一文透析騰訊雲如何為企業構建「數據全生命周期保護」
- 2019 年 12 月 26 日
- 筆記
伴隨數據成為企業的核心資產,數據安全已經成為所有企業在產業互聯網時代必須直面的挑戰。
今年的數據安全態勢仍然不容樂觀,據Risk Based Security數據,截至2019年前6個月,世界範圍內已經發生了3813起數據泄露事件,平均每天21起,公開的數據為41億條,數據泄露事件的數量與去年同期相比增加了54%。在被泄露的41億條數據中,有32億的數據泄露歸咎於8起泄露事件。
企業為此不僅付出了高額的代價,還將面臨來自監管更為嚴厲的處罰——GDPR高達企業全球年營業額的2%到4%的罰款令人咋舌……與此同時,中國相關法律法規也開始不斷落地。網路安全法、等保2.0、密碼法等相繼開始實施,進一步提升企業做好數據安全的重要性。
從數據流動的角度看待數據安全
數字化時代,企業數據一旦生產出來後就會進入傳輸、存儲、處理、分析、訪問與服務應用等各環節,且周而復始如同流淌的血液,而這些環節涉及到研發運維人員、最終用戶、生態夥伴、伺服器、辦公終端、內外網路、大數據分析平台、雲平台等,任意一個環節都面臨著數據安全挑戰,造成企業數據失血。
這意味著企業不能只在關鍵節點構築防禦堡壘。從2002年起,中國就出現了以防止敏感資訊泄露為目的的防水牆系統,數據防泄密領域先後發展了主機監控與審計、桌面管理、終端安全、修補程式管理、移動存儲介質管理、終端准入等安全管理手段。目前這類手段就如同IDS、防火牆、殺毒軟體一樣,從網路邊界、系統安全、設備管控的角度來保證內部資訊不受外部的入侵、更多的是用堵的方式來堆砌高牆,把需要保護的資訊給圍起來。
通過梳理近年來層出不窮的數據泄露事件的原因就能發現:既有黑客的攻擊,更有內部工作人員的資訊販賣、離職員工的資訊泄露、第三方外包人員的交易行為、數據共享第三方的數據泄露、開發測試人員的違規等,多種原因導致的數據泄露事件背後折射出的是,僅僅依靠單點防護難以達到真正的安全防護效果。
毫無疑問,企業保護數據安全應該轉向以數據為中心構建防護策略,並遵循數據流動的方向,構建基於全生命周期的安全防護。值得一提的是,企業上雲大潮的趨勢下,討論數據安全絕大部分要從雲環境出發,雲原生的數據保護技術和策略也將成為當下及未來的主要手段。
騰訊安全數據全生命周期保護體系
突破四大難點
事實上,近年來企業和安全廠商已經就數據全生命周期的安全防護達成共識,但是如何突破數據全生命周期安全管理的「四大難點」,卻各有千秋。騰訊雲綜合運用數據安全管理經驗和數據保護技術打造了數據安全治理中心、數據加密服務、密鑰管理系統、憑據管理系統、數據安全審計、堡壘機、敏感數據處理等七大產品體系,針對性地在數據全生命周期每個階段提供保護,幫助用戶克服數據安全防護的「四大難」,助力企業快速構建數據安全防線。
1. 數據的分類、治理和策略的管理
萬事開頭難,數據全生命周期的防護從數據生產之時就已經啟動。此時的防護重點是需要對數據進行分級,明確哪些是機密數據、敏感數據、普通數據,進而根據數據的不同等級,設置不同的安全策略。
基於數據流的理念,騰訊雲通過數據安全治理中心對數據資產感知與風險識別,為企業雲上敏感數據進行定位與分類分級,並幫助企業針對風險問題來設置數據安全策略,提高防護措施有效性。有別於其他的數據資產感知產品,數據安全治理中心以數據安全治理為核心,重點強化數據資產感知、數據安全治理、聯防聯控。同時,結合騰訊和生態的優勢為企業提供安全管理諮詢、安全技術諮詢、安全專家服務,實現服務能力的整合。
2. 數據保護技術
數據在存儲、傳輸、使用過程中如何應用加密技術以及脫敏技術進行數據的保護是第二大重點。尤其是機密數據需要持續性的保護,因為它們在企業內部和組織內共享,企業必須確保其資料庫、文檔管理系統、文件伺服器在整個生命周期內正確分類和保護機密數據。
毫無疑問,加密技術首當其衝,尤其是前不久《密碼法》頒布,對於不少行業而言,應用加密技術保護數據已然成為剛需。但是密碼技術卻存在老三難——「難做、難用、難管」,密碼演算法、密碼產品、密碼應用三者明顯脫節,國密密碼演算法涉及的應用改造工作量巨大更是不可忽視的挑戰。
騰訊雲數據加密服務(CloudHSM),基於國密局認證的物理加密機(Hardware Security Module,HSM)利用虛擬化技術,提供彈性、高可用、高性能的數據加解密等雲上數據安全服務可以滿足金融、互聯網等行業加密需求,保障企業業務數據隱私安全。尤其在金融領域,數據加密服務(CloudHSM)可提供符合金融支付規範的要求的數據加密和驗證等服務,保金融數據安全,並符合金融磁條卡、IC卡業務特點的,主要實現PIN加密、PIN 轉加密、MAC產生和校驗、數據加解密、簽名驗證以及密鑰管理等密碼管理功能的雲加密實例。而針對不適合採用硬體加密的業務場景,騰訊雲獨家推出基於國產密碼演算法的軟加密模組SM Encryption SDK,用戶只需簡單的集成SDK而無需修改程式碼,即可快速實現基於國產密碼演算法的加密運算,或對業務進行密碼國產化改造。
對於敏感數據的保護,騰訊雲同樣擁有「武器」——敏感數據處理(Cloud Data Shield-Mask),可為數據系統中的敏感資訊進行脫敏處理並在泄露時提供追溯依據,為企業核心數據提供有效的安全保護措施,敏感數據處理支援多達29種內置的敏感數據識別規則,覆蓋中美歐等多國有關個人資訊保護的法律法規。而對於不方便進行脫敏的核心數據,敏感數據處理系統能夠通過水印技術,將泄露的數據集進行外泄時間和嫌疑人的定位,從而將泄密事件影響降到最低。
此外,在微服務、DevOps、無伺服器計算日益普及的今天,資料庫憑證、API 密鑰和其他密鑰、配置資訊等敏感憑據的集中管控及安全存儲能力,是企業數據安全管理的必要一環。騰訊雲推出了行業首家憑據管理系統Secrets Manager服務,為用戶提供憑據的創建、使用、刪除、許可權等全生命周期管理,所有的憑據由密鑰管理系統(KMS)進行加密保護,並且提供非常便捷的使用介面和SDK,極大程度地降低用戶的使用成本和管理成本。
3. 密鑰管理
在應用加密技術之後,數據安全問題也就轉化成了密鑰的安全問題,如何保護密鑰的安全也因此成了一大難點。騰訊雲密鑰管理系統(Key Management Service,KMS)可以幫助企業輕鬆創建和管理密鑰,保護密鑰的保密性、完整性和可用性,滿足企業多應用、多業務的密鑰管理需求,並符合監管和合規要求。除此之外,與上述的CloudHSM一樣,「雲原生」是騰訊安全在密碼服務方面的一大特點,KMS可與騰訊雲對象存儲、分散式資料庫、雲硬碟等雲服務無縫集成,讓企業可以體驗通過密鑰管理系統對其進行密鑰管理。
4. 事件監測分析
數據安全不僅是技術問題,更是管理問題。企業遭遇「內鬼」泄密的案例已屢見不鮮。對此,騰訊安全在運維審計和資料庫審計雙重發力,能及時發現每一條異常行為。
在運維審計方面,騰訊雲堡壘機——數據安全網關(Cloud Shield- Data Data Access Security Broker)結合堡壘機與人工智慧技術,為企業提供運維人員操作審計,對異常行為進行告警,防止內部數據泄密;資料庫審計方面,數據安全審計(Cloud Data Shield-Audit)同樣是基於人工智慧,可挖掘資料庫運行過程中各類潛在風險和隱患,為資料庫安全運行保駕護航。
20年數據保護經驗助力企業
快速構建數據全生命周期保護體系
安全問題歸根結底是「人+方法+工具」的綜合作用結果。騰訊雲打造的數據全生命周期防護體系,在向企業客戶提供服務時,充分發揮了騰訊過去20年積累的技術、人才、經驗等優勢,可以讓企業極簡快速地構建全生命周期的安全防護體系。
開箱即用的「雲數據安全中台」:在數據加密保護方面,騰訊雲整合數據加密軟硬體系統(CloudHSM / SEM)、密鑰管理系統(KMS)以及憑據管理系統(Secrets Manager)三大能力,推出了「雲數據安全中台」,打造了端到端的雲數據全生命周期安全體系,將密碼運算、密碼技術及密碼產品以服務化、組件化的方式輸出,並無縫集成至騰訊雲產品中;通過標準化的API介面/SDK服務,實現從數據獲取、事務處理及檢索、數據分析與服務,數據訪問與消費過程中的安全防護,企業可以據此極簡構建全生命周期的數據加密能力。
AI讓審計更高效精準:騰訊雲的AI異常行為預警能力成為其場景化落地過程中關鍵的一環,同時也起到了串聯整個防護體系運行的作用。騰訊雲會通過機器學習與深度學習,將員工日常操作中的每一次行為都記錄並抽象成行為模型,了解其與敏感資產的交互規律。當其開始訪問正常工作中用不到的敏感資訊時,會與平常行為軌跡產生偏差,騰訊雲會進行直觀展現與預警。而當該員工實施數據竊取時,騰訊雲也會實時告警並收回其數據訪問許可權,及時止損。同時,事後騰訊雲也會針對暴露的安全漏洞給出改進建議,持續提升企業數據安全防護等級。即使像「螞蟻搬家」這樣隱秘的數據竊取操作方式,也能被及時發現和預警。
前沿安全技術應用落地:在具體的安全產品上,騰訊雲應用了諸多前沿的安全技術。為了對抗量子計算對加密的威脅,開發了量子電腦也無法破解的抗量子加密演算法;使用AI引擎的資料庫審計,可以更精準的識別如SQL注入等惡意語句,並實現了20萬SQL每秒的業內領先吞吐速度;在大數據融合計算中,提供K匿名脫敏演算法,保證個人隱私數據無法被還原竊取,同時將誤差控制在2%以下,極大的保留了數據的可用性;另外還獲得了密文求交集的研發專利,針對性解決聯合營銷推廣、徵信查詢、聯合建模等場景下的數據泄露風險。
頂尖安全專家及安全生態:人才同樣是騰訊雲的優勢之一。騰訊雲擁有具備10+年的甲乙方網路安全從業經驗、CSO戰略高度、億元級規模資訊系統項目的實踐管理經驗的資深網路安全專家以及騰訊安全七大實驗室的全球頂級白帽黑客,可以為企業客戶量身訂製包括但不限於合規諮詢、風險評估、安全規劃、數據治理、安全審計、應急演練、安全培訓等一站式服務。同時,騰訊安全還擁有龐大的安全生態,能確保為企業提供完善全面的解決方案。
目前,騰訊雲圍繞數據全生命周期構建的安全防護體系,已應用在各行各業,對於互聯網、零售行業的用戶隱私保護需求;汽車製造、金融等行業落實業務核心數據防護的需求;遊戲行業出海數據合規需求;以及政府行業解決公共數據歸集與管理的安全需求都有落地案例。
