DCAP是數(shù)據(jù)安全治理過程中的重要技術(shù)組成��。DCAP(Data Centric Audit and Protection)是以數(shù)據(jù)為中心的審計(jì)與安全防護(hù)技術(shù)的統(tǒng)稱����,這些技術(shù)能夠集中監(jiān)控和管理用戶與特定數(shù)據(jù)集相關(guān)的行為。
一. 核心功能
數(shù)據(jù)分類和發(fā)現(xiàn)
數(shù)據(jù)安全治理的前提是對組織的數(shù)據(jù)進(jìn)行分級分類�����,數(shù)據(jù)分類和發(fā)現(xiàn)是實(shí)現(xiàn)數(shù)據(jù)分級分類的技術(shù)支撐�����。目前大多數(shù)據(jù)分類和發(fā)現(xiàn)產(chǎn)品都附帶符合相關(guān)政策的內(nèi)置字典或搜索算法�,如PCI,HIPAA或GDPR����。但是,不同產(chǎn)品的搜索能力有所不同����,例如速度和準(zhǔn)確性��。在特定DBMS���,文件類型,Hadoop或云平臺搜索的能力將因廠商而異�。如果打算將產(chǎn)品與DBMS一起使用,需要搜索到列/表元數(shù)據(jù)或字段���。此外�����,需要檢查是否可以在數(shù)據(jù)庫中的二進(jìn)制大對象(BLOB)或字符大對象(CLOB)中搜索數(shù)據(jù)����。一些產(chǎn)品只能在非結(jié)構(gòu)化文件中進(jìn)行搜索���,并通過將元數(shù)據(jù)附加到每個文件進(jìn)行標(biāo)記。
數(shù)據(jù)安全策略管理
數(shù)據(jù)安全治理中的數(shù)據(jù)安全策略管理是實(shí)現(xiàn)數(shù)據(jù)使用安全的基礎(chǔ)�。數(shù)據(jù)安全策略管理需要提供統(tǒng)一管理控制臺的能力,可以控制所有數(shù)據(jù)存儲倉庫的安全策略����。大多數(shù)產(chǎn)品會分拆這些功能�����,用戶需要分別購買不同的產(chǎn)品�,但同時也需要通過單一的軟件或管理控制臺進(jìn)行統(tǒng)一管理�。將角色和責(zé)任在數(shù)據(jù)安全治理過程中統(tǒng)一起來的功能非常重要。策略的應(yīng)用通?;谕ㄟ^第三方產(chǎn)品(如(AD)或LDAP)進(jìn)行身份驗(yàn)證(用戶身份和業(yè)務(wù)角色)。策略管理人員定義對特定數(shù)據(jù)的訪問策略����,甚至需要授予多個用戶組訪問多個數(shù)據(jù)單元的多對多的能力。如果應(yīng)用程序通過使用連接池來提供更高效的數(shù)據(jù)訪問帳戶��,那么在應(yīng)用程序的級別識別業(yè)務(wù)用戶的就是很重要的能力要求����。有時可以通過與Kerberos等身份驗(yàn)證協(xié)議與應(yīng)用程序進(jìn)行通信,但并不是所有應(yīng)用程序都提供此功能�����。其他產(chǎn)品可能會使用應(yīng)用層的代理程序來收集用戶身份����,從應(yīng)用程序工具中關(guān)聯(lián)日志����,或者使用代理技術(shù)攔截和分析來自應(yīng)用程序或Web服務(wù)器的網(wǎng)網(wǎng)絡(luò)通訊��。以應(yīng)用層為中心的工具將不具有數(shù)據(jù)層用戶訪問權(quán)限的視圖���。應(yīng)該注意��,還有其他控制措施來解決這個問題�,例如額外的代理監(jiān)控代理軟件或數(shù)據(jù)層的加密軟件���。
監(jiān)控用戶權(quán)限和數(shù)據(jù)訪問行為
數(shù)據(jù)安全治理中的用戶權(quán)限監(jiān)控和訪問行為管理是實(shí)現(xiàn)數(shù)據(jù)安全使用的手段����。制訂安全策略來管理和監(jiān)視所有可訪問特定數(shù)據(jù)集的應(yīng)用用戶和管理權(quán)限�����。監(jiān)控AD成員資格的變化或個別權(quán)限的更改是非常重要的�,以確保它們符合業(yè)務(wù)角色�、數(shù)據(jù)類型或數(shù)據(jù)存儲位置相關(guān)的要求����。檢測數(shù)據(jù)修改���、權(quán)限提升和更改安全警報(bào)的功能��,對于檢測潛在的惡意內(nèi)部人員或外部黑客活動以及滿足合規(guī)性�,但是并不是所有的產(chǎn)品都在存儲層運(yùn)行���,并且它們可能無法評估數(shù)據(jù)庫管理員����,系統(tǒng)管理員或開發(fā)人員等特權(quán)用戶的能力��。因此�,產(chǎn)品能夠攔截各種管理員在數(shù)據(jù)和應(yīng)用層的訪問也很重要。產(chǎn)品需要在服務(wù)器峰值加載或網(wǎng)絡(luò)通信擁擠時持續(xù)運(yùn)行���。如果在基礎(chǔ)架構(gòu)高度負(fù)載的情況下需要進(jìn)行密集監(jiān)控��,則必須考慮網(wǎng)絡(luò)架構(gòu)和產(chǎn)品的能力要求�。否則,可能導(dǎo)致延遲或在極端情況下不能監(jiān)視某些行為����。
審計(jì)和報(bào)表
數(shù)據(jù)安全治理中的審計(jì)和報(bào)表技術(shù)是保證數(shù)據(jù)安全使用在既定規(guī)范內(nèi)的關(guān)鍵。隨著數(shù)據(jù)分析要求的不斷增長��,對報(bào)表功能的需求也將增長���。在各種監(jiān)管環(huán)境中的審計(jì)員需要有能力在歷史日志的基礎(chǔ)上對用戶行為的進(jìn)行洞察��,這可能需要至少一個月的可訪問數(shù)據(jù)�。合規(guī)性還將需要各種監(jiān)控功能的審計(jì)跟蹤��,例如異常用戶行為����,數(shù)據(jù)更改,違反政策或更改權(quán)限��。在發(fā)生違規(guī)或安全事件的情況下����,重要的是能夠進(jìn)行審計(jì)日志分析來追溯所有行為,包括數(shù)據(jù)訪問����、修改或權(quán)限更改��。
行為分析,警報(bào)和阻斷
數(shù)據(jù)安全治理中的行為分析和告警和阻斷是實(shí)現(xiàn)數(shù)據(jù)安全使用的技術(shù)保障�����?;陬A(yù)先選擇的監(jiān)控條件創(chuàng)建安全警報(bào)的能力至關(guān)重要,這可能導(dǎo)致不同級別的警報(bào)范圍從政策違規(guī)到訪問數(shù)據(jù)的可疑行為�����。警報(bào)機(jī)制��,包括控制臺顯示器的告警���、對關(guān)鍵安全人員�����、數(shù)據(jù)所有者或業(yè)務(wù)人員的自動消息傳遞���。也可以啟用其他功能,例如自動阻斷訪問或刪除行為。極端的反應(yīng)可能包括在大規(guī)模數(shù)據(jù)下載情況下關(guān)閉訪問�。未來的產(chǎn)品甚至能夠通過一些關(guān)聯(lián)分析來檢測異常行為。分析歷史訪問趨勢的能力將提供越來越重要的洞察力以檢測不適當(dāng)?shù)男袨?。產(chǎn)品的不同之處在于管理控制臺界面的易用性,可以管理和報(bào)告安全警報(bào)����,以及不同數(shù)據(jù)存儲平臺內(nèi)的報(bào)告的粒度。例如:關(guān)于數(shù)據(jù)庫審計(jì)行為��,需要在可以檢測的命令數(shù)量與軟件/硬件處理能力以及結(jié)果集進(jìn)行分析的能力之間進(jìn)行權(quán)衡��。如果服務(wù)器或網(wǎng)絡(luò)通信已經(jīng)嚴(yán)重加載��,并且本地監(jiān)視代理程序處理大量日志的能力受到限制����,則可能會發(fā)生這種情況?���?梢愿鶕?jù)數(shù)據(jù)內(nèi)容和組成員資格或權(quán)限阻止數(shù)據(jù)訪問。當(dāng)控制臺通過具有下發(fā)的策略管理或不同監(jiān)視功能的代理或軟件來監(jiān)督多個數(shù)據(jù)對象時���,可能會有不同的檢測結(jié)果�����。
數(shù)據(jù)保護(hù)
數(shù)據(jù)安全治理中的數(shù)據(jù)保護(hù)技術(shù)是實(shí)現(xiàn)數(shù)據(jù)安全的核心手段����。一些供應(yīng)商通過加密,令牌化或數(shù)據(jù)脫敏提供獨(dú)立的數(shù)據(jù)保護(hù)工具���,而其他廠商不提供這些工具,這樣用戶需要獨(dú)立購買相關(guān)產(chǎn)品����。在這兩種情況下,這些防護(hù)產(chǎn)品可能不會集成到單個管理控制臺中�����,并且需要與數(shù)據(jù)安全策略的仔細(xì)協(xié)調(diào)�����。選擇這些工具需要仔細(xì)評估每種可能提供的威脅和風(fēng)險(xiǎn)�����。例如,實(shí)現(xiàn)透明的數(shù)據(jù)庫加密可以防止系統(tǒng)管理員的訪問��,但數(shù)據(jù)庫管理員仍然可以訪問���。通過數(shù)據(jù)庫服務(wù)器上的代理應(yīng)用數(shù)據(jù)動態(tài)脫敏��,并通過AD鏈接���,可以用于防止數(shù)據(jù)庫管理員訪問。然而�����,存儲時數(shù)據(jù)不受保護(hù)���;它仍然可以由系統(tǒng)管理員訪問�。加密或令牌化字段可以保護(hù)正在活動或存儲的數(shù)據(jù)元素���,但必須注意這不會影響應(yīng)用程序的操作�。
相關(guān)技術(shù)
當(dāng)前的Gartner對DCAP的研究覆蓋四個細(xì)分市場:數(shù)據(jù)庫審計(jì)和保護(hù)(DAP)����;數(shù)據(jù)訪問管理(DAG)���;云訪問安全代理(CASB);和數(shù)據(jù)保護(hù)(DP)���,其中包括加密�����,令牌化和數(shù)據(jù)脫敏(DM)�����。不同的進(jìn)化軌跡,意味著不同的產(chǎn)品在其產(chǎn)品路線圖中具有不同的目標(biāo)和基本功能���。雖然沒有一款產(chǎn)品完全符合DCAP的要求����,但這些產(chǎn)品在每種類別中都在完成跨數(shù)據(jù)處理對象的兼容能力:
DAP
這些產(chǎn)品已經(jīng)開發(fā)了多年��,用于實(shí)施數(shù)據(jù)安全策略���,數(shù)據(jù)分類和發(fā)現(xiàn)�,特權(quán)訪問管理,數(shù)據(jù)活動監(jiān)控或行為分析����,審計(jì)和數(shù)據(jù)保護(hù)。以前����,專注于RDBMS和數(shù)據(jù)倉庫,某些產(chǎn)品開始兼容Hadoop和非結(jié)構(gòu)化文件共享以及DBaaS���。
DAG
這是 有時被稱為以文件為中心的審計(jì)和保護(hù)(FCAP)�。通常�����,這些產(chǎn)品專注于實(shí)施文件數(shù)據(jù)的安全訪問策略�,數(shù)據(jù)分類和發(fā)現(xiàn),以及文件存儲庫和目錄服務(wù)(如SharePoint)的活動監(jiān)視和審計(jì)����。這些產(chǎn)品與身份和訪問管理(IAM)密切相關(guān)。一些產(chǎn)品也開始包含云SaaS應(yīng)用的功能�。
CASB
在SaaS應(yīng)用程序或云存儲環(huán)境(如Microsoft Office 365,Salesforce,ServiceNow����,Box和Dropbox)中保護(hù)數(shù)據(jù)的能力正在通過多種產(chǎn)品快速增長。這些產(chǎn)品具備跨越DCAP��,數(shù)據(jù)丟失防護(hù)(DLP)和用戶實(shí)體行為分析(UEBA)等能力的數(shù)據(jù)安全控制���。CASB正在不斷發(fā)展數(shù)據(jù)分類和發(fā)現(xiàn)���,訪問控制,活動監(jiān)控��,審計(jì)和阻斷�,改寫,加密����,標(biāo)記化和隔離等方面的不同組合���。這些產(chǎn)品通常是獨(dú)立的��,一些CASB可以從企業(yè)DLP產(chǎn)品導(dǎo)入策略�����,但它們的管理并不與內(nèi)部部署DLP集成����。
DP
這些產(chǎn)品傳統(tǒng)上側(cè)重于通過多個數(shù)據(jù)倉庫(RDBMS,數(shù)據(jù)倉庫�����,非結(jié)構(gòu)化大數(shù)據(jù)和一些基于云的企業(yè)文件同步和共享[EFSS]工具)的加密����,標(biāo)記化或遮蔽來保護(hù)數(shù)據(jù)。但是�,通過添加實(shí)時警報(bào),活動監(jiān)控和審計(jì)功能���,幾項(xiàng)產(chǎn)品已經(jīng)創(chuàng)新發(fā)展��。DAP和DAG產(chǎn)品可以提供對文件或數(shù)據(jù)庫中所有數(shù)據(jù)的訪問的監(jiān)視和審計(jì)����,但這些DP產(chǎn)品通常只關(guān)注敏感數(shù)據(jù)類型�����。
產(chǎn)品可以使用各種技術(shù)通過應(yīng)用層和/或數(shù)據(jù)層進(jìn)行連接。通過需要應(yīng)用層代理��,接口或與特權(quán)管理工具的集成�,穿透隱藏了身份標(biāo)識的連接池,從而對來自應(yīng)用層的個人訪問進(jìn)行控制��。
產(chǎn)品咨詢:4000 258 365 
