DCAP是數(shù)據(jù)安全治理過程中的重要技術(shù)組成���。DCAP(Data Centric Audit and Protection)是以數(shù)據(jù)為中心的審計與安全防護技術(shù)的統(tǒng)稱,這些技術(shù)能夠集中監(jiān)控和管理用戶與特定數(shù)據(jù)集相關(guān)的行為��。
一. 核心功能
數(shù)據(jù)分類和發(fā)現(xiàn)
數(shù)據(jù)安全治理的前提是對組織的數(shù)據(jù)進行分級分類����,數(shù)據(jù)分類和發(fā)現(xiàn)是實現(xiàn)數(shù)據(jù)分級分類的技術(shù)支撐�����。目前大多數(shù)據(jù)分類和發(fā)現(xiàn)產(chǎn)品都附帶符合相關(guān)政策的內(nèi)置字典或搜索算法��,如PCI�����,HIPAA或GDPR����。但是��,不同產(chǎn)品的搜索能力有所不同���,例如速度和準(zhǔn)確性��。在特定DBMS�����,文件類型��,Hadoop或云平臺搜索的能力將因廠商而異����。如果打算將產(chǎn)品與DBMS一起使用,需要搜索到列/表元數(shù)據(jù)或字段�。此外,需要檢查是否可以在數(shù)據(jù)庫中的二進制大對象(BLOB)或字符大對象(CLOB)中搜索數(shù)據(jù)����。一些產(chǎn)品只能在非結(jié)構(gòu)化文件中進行搜索,并通過將元數(shù)據(jù)附加到每個文件進行標(biāo)記�。
數(shù)據(jù)安全策略管理
數(shù)據(jù)安全治理中的數(shù)據(jù)安全策略管理是實現(xiàn)數(shù)據(jù)使用安全的基礎(chǔ)。數(shù)據(jù)安全策略管理需要提供統(tǒng)一管理控制臺的能力���,可以控制所有數(shù)據(jù)存儲倉庫的安全策略。大多數(shù)產(chǎn)品會分拆這些功能��,用戶需要分別購買不同的產(chǎn)品����,但同時也需要通過單一的軟件或管理控制臺進行統(tǒng)一管理。將角色和責(zé)任在數(shù)據(jù)安全治理過程中統(tǒng)一起來的功能非常重要����。策略的應(yīng)用通常基于通過第三方產(chǎn)品(如(AD)或LDAP)進行身份驗證(用戶身份和業(yè)務(wù)角色)�。策略管理人員定義對特定數(shù)據(jù)的訪問策略�����,甚至需要授予多個用戶組訪問多個數(shù)據(jù)單元的多對多的能力���。如果應(yīng)用程序通過使用連接池來提供更高效的數(shù)據(jù)訪問帳戶,那么在應(yīng)用程序的級別識別業(yè)務(wù)用戶的就是很重要的能力要求��。有時可以通過與Kerberos等身份驗證協(xié)議與應(yīng)用程序進行通信�����,但并不是所有應(yīng)用程序都提供此功能����。其他產(chǎn)品可能會使用應(yīng)用層的代理程序來收集用戶身份,從應(yīng)用程序工具中關(guān)聯(lián)日志��,或者使用代理技術(shù)攔截和分析來自應(yīng)用程序或Web服務(wù)器的網(wǎng)網(wǎng)絡(luò)通訊�����。以應(yīng)用層為中心的工具將不具有數(shù)據(jù)層用戶訪問權(quán)限的視圖��。應(yīng)該注意,還有其他控制措施來解決這個問題��,例如額外的代理監(jiān)控代理軟件或數(shù)據(jù)層的加密軟件��。
監(jiān)控用戶權(quán)限和數(shù)據(jù)訪問行為
數(shù)據(jù)安全治理中的用戶權(quán)限監(jiān)控和訪問行為管理是實現(xiàn)數(shù)據(jù)安全使用的手段����。制訂安全策略來管理和監(jiān)視所有可訪問特定數(shù)據(jù)集的應(yīng)用用戶和管理權(quán)限。監(jiān)控AD成員資格的變化或個別權(quán)限的更改是非常重要的���,以確保它們符合業(yè)務(wù)角色�、數(shù)據(jù)類型或數(shù)據(jù)存儲位置相關(guān)的要求����。檢測數(shù)據(jù)修改、權(quán)限提升和更改安全警報的功能����,對于檢測潛在的惡意內(nèi)部人員或外部黑客活動以及滿足合規(guī)性���,但是并不是所有的產(chǎn)品都在存儲層運行���,并且它們可能無法評估數(shù)據(jù)庫管理員,系統(tǒng)管理員或開發(fā)人員等特權(quán)用戶的能力。因此�����,產(chǎn)品能夠攔截各種管理員在數(shù)據(jù)和應(yīng)用層的訪問也很重要�。產(chǎn)品需要在服務(wù)器峰值加載或網(wǎng)絡(luò)通信擁擠時持續(xù)運行。如果在基礎(chǔ)架構(gòu)高度負(fù)載的情況下需要進行密集監(jiān)控�����,則必須考慮網(wǎng)絡(luò)架構(gòu)和產(chǎn)品的能力要求�����。否則��,可能導(dǎo)致延遲或在極端情況下不能監(jiān)視某些行為����。
審計和報表
數(shù)據(jù)安全治理中的審計和報表技術(shù)是保證數(shù)據(jù)安全使用在既定規(guī)范內(nèi)的關(guān)鍵。隨著數(shù)據(jù)分析要求的不斷增長�����,對報表功能的需求也將增長��。在各種監(jiān)管環(huán)境中的審計員需要有能力在歷史日志的基礎(chǔ)上對用戶行為的進行洞察,這可能需要至少一個月的可訪問數(shù)據(jù)�。合規(guī)性還將需要各種監(jiān)控功能的審計跟蹤,例如異常用戶行為�����,數(shù)據(jù)更改�,違反政策或更改權(quán)限。在發(fā)生違規(guī)或安全事件的情況下��,重要的是能夠進行審計日志分析來追溯所有行為�����,包括數(shù)據(jù)訪問����、修改或權(quán)限更改。
行為分析�,警報和阻斷
數(shù)據(jù)安全治理中的行為分析和告警和阻斷是實現(xiàn)數(shù)據(jù)安全使用的技術(shù)保障?���;陬A(yù)先選擇的監(jiān)控條件創(chuàng)建安全警報的能力至關(guān)重要�����,這可能導(dǎo)致不同級別的警報范圍從政策違規(guī)到訪問數(shù)據(jù)的可疑行為。警報機制��,包括控制臺顯示器的告警���、對關(guān)鍵安全人員���、數(shù)據(jù)所有者或業(yè)務(wù)人員的自動消息傳遞。也可以啟用其他功能����,例如自動阻斷訪問或刪除行為。極端的反應(yīng)可能包括在大規(guī)模數(shù)據(jù)下載情況下關(guān)閉訪問�。未來的產(chǎn)品甚至能夠通過一些關(guān)聯(lián)分析來檢測異常行為。分析歷史訪問趨勢的能力將提供越來越重要的洞察力以檢測不適當(dāng)?shù)男袨?�。產(chǎn)品的不同之處在于管理控制臺界面的易用性����,可以管理和報告安全警報,以及不同數(shù)據(jù)存儲平臺內(nèi)的報告的粒度�����。例如:關(guān)于數(shù)據(jù)庫審計行為,需要在可以檢測的命令數(shù)量與軟件/硬件處理能力以及結(jié)果集進行分析的能力之間進行權(quán)衡�����。如果服務(wù)器或網(wǎng)絡(luò)通信已經(jīng)嚴(yán)重加載�����,并且本地監(jiān)視代理程序處理大量日志的能力受到限制���,則可能會發(fā)生這種情況�?�?梢愿鶕?jù)數(shù)據(jù)內(nèi)容和組成員資格或權(quán)限阻止數(shù)據(jù)訪問��。當(dāng)控制臺通過具有下發(fā)的策略管理或不同監(jiān)視功能的代理或軟件來監(jiān)督多個數(shù)據(jù)對象時��,可能會有不同的檢測結(jié)果�。
數(shù)據(jù)保護
數(shù)據(jù)安全治理中的數(shù)據(jù)保護技術(shù)是實現(xiàn)數(shù)據(jù)安全的核心手段。一些供應(yīng)商通過加密��,令牌化或數(shù)據(jù)脫敏提供獨立的數(shù)據(jù)保護工具�����,而其他廠商不提供這些工具�,這樣用戶需要獨立購買相關(guān)產(chǎn)品。在這兩種情況下����,這些防護產(chǎn)品可能不會集成到單個管理控制臺中,并且需要與數(shù)據(jù)安全策略的仔細(xì)協(xié)調(diào)�。選擇這些工具需要仔細(xì)評估每種可能提供的威脅和風(fēng)險。例如�,實現(xiàn)透明的數(shù)據(jù)庫加密可以防止系統(tǒng)管理員的訪問,但數(shù)據(jù)庫管理員仍然可以訪問����。通過數(shù)據(jù)庫服務(wù)器上的代理應(yīng)用數(shù)據(jù)動態(tài)脫敏,并通過AD鏈接���,可以用于防止數(shù)據(jù)庫管理員訪問���。然而,存儲時數(shù)據(jù)不受保護�;它仍然可以由系統(tǒng)管理員訪問。加密或令牌化字段可以保護正在活動或存儲的數(shù)據(jù)元素����,但必須注意這不會影響應(yīng)用程序的操作���。
相關(guān)技術(shù)
當(dāng)前的Gartner對DCAP的研究覆蓋四個細(xì)分市場:數(shù)據(jù)庫審計和保護(DAP);數(shù)據(jù)訪問管理(DAG)���;云訪問安全代理(CASB)�;和數(shù)據(jù)保護(DP)�����,其中包括加密����,令牌化和數(shù)據(jù)脫敏(DM)。不同的進化軌跡�,意味著不同的產(chǎn)品在其產(chǎn)品路線圖中具有不同的目標(biāo)和基本功能。雖然沒有一款產(chǎn)品完全符合DCAP的要求�����,但這些產(chǎn)品在每種類別中都在完成跨數(shù)據(jù)處理對象的兼容能力:
DAP
這些產(chǎn)品已經(jīng)開發(fā)了多年��,用于實施數(shù)據(jù)安全策略�,數(shù)據(jù)分類和發(fā)現(xiàn),特權(quán)訪問管理,數(shù)據(jù)活動監(jiān)控或行為分析���,審計和數(shù)據(jù)保護���。以前���,專注于RDBMS和數(shù)據(jù)倉庫���,某些產(chǎn)品開始兼容Hadoop和非結(jié)構(gòu)化文件共享以及DBaaS。
DAG
這是 有時被稱為以文件為中心的審計和保護(FCAP)�。通常,這些產(chǎn)品專注于實施文件數(shù)據(jù)的安全訪問策略���,數(shù)據(jù)分類和發(fā)現(xiàn)��,以及文件存儲庫和目錄服務(wù)(如SharePoint)的活動監(jiān)視和審計���。這些產(chǎn)品與身份和訪問管理(IAM)密切相關(guān)。一些產(chǎn)品也開始包含云SaaS應(yīng)用的功能�����。
CASB
在SaaS應(yīng)用程序或云存儲環(huán)境(如Microsoft Office 365�,Salesforce�����,ServiceNow�,Box和Dropbox)中保護數(shù)據(jù)的能力正在通過多種產(chǎn)品快速增長�。這些產(chǎn)品具備跨越DCAP,數(shù)據(jù)丟失防護(DLP)和用戶實體行為分析(UEBA)等能力的數(shù)據(jù)安全控制���。CASB正在不斷發(fā)展數(shù)據(jù)分類和發(fā)現(xiàn)�����,訪問控制���,活動監(jiān)控,審計和阻斷����,改寫,加密���,標(biāo)記化和隔離等方面的不同組合��。這些產(chǎn)品通常是獨立的���,一些CASB可以從企業(yè)DLP產(chǎn)品導(dǎo)入策略����,但它們的管理并不與內(nèi)部部署DLP集成���。
DP
這些產(chǎn)品傳統(tǒng)上側(cè)重于通過多個數(shù)據(jù)倉庫(RDBMS,數(shù)據(jù)倉庫���,非結(jié)構(gòu)化大數(shù)據(jù)和一些基于云的企業(yè)文件同步和共享[EFSS]工具)的加密��,標(biāo)記化或遮蔽來保護數(shù)據(jù)�。但是�����,通過添加實時警報����,活動監(jiān)控和審計功能,幾項產(chǎn)品已經(jīng)創(chuàng)新發(fā)展�����。DAP和DAG產(chǎn)品可以提供對文件或數(shù)據(jù)庫中所有數(shù)據(jù)的訪問的監(jiān)視和審計,但這些DP產(chǎn)品通常只關(guān)注敏感數(shù)據(jù)類型�����。
產(chǎn)品可以使用各種技術(shù)通過應(yīng)用層和/或數(shù)據(jù)層進行連接�。通過需要應(yīng)用層代理,接口或與特權(quán)管理工具的集成��,穿透隱藏了身份標(biāo)識的連接池�,從而對來自應(yīng)用層的個人訪問進行控制。
產(chǎn)品咨詢:4000 258 365 
