多云复杂环境下的数据安全思考

近期，IT东方汇王牌活动T-Chat182期邀请中国信通院、锦天城律所、默克、赛诺菲等科研机构、律所和科技企业的IT高管们，围绕“医疗大健康行业数据跨境合规的思考与实践”主题展开讨论与分享。默安科技安全研究院院长程进在会上发表题为《多云复杂环境下的数据安全思考》的演讲，围绕云上数据安全面临的形势、云数据服务带来的新风险、云上数据安全解决思路等三个方面，分享了当前多云环境下数据安全挑战与解决这一问题的新思路和新方法。

云上数据安全当下形势如何？

近年来，数据安全事件频发，成为企业上云面临的首要安全威胁。2022年9月，微软Azure Blob存储服务器配置错误，65000个实体的敏感数据公开；2022年12月，LastPass遭到黑客攻击，黑客通过开发环境源码窃取到了员工身份认证凭据，窃取了云上备份的数据……Gartner研究表明，针对云服务成功进行的一些攻击行为几乎全部来自于客户的错误配置、管理不当、其他疏忽导致的错误行为。预计到2025年，对云服务控制不当的组织90%会将其敏感数据暴露出去。伴随企业上云进程的加快，云上数据安全的保护已迫在眉睫。

与此同时，数据保护越来越成为各国关注的焦点，目前全球已有60%的国家和地区制定了数据与隐私保护立法，我国也不断加强对数据及隐私安全的监管，对广大政企提出了更高的数据安全合规性要求。《网络安全法》《数据安全法》《个人信息保护法》等数据安全相关法律法规相继颁布，核心要求是监管和规范企业或个人对于数据的相关行为，以防止滥用数据，以及监管跨境数据转移等内容，重点保障国家、企业、个人的利益。

云数据服务带来哪些安全风险？

云数据服务给业务带来了更强的灵活性和敏捷性，但同时也带来了新的安全风险。云上数据安全问题产生的原因可以分为以下几类：在配置层面，包括存储服务被开放到公网、网络策略开放过大、账户权限控制不当、缺少行为审计、存在未授权服务等；在监测层面，包括存储服务权限过大、缺乏数据行为审计、云账户凭据泄露、缺少存储配置检查、缺乏异常行为分析等。

数据存储方式多、配置繁杂、容易出错

大量云安全事件的发生都源于基础配置的错误，但由于不同云服务商提供的云服务类型、配置方式、安全规范要求等均存在差异，仅仅依赖于厂商或企业自身难以关注到安全方方面面。

权限管理多样、难梳理谁能访问什么数据

权限的来源，除了角色、组、用户外，还有resource-based policies，想要梳理出来目标数据能被谁访问，复杂度非常高。

云上基本无流量监测手段、数据泄露行为难发现

目前仅有极少数云厂商支持VPC flow，绝大部分并不支持，缺乏对云端的流量监测手段，导致云端数据安全难以有效保障。

云上日志种类多、数据量大、普遍缺乏审计

以国内三大云厂商为例，阿里云、腾讯云、华为云存在日志的云服务超过70+种，可审计的行为类型超过10000+类，需要重点审计的行为则超过300+类。但现实情况却是，由于云上日志种类多、数据量大，国内普遍缺乏对云上日志的审计。

如何解决云上数据安全问题？

针对多云环境数据安全防护，程进给出以下建议：一是收集云上数据资产、云服务资产清单；二是排查云上数据资产暴露、泄露情况；三是云上安全防护左移，实现应用上线即安全；四是结合监管要求和企业业务，守住安全基线合规底线；五是可视化数据、风险及合规情况，实时评价云上管理能力；六是加固多云基础设施，保障数据存储的安全性；七是统一身份和访问管理，实现最小化权限原则；八是持续检测云平台日志，即时发现异常行为。

那么，是否有这样一类方案能够全面有效地解决云上数据安全问题呢？

数据安全态势管理（DSPM）的新技术应运而生。DSPM使用只读的权限，通过云平台提供的 API 接口，获取云资源配置信息、云行为日志信息，用于检测资源的配置是否存在安全风险、云上行为是否存在风险、是否存在云上数据泄露等问题。

DSPM主要通过以下四个关键步骤来有效降低数据风险：一是检查敏感数据，识别数据跨境存储，包括发现数据资产位置、识别敏感数据类型、分析数据是否暴露等。二是云上数据存储服务合规，包括云安全配置合规检查以及云安全最佳配置实践。三是云行为安全审计，包括云平台操作日志分析、风险行为识别、资源访问告警和建立用户画像。四是云内数据权限梳理，梳理云上账号、资源、角色、组等权限实体对象，绘制数据/资源与权限的对应关系，识别授予过高访问权限带来的风险。

DSPM能为企业提供以下关键价值和收益：一是数据服务配置安全，帮助用户进行云上服务合规检查，自动出具合规报告，并提供一键修复能力。二是数据泄露事件发现，识别数据是否暴露，检测数据接口是否对外，及时治理，实时阻断数据泄露行为。三是敏感数据识别分类，发现敏感数据位置，并进行数据分类。四是敏感数据流转，支持多云、混合云统一管理，云上数据访问关系，流转权限梳理。

宵明——保护云上数据安全利器

默安科技推出的宵明·云安全态势管理平台，在一个统一的界面中将最佳安全实践应用于混合云、多云，识别并自动修复复杂云环境中的安全问题，保护云基础架构以及云上数据安全，是解决云上配置、数据、行为、身份安全的利器。宵明集成了DSPM的部分能力，并在数据安全方面提供以下核心能力：

自动数据发现

构建数据跨越多个云服务商存储敏感数据的多种服务，包括对象存储、块状存储、数据库服务在内，如 Amazon S3、Google Cloud Storage、Azure Blob、阿里云OSS等。

数据分类分级

使用机器学习的方式理解数据的内容，将它们按照PCIDSS、HIPAA、个人信息保护法等法律法规的要求分类分级。这使组织可以更有效地管理其数据安全状况，确定不同数据资产的安全策略和事件响应的优先级。

数据暴露检测

综合储存桶访问控制ACL、权限策略Policy、文件ACL，通过逻辑检测分析储存桶中文件暴露风险，防止发生敏感数据泄露等重大安全问题。

恶意文件扫描

通过多种病毒检测引擎，实时检测云存储中携带蠕虫、木马、脚本病毒等恶意内容的文件，帮助用户及时识别和清理潜在的安全威胁。

数据使用审计

收集所有数据存储服务的日志在独立的位置存储，审计存储桶级别的创建、修改安全策略等行为日志，以及文件对象级别的文件读取、存储、修改、删除等行为日志，发现任何异常的数据访问行为并及时阻断。

目前，宵明·云安全态势管理平台已在政府、智能制造等行业得到成功应用，并凭借先进的创新理念与产品实力，于近日获得“云原生安全技术创新奖”。默安科技将继续凭借领先的技术优势、卓越的产品理念和丰富的实战经验，在云安全领域积极探索与深耕，帮助广大政企客户构筑并完善基于云的下一代安全防护体系。