国家标准与技术研究院 (NIST) 的合规要求、支付卡行业数据安全标准 (PCI DSS)、欧盟的《通用数据保护条例》(GDPR)、中国的《个人信息保护法》(PIPL) 和美国的《健康保险流通与责任法案》(HIPAA)
采用单一供应商提供的 DSP 产品的优势
组织可以实施五种或更多工具来充分实现“市场定义”部分中概述的一些功能。但是,组织正在转向整合到 DSP 产品中,这是有原因的。基于其核心功能,DSP 在以下用例和架构中发挥了重要作用:
-
管理和保护基于云的数据存储中的结构化数据以进行数据和分析(供应商示例包括 Amazon Redshift、Databricks、Google BigQuery、Microsoft Azure Data Lake 和 Snowflake)。
-
易于部署,从而降低复杂性和成本。
-
在所有数据存储中进行一致的数据分类和策略实施。
-
字段级的访问管理、数据转换或加密,超出了底层云数据库的访问管理功能的粒度。
-
简化并减少配置基于云的数据存储的字段级访问规则所需的策略规则。
-
创建用于开发和测试的数据,无需复制数据集。受选定 DSP 保护的敏感数据可直接用于开发和测试,因此无需创建经过屏蔽的数据副本。或者,可以使用动态数据屏蔽 (DDM)准备较少量的数据。
采用 DSP 的挑战
-
数据存储本地提供的安全控制与客户希望通过第三方工具(如 DSP)提供的安全控制之间缺乏“分界线” 。流行的数据存储(如Databricks 和 Snowflake )继续添加安全控制(无论是本地添加还是通过收购较小的 DSP 供应商添加),这一事实造成了一些不确定性。
-
耗时的管理:数据安全产品的日常管理(无论它们有多好或多整合)都是一项耗时的任务。DSP 也不例外。客户需要确保适当级别的治理流程、人员配备和技能来支持日常管理。为了实现这一目标,在适当的情况下加入额外资源(例如数据管理员)。
-
覆盖范围不足:覆盖范围通常仅限于最流行的基于云的数据存储和业务应用程序。尽管供应商几乎总是声称支持广泛的数据存储和应用程序,但在处理供应商原始领域之外的存储时,实施可能会很困难且耗时。与 AI 和大型语言模型 (LLM) 的使用相关的矢量数据库就是一个很好的例子。
-
缺乏对本地数据存储的覆盖:虽然供应商经常专注于基于云的数据存储库和业务应用程序,但本地数据库通常得不到同等级别的支持。这可能会给依赖这些传统数据存储解决方案的客户带来重大挑战,因为他们很难找到合适的 DSP。
-
成熟的数据安全治理:政策、标准和指南的质量对于成功实施 DSP 至关重要。如果您没有授权或不知道安全要求是什么,您很难保护您的数据。
-
规划和准备:使用加密技术(例如标记化和格式保留加密 (FPE))保护数据的 DSP 需要大量规划和相当大的实施工作才能与所有必需的业务应用程序和用例集成。
-
从各种来源获取数据:这可能需要额外的数据目录来整理数据。许多 DSP 的数据编目功能有限,可能无法满足复杂的协作要求。
-
隐私增强计算技术采用不足:DSP 供应商可能没有足够重视在其平台上添加隐私增强计算技术,例如差异隐私和合成数据技术,无论是有机增加还是通过收购,最终导致最终客户需要额外的基于软件的控制和新的碎片化。
代表供应商
即使在市场的早期阶段,市场上也有多种 DSP 产品满足本研究中描述的核心要求。由于 DSP 供应商的起点不同(有些是初创企业,有些是添加 DSP 功能的代币化供应商,有些是添加 DSP 功能的外部化授权管理 (EAM) 产品提供商,有些是扩展其产品组合的数据目录或 DAM 供应商),没有一家供应商在每项功能上都是最好的。因此,评估 DSP 功能的联合团队在评估产品之前,必须先确定其对强制性、推荐性和可选性功能的要求的优先顺序和排名。
表1 列出了一些具有代表性的 DSP 供应商。为了编制具有代表性的供应商名单,我们使用了市场定义部分中描述的核心和推荐的功能和特性。
表1 :代表性 DSP 供应商
| 供应商 | 产品名称 |
| ALTR | |
| comforte数据安全平台 | |
| IBM Security Guardium 数据保护 | |
| Immuta数据安全平台 | |
| Microsoft Purview | |
| EncryptRIGHT | |
| 统一数据安全平台 | |
| Protegrity数据安全平台 | |
| Raito数据安全平台 | |
| Satori | Satori数据安全平台 |
| Raito数据安全平台 | |
| SecuPi 平台 | |
| CipherTrust 数据安全平台 | |
| TrustLogix 云数据安全平台 | |
| PlainID授权平台 | |
| Velotix |
来源:Gartner(2024 年 1 月)
市场建议
战略与规划
-
无论是否采用 DSP,都要树立数据安全愿景,将数据科学家和业务应用程序用户的体验作为首要目标。力求减少新用例审批和实施过程中的摩擦,减少 AI/ML 和数据产品创建的延迟。
-
更新您的数据安全政策和数据安全治理 (DSG) 框架,以确保它们不会停留在石器时代。重新评估现有政策、流程和标准的有效性和优势。例如,过时的政策通常是围绕“需要知道”原则制定的,该原则涉及默认锁定您的数据。但是,只有可以处理和共享的数据才能向组织展示其广泛的价值。在采用 DSP 时,您需要通过安全的数据共享最大限度地实现数据协作和货币化,并遵循“需要共享”原则。
-
利用外部期望。外部期望(例如合规性要求或立法)是加速部署 DSP 的机会,这些 DSP 适用于符合当前合规性要求或立法范围的数据存储。
-
将对数据使用和共享原则的典型理解从“需要知道”转变为“需要共享”。例如,在“需要知道”原则生效的情况下,DAM 用户被数百万条日志条目淹没。没有人知道他们的数据库中到底发生了什么。客户得到承诺,如果发生违规行为,所有这些日志条目都会突然变得有意义,并揭示需要阻止的内容。这就像中世纪的盔甲,本质上非常安全,但穿着它你却无法很好地行走。然而,到目前为止,商业现实规定了如何使用数据——而 DSP 驱动的安全性可以实现这一点。DSP 就像现代摩托车服,可以帮助您高速行驶,同时仍能自然地移动身体。
评估
在选择单一供应商 DSP 产品之前,请与数据科学家和应用程序所有者一起运行功能试点程序,以确保功能和用户体验满足您的要求。
对于初步评估,您应该:
-
评估所提供功能的广度和深度。其中包括数据发现、分类、访问控制、加密和监控。
-
评估产品可定制的程度以满足您的特定需求(例如,支持数据集市或数据科学家自助服务的可扩展性)。
-
评估所提供的安全措施(例如加密、标记化和数据屏蔽或 DAM)是否满足您当前和未来的需求。
-
对于法规范围内的数据,请确保产品符合相关监管标准,例如 GDPR、HIPAA 和加州消费者隐私法案 (CCPA)。检查它是否提供有助于合规管理的功能。
-
确保 DSP 可扩展,以处理当前和预期的数据量,而不会降低性能。例如,支持高级分析和机器学习的 DSP 架构应避免I/O瓶颈并最大限度地减少额外的延迟。
-
检查产品与您当前 IT 基础架构和业务应用程序的集成程度。许多业务应用程序可能无法从身份驱动的 DSP 规则和策略中受益,除非它们具有集成选项或中间件。例如,某些业务应用程序可能需要将用户名作为 SQL 查询的一部分进行中继,而这并不是默认的。
-
检查供应商是否与其他技术供应商建立了合作伙伴关系(例如,流行商业应用程序的供应商)。此类合作伙伴关系可以表明生态系统的强大性和集成的便利性。
-
在进行产品 POC 时,请从每天与 DSP 互动的用户那里获取反馈。
中国数据安全平台市场指南
数据安全平台可以实现数据安全治理的自动化,并提高整个组织数据存储库的合规性。安全和风险管理领导者应利用这项研究来了解中国数据安全平台市场及其动态。
中国DSP市场概况
数据安全平台 (DSP) 将数据发现、策略定义和跨数据孤岛的策略实施相结合。策略实施功能包括格式保留加密、标记化和动态数据屏蔽。这些功能可以通过连接器、代理、代理服务器和 API 提供。
中国 DSP 市场持续增长,原因如下:
-
传统的、孤立的数据安全控制已不再足够。
-
数据使用和保护合规性要求已显著增加。
-
IT架构分散的企业通常缺乏标准化API,自动化能力有限。
由于DSP 可以支持实施数据安全治理 (DSG),并提高数据驻留、流通和使用的可见性,因此它们使企业能够更轻松地在不同产品之间实施一致的安全策略,并简化数据风险和合规性评估流程。可见性和控制力的提高使个人和组织之间的数据流更加安全,并促进与数据、分析和 AI 计划相关的数据资产的广泛使用,尤其是在中国的金融、电信和政府部门。
市场特征
-
由于监管和安全问题,中国许多运营数据库、数据湖和数据仓库、商业智能 ( BI) 工具和大型语言模型 ( LLM) 部署目前仍保留在本地。本地买家更喜欢支持本地和混合部署的 DSP,以确保与现有数据存储库和管理工具兼容。因此,大多数中国 DSP 供应商优先考虑本地部署,而云原生功能则排在次要位置。
-
DSP通过本机连接器、标准化 API、Java 数据库连接 ( JDBC)/开放数据库连接 (ODBC) 驱动程序和基于文件的集成,在本地和云环境中连接到各种数据源,包括结构化(例如数据仓库和操作数据库)和非结构化数据存储(例如数据湖、日志、文本文件和多媒体数据)。这种连接允许 DSP 实施数据分类、访问管理、加密和审计等安全措施。在中国,企业使用 Apache Hadoop、MySQL、Oracle 和 PostgreSQL 等国际数据库和阿里巴巴 MaxCompute、华为 GaussDB 和 KingBase 等国内选项的组合。这种结合有助于他们满足运营、成本和合规性需求。因此,本地买家优先考虑为国际和国内数据存储预建连接器的 DSP。
-
为了响应中国的数据安全法规,本地 DSP 买家越来越需要超出标准功能的功能。此外,为了满足中国的运营和合规需求,还需要以下功能:
o 数据和关联资产管理:中国的数据安全法规通常要求明确了解数据所在的位置、数据在系统之间的流动方式以及哪些用户或应用程序可以访问数据。企业需要集中查看和控制数据和关联资产,包括数据库、数据和分析平台、文件服务器、API、应用程序和用户帐户。
o 合规审计工作流程和自动报告生成:中国的特定行业法规(如金融、工业、汽车行业)通常要求定期进行数据安全风险评估,以确保符合国家和行业标准,因此自动化工作流程和报告生成对于及时准确的审计文件至关重要。
o 取证和根源分析:中国法律明确要求企业在发生数据泄露时进行详细调查并在一定时间范围内报告调查结果。数据、存储库、应用程序和用户身份之间关系的可观察性对于了解攻击媒介和预防未来事件至关重要。
-
与各种数据存储库和安全工具(如身份和访问管理 [ IAM]、安全信息和事件管理 [ SIEM] 以及数据库审计和保护 [ DAP ] )的集成和策略实施对中国本地 DSP 提供商构成了重大挑战。与利用 CSP 标准化 API 和元数据管理的全球云 DSP 不同,本地 DSP 必须支持具有不一致架构、格式和接口的多种遗留系统。为了解决这些问题,中国的 DSP 供应商专注于其生态系统内的本地集成,并开发了灵活的中间件、可定制的连接器和数据转换框架,以提高与异构工具的互操作性。
-
全球 DSP 在数据发现、分类、目录集成、风险分析和动态策略执行等任务的自动化和智能化方面表现出色。中国的 DSP 可以自动执行发现、分类和合规性报告等基本功能,但更多地依赖人工干预来集成数据源、同步安全工具和处理事件。这种差异源于人工智能/机器学习 ( AI/ML) 的采用有限、数据环境分散以及本地生态系统缺乏标准化框架。
表 1 列出了中国市场上一些具有代表性的国内 DSP 供应商及其产品,帮助您更好地了解中国 DSP 市场及其产品。
表一:中国代表性 DSP 供应商
| 供应商 | 产品 |
| 360数据安全管理平台 | |
| 数据安全中心 | |
| 亚信安全数据安全运营平台(AISDSOP ) | |
| 数据安全运营平台(DSOP) | |
| DBAPP 数据盾数据安全控制平台(AiDSC ) | |
| 数据安全管理平台(DSM) | |
| 山石网科 | 数据安全治理平台 |
| 安全中心 CSAP-MCP-BSO | |
| 数据安全网关 (DSG) | |
| 统一数据安全平台(uDSP ) | |
| 数据安全管控平台 | |
| 数据安全平台 ( DSP) | |
| 数据安全治理中心 | |
| 数据安全管理平台 | |
| 数据安全管理平台(DSMP) |
来源:Gartner(2025 年 1 月)
建议
负责数据安全治理与合规的中国安全和风险管理领导者应该:
-
保留对合规性、连续性或数据主权至关重要的系统的内部部署 DSP,同时集成私有云等混合功能以过渡到现代架构。利用容器化解决方案、标准化 API 和可扩展基础设施将旧系统与云就绪环境连接起来,确保过渡期间的合规性和运营效率。
-
选择具有全面预建连接器的 DSP,这些连接器支持不同环境中的全球和本地数据库和数据平台。通过案例研究或概念验证(POC)测试验证集成功能,以实现统一的数据源兼容性。
-
选择提供 RESTful API、gRPC 或其他符合国际标准的现代通信协议的 DSP,以促进与第三方工具的兼容性并简化跨多种安全技术的安全策略编排。
-
寻找支持广泛认可的元数据标准(例如 OpenMetadata、Apache Atlas)或提供可自定义界面的 DSP,以适应不同的目录结构并确保可扩展性。如果依赖手动集成,要求DSP 供应商或实施合作伙伴开发可重复使用的提取、转换和加载(ETL) 脚本或适合环境的集成工作流,以简化元数据导入和同步。
-
优先考虑具有可衡量的自动化功能(例如任务编排和自动数据分类)和推进 AI/ML 驱动功能(例如预测风险建模和异常检测)的明确路线图的供应商,以弥补人工差距并降低运营开销。
-
与数据管理团队合作,将 DSP 功能与数据工作流相结合,与法律团队合作以确保法规合规性,并让业务负责人参与将 DSP 集成到基本运营中。这可确保在合规性和业务职能部门中一致执行数据安全策略。
扫一扫
1211
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
