Gartner发布数据安全平台市场指南：数据安全平台的3项必备功能、5项标准功能和全球19家代表性厂商

数据安全平台（DSP）将数据安全控制与业务逻辑和细粒度授权相结合，显著提高了效率和结构化数据安全性。本市场指南向安全和风险管理领导者介绍了 DSP 市场的定义、原理和动态。

主要发现

• 数据安全平台 ( DSP)是数据中心技术堆栈中必不可少的安全控制。它们战略性地位于应用程序和数据库之间，以促进加密、标记化、动态屏蔽和数据库活动监控等控制。

• 随着越来越重视最大化安全控制投资，人们更倾向于具有广泛控制和支持多种数据存储的 DSP。同时，只有最大的客户才会继续投资仅限于特定数据湖的专用 DSP 。

• 由于对在生成 AI使用非结构化数据之前保护其安全的兴趣增加，最终用户对 DSP 的兴趣在过去一年中停滞不前。

• 传统数据安全软件供应商已成功适应，并通过广泛的数据存储覆盖重新赢得终端客户的兴趣。他们现在成为新供应商的榜样，新供应商需要在 GenAI 驱动的环境中适应不断变化的客户需求。

建议

负责大型数据存储的安全和风险管理( SRM )领导者应该：

• 通过整合产品来削减成本。数据库活动监控、数据屏蔽、数据发现、格式保留加密和标记化产品以及价格大幅上涨的早期 DSP 是SRM 领导者整合到现代 DSP 的主要候选产品。

• 建立政策协调机制。为了在技术可行的范围内对尽可能多的数据存储实施一致的政策，请优先考虑提供安全控制和支持各种数据存储的 DSP。

• 为AI/ML 和生成式 AI (GenAI) 用例准备数据安全控制。通过支持各种数据存储和业务应用程序的 DSP，为这些用例提供最大的灵活性。选择具有针对其路线图中非结构化数据的数据安全态势管理 ( DSPM)功能的解决方案。

• 优先考虑本地和混合部署支持。选择支持本地和混合部署的 DSP，以保护现有投资、确保控制兼容性并促进无缝数据迁移，以应对合规性或地缘政治紧张局势。

市场定义

数据安全平台 (DSP) 将数据发现、策略定义和跨数据孤岛的策略实施结合在一起。策略实施功能包括格式保留加密、标记化和动态数据屏蔽。这些功能可以通过连接器、代理、代理服务器和 API 提供。

利用数据和共享数据的业务需求（例如AI/ML用例）需要数据安全控制和高度精细的数据访问，这些访问可以快速配置且易于理解。严密的数据访问和安全控制允许披露和共享（利用）更多数据。然而，在配置和调整权利和数据安全控制方面，组织面临着足够的复杂性。这延伸到数据隐私以及分析治理和道德。

DSP 提供了大多数必需的组件，这些组件对于实现良好的数据治理和优化的数据安全控制至关重要，同时防止数据访问和策略规则的急剧增加。

必备功能

该市场必须具备的功能包括：

• 与数据目录或产品原生数据编目功能集成

• 通过动态数据屏蔽 (DDM)、格式保留加密 (FPE) 或标记化、数据存储 API或特定数据库原生的访问控制策略格式等方式实施字段级或数据对象级粒度授权策略

• 支持多种流行的基于云的数据湖产品

标准功能

该市场的标准功能包括：

• 用于（加速）提供数据访问的自助服务和自动化工作流程

• 数据活动监控 (DAM) 和审计

• 结构化数据存储中的敏感数据的数据发现

• 支持传统关系数据库管理系统 (RDBMS )

• 与流行身份目录集成

可选功能

针对该市场的可选功能包括：

• 静态数据屏蔽 (SDM)

• 测试数据管理

• 创建合成数据

• 创建差异隐私数据子集

• 应用程序和数据之间关系的可观察性

市场描述

DSP 是不可或缺的安全控制手段。它们深嵌在应用和数据库之间的数据中心技术堆栈中（见图1 ），可实现加密、标记化、动态屏蔽和数据库活动监控 (DAM) 等控制。

DSP 位于数据流的中间，可以强制执行安全规则并以其他安全工具无法做到的方式与应用程序集成。此功能使它们对于管理数据安全和确保端到端保护至关重要。

图 1：软件堆栈中的数据安全平台 (DSP)

早期流行的 DSP 主要侧重于确保数据安全并控制谁可以在基于云的数据湖中访问数据。但客户需求现已转向更广泛的 DSP，数据授权是许多大客户所追求的功能（即使不是主要功能）。更广泛的 DSP 还经常包括活动监控和威胁检测，以满足传统的综合数据安全需求。

然而，当 DSP 与第三方数据目录集成时，它们并不总能满足注重安全性的客户的期望。因此，这些客户坚持使用 DSP 的内置产品功能来查找和组织足够的数据，以有效地管理访问控制。

图 2说明了 DSP 的数据存储覆盖范围、封装数据存储以保护数据存储的功能以及与第三方数据目录的可能集成选项。

图 2：DSP 的数据存储覆盖范围、功能和第三方集成

领先的 DSP 提供了实现良好数据安全治理和优化数据安全控制所需的大部分组件。它们通过提供集中式策略和权限控制系统来实现这一点。例如，基于策略的访问控制 (PBAC) 会根据上下文（例如区域数据或时间敏感限制）调整策略。

DSP 还简化了治理流程，其功能包括策略继承，可广泛应用规则，以及为常用策略提供现成的模板。此外，它们还提供测试工具，以确保策略在部署前没有错误，从而减少冗余策略的可能性。

市场方向

仅专注于少数选定的结构化数据存储的专业DSP面临压力，因为最终客户的关注点正在发生变化——从简化数据湖中结构化数据的安全性，到在将非结构化数据用于生成AI之前对其进行充分保护。

最初，DSP 客户购买解决方案是为了简化大型云数据湖中的安全和访问控制，主要侧重于简化数据授权。然而，数据安全客户越来越多地要求更传统的控制，例如 DAM、数据分类和格式保留加密( FPE ) 。

早期DSP的价格大幅上涨（涨幅达数百%），进一步加剧了这种转变。这些价格上涨促使最终客户转向具有更有效许可模式的 DSP ，这些模式不仅可以更好地控制成本，还可以提供更多功能和更广泛的覆盖范围。

数据目录有望成为利用业务元数据和监管信息增强 DSP 访问和安全决策的中央枢纽。然而，事实证明，将 DSP 与数据目录集成非常困难。因此，数据存储之间的政策通常无法像客户预期的那样协调一致。

因此，最成熟的客户现在选择自己开发的定制内部解决方案。这些解决方案使他们能够根据自己的独特需求和挑战更精确地定制数据安全策略。这一趋势凸显了不断发展的 DSP 格局，其中广度和深度变得越来越重要。

由于监管和安全问题，许多运营数据库、数据湖、数据仓库和 BI 工具仍保留在本地。因此，买家更喜欢支持本地和混合部署的 DSP，以确保与现有数据存储库和管理工具的兼容性。

市场分析

在过去五年中，基于云的数据湖的普及影响了结构化数据的安全控制方法。然而，最终客户的需求现在已经从“附加”威胁驱动的数据安全控制转变为深度集成到以数据为中心的技术堆栈中的 DSP。重点已经从追捕难以捉摸的攻击者转移到安全地满足各种业务用例的数据需求。

由于DSP 采用的用例和驱动因素非常广泛，Gartner 并未观察到单一的买家角色。尽管信息安全、治理和合规性领导者在 Gartner 客户电话中被视为买家，但 Gartner 还观察到参与数据管理、数据授权和数据分析的 IT 领导者也是买家。

供应商分类

随着 DSP 的成熟，许多以数据为中心的安全产品供应商都采用了新的策略，市场上出现了三种类型的 DSP：

• 早期DSP ：流行的 DSP 是第一批认识到客户需求的 DSP 之一。这些 DSP 通常专注于 PBAC 功能和一组狭窄的基于云的数据存储，例如Databricks 和 Snowflake 。

• 最近的 DSP：产品涵盖更多数据存储，通常作为 SaaS 服务。这些 DSP 拥有大量包含数据安全和保护功能的产品组合（例如 DAM 或 FPE），以及现已广泛使用的 PBAC。

• 传统的 DAM 和以数据为中心的审计和保护 ( DCAP ) 产品，其中一些产品经过了重大重新架构：作为最终客户新策略的后期采用者，它们现在重新引起了人们的兴趣。在许多情况下，它们的优势仍然在大型云数据湖之外。然而，这些产品专注于与 DSPM 集成，以解决 GenAI驱动的客户用例。

由于 DSP 功能的完整列表非常广泛，Gartner 将功能分为两类：强制性功能和常见功能（参见市场定义部分）。

采用 DSP 的好处

与传统控制相比，采用 DSP 的三个主要优势是：一致性、可扩展性和更低的总拥有成本( TCO ) 。

• 一致性：策略的单一事实来源可实现跨多个数据存储的一致策略。因此，即使记录或单元格中的数据在多个数据库中重复或倍增，用户（例如数据科学家）也具有相同的访问权限，这在大型企业中几乎总是如此。虽然领先的 DSP 可以在 SQL 级别实现这一点，但当数据授权部分由业务应用程序完成时，挑战性会更大。

• 可扩展性：可扩展性与一致性密切相关，但也受部署简易性的驱动，这使得横向扩展能够适应不断增长的数据量和用户群。随着数据足迹的扩大，领先的 DSP 可以将所需的保护（或策略）无缝扩展到新的数据源和环境，而无需冗长的传统安装和部署项目。针对波动的工作负载的动态资源分配以及与 AI 驱动的技术和数据存储的无缝集成是较新的 DSP 和 DSP SaaS 产品相对于传统平台的主要优势。

• 更低的 TCO：与使用专用产品（例如动态数据屏蔽、授权（ABAC、PBAC）、标记化或 DAM）实施一组类似的控制相比，流行的 DSP 具有更低的许可成本和 TCO。

采用DSP 的挑战

Gartner 调查数据显示，实施 DSP 的最终客户面临四大挑战，按客户紧急程度排序如下：

• 规划和准备：深嵌在软件堆栈中的DSP需要大量规划和实施工作。这些 DSP 可能需要与Microsoft Power BI等业务应用程序集成，或者使用标记化和 FPE 等加密技术进行数据保护。对于许多组织而言，与业务应用程序集成是 DSP 实施项目中最具挑战性的方面。此外，Gartner 客户观察到，并非每个 DSP 都具有同等的可扩展性。特别是在高负载下，可能缺少有价值的 PBAC 控制，例如 SQL 查询会返回需要修改选定标识符或字段的大型数据集。由于PBAC和 DSP 是一个年轻的市场，因此目前，最终客户需要进行耗时的POC 来确认所选的 DSP 是否在其本地环境中提供持续的数据保护。

• 耗时的管理：任何数据安全产品的日常管理（无论其质量如何或整合程度如何）都是一项耗时的任务。DSP 也不例外。客户需要确保适当级别的治理流程、人员配备和技能来支持日常管理。为了实现这一目标，在适当的情况下，加入额外资源（例如数据管理员）。

• 覆盖范围不足：新供应商提供的 DSP 覆盖范围通常仅限于最流行的基于云的数据存储和业务应用程序。尽管供应商几乎总是声称支持广泛的数据存储和应用程序，但在处理供应商原始领域之外的存储时，实施可能会很困难且耗时。对于从传统产品发展而来的 DSP，情况则相反——它们继续最好地支持传统的本地数据存储或其直接迁移版本。然而，对流行的基于云的数据仓库和数据湖的支持通常不是无缝集成或强大的。这可能会给寻求基于策略的异构环境访问和授权一致性的客户带来重大挑战。

• 阻碍成本控制的许可模式：Gartner 发现，功能相似的 DSP 之间存在显著的价格差异，有些产品的成本相差 10 到 20 倍。值得注意的是，在 2022 年和 2023 年，某些流行的 DSP 的价格上涨了 300%。重要的是，低价产品并不一定意味着产品质量低劣或不成熟。DSP许可模式也千差万别，影响最终客户的成本控制。许多流行的 DSP 的许可结构会随着数据存储或用户群的扩大而阻碍成本管理，无论是由于新的用例、有机增长还是并购。这通常会迫使最终客户转向具有更灵活许可模式的 DSP，以更好地适应其公司规模和用例。此外，DSP 定价范围很广。尽管产品功能有很大的重叠，但高价选项可能比低价选项贵几百倍。

代表供应商

本部分介绍了早期 DSP 和近期 DSP 的代表性供应商。它还列出了对其产品进行了重大重构的传统供应商。

随着不同的数据安全功能不断融合到 DSP，以及来自多个地理区域的新进入者不断涌入，DSP 市场变得越来越拥挤。表1列出了具有代表性的 DSP 供应商。

表1 ：代表性 DSP 供应商

供应商	产品名称
ALTR	ALTR
Baffle	Baffle数据保护
comforte	comforte数据安全平台
IBM	IBM Security Guardium 数据保护
Immuta	Immuta数据安全平台
微软	Microsoft Purview
甲骨文	Oracle 数据安全
PlainID	PlainID授权平台
Prime Factors	加密RIGHT
Privacera	统一数据安全平台
Protegrity	Protegrity数据安全平台
Raito	数据安全平台
Satori	数据与人工智能安全平台
SecuPi	SecuPi平台
Securiti	数据指挥中心
Thales	CipherTrust 数据安全平台
TrustLogix	TrustLogix云数据安全平台
Varonis (Cyral)	Varonis 数据安全平台
Velotix	Velotix DSP

来源：Gartner（2025 年 3 月）

市场建议

在为结构化数据设计和实施以数据为中心的安全控制时，SRM 领导者应重点关注：削减成本、协调政策、支持 GenAI 用例以及本地和混合部署支持。

通过整合产品来削减成本

开始整合高级控制。专注于高级控制的 DSP 通常比专注于传统控制或仅专注于一两个基于云的数据存储的 DSP 具有更广泛的覆盖范围。例如，提供标记化或字段级加密功能的 DSP 通常包括数据屏蔽（作为令牌的后处理步骤）、单元级授权的 PBAC 和数据库活动监控。相比之下，专注于 DAM 的 DSP 通常强调寻找攻击者，很少实现相同的业务目标。

鉴于早期 DSP 的价格大幅上涨，最终客户应寻求具有许可模式的 DSP，以便在提供广泛功能的同时实现成本控制。拥有一个能够提供良好投资回报的 DSP 是数据中心安全架构的良好基础。不过需要评估所提供的数据存储覆盖范围和功能是否符合组织的特定需求。允许成本控制的许可模式通常基于数据存储的使用情况或数量，这可以在您的组织和数据需求增长时提供更可预测的成本和可扩展性。

建立政策协调

优先考虑支持各种数据存储和应用程序的 DSP，无论它们是基于云的还是本地的。要有效实施这一策略，首先要将数据存储的 DSP 覆盖范围与业务应用程序相匹配。此外，选择具有令人信服的控制和价值主张的 DSP，以确保 AI 用例面向未来。

如果现成的 DSP 不能满足大型组织的特定集成和政策协调需求，则大型组织可以考虑内部开发定制的 DSP 功能。定制解决方案可以根据独特的组织要求和挑战进行量身定制。

为GenAI、AI 和 ML用例的数据安全控制做好准备

尽管 GenAI 已将大部分注意力转移到非结构化数据的安全性上，但结构化数据仍然特别容易受到攻击。例如，通过检索增强生成 ( RAG) 或即时注入攻击而意外暴露，使得结构化数据的安全性对于选定的 GenAI 部署架构同样重要。

在选择新的 DSP 或扩展现有部署时，客户应优先考虑为 AI/ML 和 GenAI 用例提供最大灵活性的产品。选择提供控制的 DSP（例如，仅元数据公开、跨各种结构化数据存储和业务应用程序的数据屏蔽或标记化），理想情况下，还计划为非结构化数据添加 DSPM 功能。

优先考虑本地和混合部署支持

由于许多组织继续依赖本地数据存储和混合部署，因此最终客户选择也支持这些位置的 DSP 非常重要。这可确保控制的兼容性，同时保护对本地基础设施的现有投资。此外，兼容多种部署模型可最大限度地减少由于未来合规性要求或地缘政治紧张局势而需要重新定位数据时的摩擦。制定利用基于云和本地解决方案优势的混合数据安全策略可以增强数据安全态势的灵活性和弹性。