数据安全新风口：DataSecOps如何为数字时代灌溉安全

正如DevSecOps之于开发安全的价值一样，DataSecOps也正在成为数据安全的一个新兴趋势。
 
何为DataSecOps？
 
随着数字化转型进程的不断深入，应用逐渐向云端过渡，企业必须以非常敏捷的方式，更快地开发和迭代产品，DevOps模式通过持续的集成、交付、部署帮助研发团队在保持高质量情况下提高效率。而愈演愈烈的安全事件让人们意识到，安全不能只是一个一切就绪后的外挂系统，将安全更早地嵌入到DevOps流程中去，DevSecOps的概念便应运而生。
 
数据也是如此。大规模的数据迁移到云端，企业正在生成、存储、分析前所未有的数据量，几乎所有的部门团队都需要更广泛、更高效的数据访问和数据处理来支撑业务发展，DataOps作为一种协作化数据管理实践，专注于在动态的数据环境中，改善数据流的通信、集成和自动化。
 
 
然而，更多的数据，更高频的访问，更复杂的人员、系统、接口的参与和协作，必然带来更加汹涌的安全、隐私、合规风险。DataSecOps将安全视为DataOps的一部分，以敏捷、整体的方式在DataOps过程中嵌入安全属性，用于控制和协调不断变化的数据及其用户，旨在让数据能够更快捷、更安全地创造提供价值。
 
数字时代的数据安全困境在哪里？
 
数据安全并不是一个新生的需求，为何需要提倡新的理念？当数据的内涵、特征和价值发生变化，数据安全保护的诉求和重点也顺应而变。
 
数据安全的技术发展经历了不同的阶段。传统的边界安全具有一定的数据安全检测和管控能力，主要针对敏感数据经过内外网络之间的流动监管问题，但是对内部的数据流动缺乏检测和响应；数据库安全通过数据加密、审计、脱敏、运维等手段，对交互性较弱的结构化数据起到保护，但是面对如今多源异构的数据类型和复杂的数据运营场景渐显乏力。
 
近年来，还有数据泄露防护(DLP)、用户实体行为分析(UEBA)等技术逐渐落地实践，业界针对数据生命周期的不同阶段采取不同的安全技术进行分块管控保护，演化出对多种技术叠加应用的综合型数据安全解决方案。
 
在用户侧的应用却反馈出，因为系统中事先存在的一些盲区以及缺口，其实是无法通过产品的堆叠来解决的；数据流动导致各环节分块治理，缺乏统一的策略和联动，反而容易形成安全的孤岛，增加运维成本却无法提升安全的效率和效果。
 
DataSecOps的思路正好弥补了上述数字时代特有的数据安全防护痛点。国内专注于DataSecOps领域的数据安全厂商数安行CEO王文宇在近期公开演讲中表示，DataSecOps的核心是数据安全的左移，在数据运营的第一现场持续地对数据处理和使用全流程进行追踪，这样才能监测到数据经变形处理流转的整个过程，直面数据的多态性和多副本性，发掘数据风险的真正源头。
 
DataSecOps如何落地构建并保障数据安全？
 
依托数据安全左移的思想，DataSecOps需要具备三块核心能力。第一是全链路数据识别与追踪，即需要识别并追踪数据的各种使用维度，包括端点侧、服务器侧、流量测、API侧、Docker侧等，通过数据流映射，让数据安全永远聚焦于数据的使用与流转。这本是一个较为浅显的维度，但出于成本的考量，这部分往往会被忽视。
 
第二是轻量化自适应防护。当无法承受全链路识别追踪所带来的压力时，通过轻量化的方式，可以有效降低各维度的成本，包括最终使用侧的成本与维护侧的成本。根据风险进行量化评估，通过自适应的方式对症下药，而非暴力地一刀切，实现数据最小权限管控和自动化防护。
 
第三是全流程风险监测评估。这一点与当前《数据安全法》及诸多行业数据安全合规性要求密切相关，站在技术演进的角度，安全风险评估希望的是脱离传统的技术为辅、人力为主的方式，更多应以工具及产品为主导，利用自动化的方式进行数据安全风险评估，以提高业务落地过程中的可执行性。
 
 
DataSecOps将IT分为三个平面，最底层为业务基础设施，包括存储、主机、各类业务系统以及终端。在这一过程中我们可以看到数据存储流转的业务流与数据流。
 
上一层为数据平面，即为在基础设施上所运行的数据，数据可能来自不同的数据源，拥有不同的数据类型、不同的用户以及不同的API接口，可能是隐私类数据、商业类数据等，因此第二个平面是从数据的角度来考量的。
 
最上层为数据安全平面，是最为核心的技术落地层，其有着不同的数据主体请求以及个人隐私管理等数据合规要求，包括敏感数据的自适应防护、安全监测以及对数据安全风险评估。建立自动化数据安全和防护诊疗一体的平台，是未来DataSecOps类产品发展演进的逻辑与路径。
 
国内外DataSecOps应用实践示例
 
数安行

中国数据安全厂商，成立于2020年，国内DataSecOps理念的首倡者，建立了AI驱动的零信任数据运营安全平台。
 
数安行将DataSecOps描述为数据运营安全，提出在不影响数据业务流程正常运行的情况下，更有效地保护组织内的敏感数据资产的目标，通过对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。
 
融合上述理念，数安行以零信任数据安全架构为基础，以人工智能技术为核心驱动建立起数据运营安全平台，对数据业务全流程进行无改造映射，以数据为中心，向频繁接受数据的业务和用户靠近，对数据运营过程中的数据进行自动的梳理，全流程跟踪数据的形态变化和运行轨迹，持续评估数据在业务系统计算终端、服务器接口等处的运行风险。基于风险评估结果，对不同数据角色和风险接受程度进行自适应的细粒度的防护策略。
 

 
数安行的DataSecOps是以数据分级分类和数据全流程追踪为两大抓手，快速识别数据资产，持续分析数据资产动态的脆弱性和威胁。在此基础上，评估企业基于业务的敏感数据全生命周期安全风险，为数据合理合法的开发利用提供持续的安全风险评估和防护，有效解决企业在安全建设过程中，资源紧张能力不足和缺乏评估以及缺乏统一防护手段的核心痛点。
 
企业通过部署该方案，可以实现以下价值：创建数据资产全景视图，感知暴露风险及违规滥用风险；保证业务数据在线使用及流出安全，防控各种越权访问、身份仿冒、违规下载等危险行为；满足数安法、个保法以及行业监管中关于数据分类分级、数据安全风险评估等合规性要求；不改变网络架构、不改造现有业务流程，最大限度降低企业部署和运维成本。
 
Satori

以色列网络安全厂商，成立于2019 年，同年获得525万美元的种子轮融资，RSA 2021大会创新沙盒十强。
 
Satori秉持DataSecOps理念，引入了位于数使用者和数据存储之间的通用数据访问服务的概念。其提出一种新的数据安全方法，提供对数据和数据流的持续可见性，实施必要的安全控制，强制执行合规性和隐私政策，同时使合法访问变得简单、快速、高效。Satori通过将用户/应用程序身份与实时数据发现、分级分类、行为分析相结合，实现了这一点。
 
Satori的DataSecOps提供的是一个数据代理服务，数据使用者或应用不直接连接到实际存储的数据，而是连接到Satori代理服务。Satori是部署在用户或者应用层和数据层之间的安全层，提供了一个数据访问控制平台，对敏感数据进行监控、分类和访问控制，通过DAC(Data Access Controller)来实现灵活的、细粒度的数据访问控制管理，DAC支持基于角色访问控制(RBAC)，基于属性访问控制(ABAC)以及表、列、行和对象的访问，从而能够满足GDPR、CCPA、HIPAA等法规的数据安全和隐私保护需求。
 

 
企业可以借助Satori实现以下功能：用户或应用对任何数据的访问并且确保隐私数据的安全；部署访问控制并且可以查看谁在访问哪些数据；将应用和数据本身解耦，应用数据的改变不影响存储数据；容易操作，不需要配置、代理和安装等。
 
通过上面描述可以看到，Satori的DataSecOps与传统的数据库防火墙、数据库防脱敏、数据库安全审计这类安全产品是有很大区别的。这类传统安全产品都是基于规则匹配的“静态数据库安全技术”，而Satori是基于角色控制和属性控制的动态数据访问控制技术。
 
 在未来的环境之下，数据的产生量与使用量只会继续增加，数据的应用场景也会变得更加复杂。数据安全与数据开发利用是同步建设、同步发展的伴生关系，现阶段的数据安全更多将会向平台型发展，将数据进行完整统一的映射，形成统一的梳理识别、统一的数据身份、统一的管控策略，在自动化的监测下，实现数据安全的最佳保障。