数据安全平台(DSP,Data Security
Platforms)的概念来源于Gartner的《2021数据安全技术成熟度曲线》,DSP定义为以数据安全为中心的产品和服务,旨在跨数据类型、存储孤岛和生态系统集成数据的独特保护需求。
市场上均出现了提供不同安全能力及组合的数据安全平台或数据安全管理平台,
本文主要根据Gartner的文章,分析解读数据安全平台概念形成的原因、发展趋势以及核心的数据安全能力,再结合当前国外典型厂商的产品,从概念和产品了解DSP的建设和落地路线。
主要驱动力
当前数据安全合规要求以及数据安全存在的风险,都要求企业在组织架构、安全架构、数据保护工具等方面进行改善:
保护职能和职责变化:
大量的业务活动导致数据量增多,广泛存在于本地、云不同的位置,并且在系统中不断的流动,这对原有数据安全团队的保护职能和职责带来很大的变化。
重复建设和建设周期长: 为了满足合规检查,以产品为中心的数据安全建设,存在重复建设和建设周期长的情况
传统管控方式致使数据泄露风险大:采用传统的安全工具和管控模式,无法适应各类数据流通场景,阻止了数据的有效利用,导致数据泄露风险大
安全产品缺乏协同管理: 各安全产品缺乏有效的联动和统一管理,传统的竖井式的安全控制措施,导致功能的理解和限制较大。
现有集成方案难以满足防护需求: 数据保护的技术一直在更新,需求复杂性的,导致供应商整合和集成这些技术难以很好的满足需求
DSP的发展
下图展示了自 2009
年以来数据安全控制能力汇集情况,一些能力很早就存在,但产品能力都是孤立的,但逐步汇集成数据安全平台后,这些安全能力的协同管理也是当前大多数DSP所积极推进的。
数据安全产品能力的汇集和扩展一般基于核心产品能力进行横向扩展,一类从数据脱敏的功能扩展,横向扩展到DAM数据库活动监控能力、数据处理所需的数据标记化和数据掩码能力;另一类从访问控制能力扩展,通过动态数据脱敏网关的产品重建审计日志,增加DAM能力,数据发现功能,扩展数到据访问治理的能力;还有一类是从基于数据发现和数据分类的能力进行扩展。
图一:数据安全控制能力汇聚示意图
DSP的未来发展状态
从孤立的数据安全产品过渡到数据安全平台,能够显著提高数据的业务利用率和价值,从而实现更简单、一致的端到端数据安全。Gartner认为未来的数据安全防护平台DSP应具有如下主要的特点:
安全策略的一致性和可视化 :敏感数据、数据存储的安全策略和规则的一致的可视性,敏感数据的可视性和控制是DSP的关键功能。
数据分类应采用语义功能来判断 ,而不应依赖预配置的标识符。
整合的策略控制平面
,DSP管理控制平面与数据类型和控制对象分离,集中管理数据安全策略,保持数据安全规则的一致性,与环境高度集成,而无需考虑数据或所需的控制目标。
高级别集成和简化部署 ,以API方式和云交付,比如代理软件或网关,以最小侵入性方式创建DSP的架构,可作为独立工具和基于云的服务产品提供。
Gartner把数据安全的相关概念分成了人员流程层、DSP数据安全平台层、辅助的数据安全基础架构三层,DSP 处于中间
。与图一的现状不同,这张图从顶层规划的角度,从甲方视角分层定义了数据安全所需的各类能力,区分了数据安全的基础能力。
人员流程层主要通过处理定义的数据策略和流程来保护公司数据,并主要通过DSP的技术执行。辅助的数据安全基础架构包括了基础通用的数据安全能力,如增强隐私加密、密钥和机密管理、文