如何采用零信任數(shù)據(jù)訪問方法實現(xiàn)數(shù)據(jù)安全現(xiàn)代化？

在不再信任任何人的世界中，零信任安全得到了快速發(fā)展，尤其是自從2018年美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布實施零信任架構(gòu)以來。由于數(shù)據(jù)泄漏事件一直居高不下，網(wǎng)絡(luò)攻擊的復(fù)雜程度不斷提高，因此調(diào)研機(jī)構(gòu)Gartner公司估計，到2022年底，全球在零信任方面的支出將達(dá)到8.919億美元，并預(yù)計到2026年將達(dá)到20億美元。

企業(yè)可以遵循一個實用的零信任模型來確保數(shù)據(jù)安全，并從一開始就關(guān)注數(shù)據(jù)訪問。

重新審視零信任架構(gòu)

零信任是一個安全框架，無論是位于企業(yè)內(nèi)部還是外部的用戶，都需要經(jīng)過身份驗證、授權(quán)和持續(xù)驗證，然后才能訪問應(yīng)用程序和數(shù)據(jù)。隨著從世界各地的混合工作和遠(yuǎn)程工作的興起，用戶通常不會從特定網(wǎng)段訪問數(shù)據(jù)或應(yīng)用程序。而且，隨著越來越多的應(yīng)用程序和數(shù)據(jù)基于SaaS或不屬于特定網(wǎng)絡(luò)邊界，因此需要不同的安全模型。

零信任架構(gòu)具有以下組件：設(shè)計和實施零信任安全策略沒有單一的策略，因為不同的企業(yè)有不同的目標(biāo)和優(yōu)先級，并且在其數(shù)據(jù)可訪問性旅程中處于不同的成熟度級別。例如，一些企業(yè)的策略是強(qiáng)制執(zhí)行“需要知道”的策略，而另一些企業(yè)則正在轉(zhuǎn)向“需要共享”的安全態(tài)勢。

為什么要對數(shù)據(jù)訪問采取統(tǒng)一的零信任方法

企業(yè)需要考慮將統(tǒng)一的、零信任的數(shù)據(jù)訪問方法作為其數(shù)據(jù)保護(hù)策略的一部分的原因有很多，無論是在價值還是風(fēng)險方面。

在統(tǒng)一方面，美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)零信任架構(gòu)的功能組件之一是數(shù)據(jù)安全，其具體定義為“企業(yè)為保護(hù)其信息而制定的所有數(shù)據(jù)訪問策略和規(guī)則，以及保護(hù)靜態(tài)和非靜態(tài)數(shù)據(jù)的手段?！?/p>

由于大多數(shù)企業(yè)的數(shù)據(jù)庫、數(shù)據(jù)倉庫或數(shù)據(jù)湖中都有敏感數(shù)據(jù)，因此這些企業(yè)都必須在其分布式環(huán)境中控制和保護(hù)對所有此類敏感數(shù)據(jù)的訪問。在許多情況下，企業(yè)面臨著越來越多的數(shù)據(jù)用戶(通常被稱為數(shù)據(jù)民主化的趨勢)，這反過來又帶來了一個巨大的機(jī)會——例如產(chǎn)生更多的商業(yè)價值，以及由于減少的數(shù)據(jù)而帶來的額外安全風(fēng)險控制誰訪問敏感數(shù)據(jù)以及何時訪問。因此，企業(yè)需要有明確和確定性的數(shù)據(jù)安全和數(shù)據(jù)訪問策略，以確保數(shù)據(jù)以安全的方式存儲、處理、訪問、使用和共享。

如何將統(tǒng)一且持續(xù)的零信任模型應(yīng)用于數(shù)據(jù)訪問

無論企業(yè)采用何種零信任方法，為了遵循零信任原則，企業(yè)都必須持續(xù)驗證需要訪問數(shù)據(jù)的用戶，也就是持續(xù)對所有數(shù)據(jù)源的用戶進(jìn)行身份驗證、授權(quán)。

以下詳細(xì)地探討這三個維度：

(1)連續(xù)身份驗證需要在每個用戶每次訪問數(shù)據(jù)時驗證其身份。身份驗證可以通過多種方式完成，使用數(shù)據(jù)庫憑據(jù)、使用密鑰對身份驗證或通過使用身份提供程序(IdP)(例如Okta或MSFT Active Directory)的單點(diǎn)登錄(SSO)。這是一個共同的現(xiàn)實：所有企業(yè)都需要使數(shù)據(jù)分析師能夠訪問生產(chǎn)中的數(shù)據(jù)。大多數(shù)企業(yè)遵循的典型路徑是：(a)提供對數(shù)據(jù)的持續(xù)訪問;(b)讓用戶登錄，這反過來由給定部門內(nèi)的許多人共享以訪問生產(chǎn)數(shù)據(jù)。在這種情況下，實際的零信任方法是根據(jù)需要提供對數(shù)據(jù)的臨時訪問。

(2)持續(xù)授權(quán)涉及在用戶通過身份驗證之后驗證用戶可以訪問哪些數(shù)據(jù)。授權(quán)是一項重大挑戰(zhàn)，尤其是在大規(guī)模方面。一方面，授權(quán)的數(shù)據(jù)越多，承擔(dān)的安全風(fēng)險就越大。另一方面，企業(yè)希望用戶能夠訪問他們需要的所有數(shù)據(jù)。零信任授權(quán)的實用方法是跨平臺整合身份驗證，并根據(jù)數(shù)據(jù)消費(fèi)者的不同需求實施實時授權(quán)。這需要掌握每個用戶可以訪問的不同數(shù)據(jù)集、實時或近實時訪問請求和授權(quán);通過跨數(shù)據(jù)存儲撤銷臨時訪問或不再需要的訪問進(jìn)行管理。

(3)持續(xù)驗證需要確保不承擔(dān)額外風(fēng)險，并且數(shù)據(jù)以預(yù)期的方式使用。此類驗證的示例包括應(yīng)用匿名化策略，例如數(shù)據(jù)屏蔽策略和數(shù)據(jù)本地化等。從那里起，企業(yè)需要尋找方法在所有數(shù)據(jù)訪問和所有數(shù)據(jù)平臺上持續(xù)應(yīng)用企業(yè)的數(shù)據(jù)安全策略。對數(shù)據(jù)訪問策略采用統(tǒng)一的方法不僅可以確保它們的一致執(zhí)行，而且還可以對任何隱藏的或新的風(fēng)險進(jìn)行無縫監(jiān)控和審計，并對隱私和合規(guī)性法規(guī)做出適當(dāng)?shù)捻憫?yīng)。