公有雲數據安全如何產品化？

目前國內大部分企業為了提高企業未來的競爭力，IT部門都在做的事情

（1）、激進一點的企業，做整體上雲的計劃，包括其核心數據資產放到雲端自建資料庫、RDS、大數據存儲、對象存儲、CDN等，例如：互聯網金融企業、網路遊戲

（2）、保守一點的企業，也在做積極的IDC改造，或者接入公有雲的混合雲解決方案、或者在自己的IDC數據中心，改造成互聯網架構。例如：一些大型政企業、傳統企業等

在這樣的背景下，很多IT負責人和業務線決策者最擔心的一個問題就是如何做好數據安全治理。難道只是滿足公有雲合規就完事了么？如果企業的決策者只是想拿拿證書，那麼總有一天你的數據會莫名其妙的出現在網路上。

那麼如何做呢？在這裡我們只討論公有雲的情況。

Gartner給我們提供了很好的安全工具參考：

·加密（Crypto）n·以數據為中心的審計和保護（DCAP）n·數據防泄密（DLP）n·雲訪問安全代理（CASB）n·身份防護管理（IAM）n

那我們簡單做一下調研：

但是Gartner作為技術諮詢公司，他們對國際大公司Top500的訪問不一定代表普世的需求，因為真正在雲上活躍的用戶是中小企業的互聯網公司，他們的目標是要顛覆世界五百強的。

結論： 公有雲在DLP和CASB產品方向上的投入十分有限。

雲上的數據泄露到底有沒有大家想像的那麼嚴重？

這只是爆出來的泄密事件，冰山一角。

那麼傳統企業內部數據防泄密是如何做的么？

1. 網路數據防泄漏

· NDLP monitor

· NDLP Prevent

· Web gateway

· Email gateway

2. 終端數據防泄漏

· HDLP Discover

· HDLP Prevent

3. 文件生命周期管理

· DRM 數據版權管理

· 終端文件加密

根據我的經驗，真正落地起作用的寥寥無幾，主要是涉及到的方方面面太多。如果要是把DLP遷移到雲上應該怎麼做呢？

大致的解決方案如下：

1. 加密機解決方案

· 用戶自定義的秘鑰管理

· 雲上所有數據落盤和應用都使用加密機加解密SDK在加密機硬體中完成。

2. 網路數據防泄密

· 存儲到公有雲的各個組件包括：雲伺服器本地文件資料庫、RDS、S3等做到自動敏感數據分級。

· 用戶訪問流量從公有雲VPC環境中到外網流經的數據，需要DLP防護組件的過濾。

· 如果發現敏感信息泄露，阻斷數據對外訪問（一般為web形式）。

3. 雲訪問安全代理

· 雲上數據到客戶端後要在安全的環境中操作，落地用戶環境中的數據具備審計功能。

設計原則：

1、rule No.1、公有雲產品設計最重要的一個特性是提高復用率，無論是EIP、高防、雲主機、RDS等，那麼我們的加密機和網路DLP是否能共享復用呢？

2、rule No.2、設計安全產品，對用戶來說雲上數據安全可控是他們畢生追求的目標。那麼網路DLP能不能在兼容高復用率的情況下提高用戶的隱私安全呢？

最終公有雲的數據安全解決方案

（1）、根據自身的業務需求，在公有雲控制台上開加密機虛擬器，同時，對自己的網路數據丟失保護解決方案評估一下數量。並且開通公有雲加密網路流量檢測虛擬設備。同時購買一個CASB實例。

（2）公有雲廠商給用戶郵寄USB key。通過CASB Agent接入到自己的公有雲VPC環境下（在此之前在VPC環境下創建CASB Server），完成用戶自定義秘鑰管理相關工作。

（3）通過企業產生的秘鑰登陸VPC環境，連接HDLP虛擬服務設備，通過調用加密機解密SDK對數據解密，在流經公有雲外網之前進入VPC環境進行數據防泄密檢測。

（4）當業務部門人員在上傳相關涉密數據到公有雲VPC環境中後，通過機器學習的手段自動識別敏感文件和密級分類，涉密文件在公有雲落盤的時候（文件、自建資料庫、RDS、大數據平台等），通過加密機SDK加密處理。

本文為 bt0sea 原創稿件，授權嘶吼獨家發布，未經許可禁止轉載，如若轉載，請聯繫嘶吼編輯： http://www.4hou.com/business/9943.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：