Forrester：云数据保护是企业实现安全控制必不可少的解决方案

ZD至顶网CIO与应用频道 04月18日 北京消息： Forrester访谈首席信息安全官和企业技术管理人员的结果表明，企业已经认识到了云数据保护（Cloud Data Protection：CDP）对于敏感数据的保护不仅重要，而且是企业实现云服务安全控制的必要措施，这是因为： 

● 敏感数据迁移到云端之后超出企业的可控范围。

● 企业不应该认为云服务商的安全措施万无一失。

● 企业可以将工作负载迁移到云端，但是责任不能转移。

● 许多数据泄露事件都是由于企业内部员工泄露或者对合作伙伴的攻击。

● 企业必须在数据泄露之前发现、控制并且保证自影子IT*的安全

● 尽管云和移动平台的利用发展迅速，企业范围内的数据保护措施也正在赶上来。

*注释：影子IT（Shadow IT）是指企业的一线业务部门所拥有的IT设施；通常情况下这类IT设施不处在公司正式IT部门的管理之下，因此有可能会有更高的运营和安全风险。

Forrester在采访一些早期采用CDP方案的企业后发现，除了能够缓解一些云服务相关核心数据的风险，CDP还能够为企业带来以下好处：

● 实现数据传播的控制，只有获得授权的业务伙伴才可以访问数据。对SaaS的数据进行加密是实现数据保护的有效措施，因为加密能够有针对性地提供细粒度数据访问权利。这样一来，当用户登录SaaS应用时，云加密能够保证该用户只看到他/她被授权获取的内容。

● 使员工随时随地进行办公并监管其数据访问。CDP技术通常能够提供一个有关云数据获取的统一策略，用户从任何地方、以任何设备登录并访问数据的行为都受该策略约束。

● 通过分析用户的数据获取行为提前检测出可能的数据泄露。来自企业内部的数据违规或者高级持续性的数据威胁需要通过某种方式从企业内部获取数据，这往往意味着大规模的数据操纵和转移行为。因此，用CDP工具创建日常的数据获取基准线不仅能够阻止非法数据的获取，还能够侦测到后续的数据泄露。

● 保护客户数据免于政府监控。CDP方案通常在将数据传输或存储到云环境之前就对其进行加密并将唯一的秘钥提供给该数据的拥有企业。对于有隐私担忧的企业而言，CDP不仅可以帮助它们实现与本国数据法规的合规，还可以帮助企业保护其客户数据在另一个国家免于政府监控。 

● 帮助企业在一定程度上从云服务供应商处收回其数据控制力。即便云服务提供商提供CDP解决方案，企业的安全和风险专业人员仍然对于技术细节和相关性不够确定；此外，通常情况下，企业都不能够要求云服务供应商公开相关的细节信息。然而，企业的安全和风险专业人员有充分的理由关注云服务提供商的数据加密方法、秘钥管理方式、身份管理、网络登录和数据取证可用性。因此，使用第三方的CDP方案能够帮助企业在不能获得更详细云服务技术细节的情况之下在一定程度上实现数据的控制。

● 在数据迁移到云端之前对其加密。传输过程中的数据加密以及云服务提供商的数据加密措施还不足够，企业的安全风险专业人士越来越倾向于在敏感数据离开本企业之前就对其实现加密。

CDP方案具备多种部署模式，厂商的方案往往是以下几种架构方式的综合体。不同方案的区别在于数据迁移到云端之前加密方式的不同。

● No. 1云中的CDP加密网关。

● No. 2本地部署的CDP加密网关。

● No. 3用户端插件式CDP加密。

● No. 4云中虚拟层或物理层集中式驱动器加密 ● No. 5云数据治理平台

企业开展数字业务需要借助云服务的灵活性、时效性、更优异的成本结构等优点。在实现合规目标之外，企业的安全风险专业人员应该通过使用CDP来发现和管理机构内部影子 IT。安全风险人员可以利用CDP识别企业内部的各种数据模式，从而更深刻的了解自身对于云服务的需求。在充分了解自身的业务需求、机构数据流以及所需要进一步支持的云服务项目之后，企业的安全和风险专业人士才能够有效选择适合自身的CDP方案。