在數字化世界中，一切皆源于數據。無(wú)論任何時(shí)候、任何地方和任何環(huán)境，組織都需要保護數據免受未經(jīng)授權的訪(fǎng)問(wèn)和泄露，確保核心資產(chǎn)和業(yè)務(wù)的連續性，并獲得客戶(hù)的信任和忠誠度。

然而，這些跨領(lǐng)域、相互交叉的數據來(lái)自于不同的源頭，并由不同機構和人員以不同的方式處理，要確保所有數據在不損失安全、隱私和合規性的前提下，最大限度地傳播共享以發(fā)揮效用，需要從戰略層面對數據進(jìn)行思考、規劃和治理。本文從零信任安全能力的體系化建設入手，討論數據在收集、使用、傳播及處置過(guò)程中的安全保護措施，主要包括數據的識別與分類(lèi)保護、共享與數據血緣、訪(fǎng)問(wèn)與泄露防護，以及勒索與數據彈性。

關(guān)鍵字：零信任；數據安全；數據分類(lèi)分級；數據防泄漏；勒索軟件

一、零信任數據安全

針對網(wǎng)絡(luò )的攻擊一般以可用性為攻擊目標（例如DDoS），主要影響業(yè)務(wù)運行性能和效率，而針對企業(yè)數據的攻擊可以同時(shí)包含對機密性、完整性和可用性的攻擊（例如，竊取、破壞、勒索等），對攻擊者具有高額的回報，也更具誘惑力。

此外，數據通常也是零信任實(shí)施中最薄弱的環(huán)節，它們以結構化或非結構化的文件、碎片（或元數據）等形式，存在于本地（或虛擬環(huán)境）系統、設備、網(wǎng)絡(luò )、應用程序、數據庫、基礎設施和備份中。在典型的數據安全事件中，除數據損毀所造成的業(yè)務(wù)影響外，數據非法跨境、個(gè)人信息泄露等違規行為也可能會(huì )導致訴訟、罰款和聲譽(yù)損害等損失，對組織產(chǎn)生不良影響。

根據IBM Security《2022年數據泄露成本報告》，全球數據泄露的平均總成本為435萬(wàn)美元，而在受訪(fǎng)的550個(gè)組織中，僅有17%的組織是首次遭受數據泄露（參看圖1）。隨著(zhù)攻擊者越來(lái)越多地將注意力轉向組織的敏感數據，組織迫切需要更強大的數據安全控制和程序。

圖1 2022年數據泄露的平均總成本（來(lái)源IBM）

零信任數據安全的總體目標是確保關(guān)鍵敏感數據不會(huì )暴露和泄露、也不會(huì )因數據安全導致組織運營(yíng)問(wèn)題，其能力建設不僅要考慮數據的存儲安全（例如空間和性能），還要考慮數據的管理方法、流程和工具，以實(shí)施有效的安全管控。通常，數據管理中的典型問(wèn)題包括：

l  如何進(jìn)行數據發(fā)現和標記？

l  如何處理過(guò)期數據？

l  如何進(jìn)行數據備份和恢復？

l  如何在數據存儲、傳輸和使用中加密數據？

數據可見(jiàn)性是建立有效控制的前提。隨著(zhù)用戶(hù)工作方式的變化，復雜而又動(dòng)態(tài)的IT環(huán)境將數據置于嚴重的“蔓延”風(fēng)險下，組織甚至無(wú)法了解數據所在的位置，以及哪些實(shí)體正在訪(fǎng)問(wèn)數據。例如，在一個(gè)組織中，員工可能使用數十種以不同方式收集、分析和共享數據的SaaS應用，不同應用形成了組織內數據的孤島。這些“數據孤島”阻礙了安全措施的實(shí)施，組織不僅要關(guān)心傳統安全邊界消失所帶來(lái)的風(fēng)險，更要關(guān)注數據本身的安全問(wèn)題，包括數據的流動(dòng)方式和去向。

圖2 適用于不同生命周期階段的數據安全控制

控制能力不足是現階段數據安全面臨的主要問(wèn)題。為了實(shí)施零信任數據安全，需要數據（業(yè)務(wù)）所有者理解數據的生命周期，全面規劃數據安全策略和控制，包括完善在數據發(fā)現、監控、跟蹤和審計方面的可見(jiàn)性，強化組織內存儲、傳輸和使用中數據的加密保護，控制對進(jìn)入/離開(kāi)組織的數據的訪(fǎng)問(wèn)，并提供快速識別、應對數據安全問(wèn)題的策略、流程和工具。

二、數據安全的關(guān)鍵能力

在零信任安全框架中，數據安全能力需要從宏觀(guān)上進(jìn)行規劃建設，覆蓋數據在生成、存儲、傳輸和處理過(guò)程的全生命周期安全，包括對高價(jià)值數據的分類(lèi)分級保護、數據跟蹤控制，敏感數據防泄漏，以及數據彈性能力等。

1．識別與分類(lèi)保護

數據安全需要將策略控制直接應用于數據對象本身。盡管有些數據看起來(lái)更重要一些，但即使是不太關(guān)鍵的信息，如果在錯誤的時(shí)間丟失或泄露，也可能對組織造成損害，例如，待發(fā)布產(chǎn)品的性能參數等。

宏觀(guān)來(lái)看，數據安全策略不應僅限于保護最有價(jià)值的數據，但也并非所有數據都需要進(jìn)行平等的保護。組織需要了解持有的數據，識別不同數據的安全風(fēng)險，以便能夠確定重點(diǎn)保護的區域和對象。通常，組織的高價(jià)值數據資產(chǎn)可能包括：

l  組織數據資產(chǎn)，例如CRM數據庫中的信息；

l  業(yè)務(wù)關(guān)鍵文件，例如戰略計劃和協(xié)議；

l  合規監管數據，例如未經(jīng)審計的財務(wù)報表；

l  知識產(chǎn)權文檔，例如產(chǎn)品設計和技術(shù)規格；

l  個(gè)人隱私信息，例如員工的詳細信息。

數據分類(lèi)是根據數據的類(lèi)型、敏感性和業(yè)務(wù)價(jià)值對數據進(jìn)行標記的過(guò)程，以便可以在組織內部和外部就如何管理、保護和共享數據做出策略選擇。通常，大多數組織需要采用自定義的分類(lèi)（例如表1）和粒度，以匹配其數據安全解決方案的分類(lèi)保護和控制能力。

表1 按敏感級別的數據分類(lèi)示例

數據標簽可以作為可視化標記附加在數據上，并嵌入文件的元數據中。通過(guò)與數據安全解決方案結合，元數據標簽有助于為數據實(shí)施基于規則的安全控制或使用。

2．共享與數據血緣

在現代企業(yè)的IT環(huán)境中，數據不斷積累，并高速流入和流出組織，如何清理、組織、存儲和維護這些數據對組織至關(guān)重要。數據血緣是數據管理領(lǐng)域的重要概念，最早起源于數據倉庫和ETL（提取、轉換、加載）過(guò)程，用于跟蹤數據記錄從創(chuàng )建、使用和處置的完整過(guò)程。

在數據血緣技術(shù)中，數據在其生命周期中的每個(gè)操作步驟的元數據都會(huì )被收集、存儲起來(lái)（如圖3），并通過(guò)血緣分析來(lái)構建數據映射框架，幫助組織確認數據來(lái)自可信來(lái)源、并進(jìn)行了安全轉換和存儲。

                圖3數據血緣在數據操作后的更新方式

在使用數據血緣時(shí)，不同的組織角色通常有不同的需求，管理層希望理解數據在整個(gè)業(yè)務(wù)流程中的作用，比較關(guān)注數據的準確性，而IT和安全團隊則更關(guān)注數據的血緣關(guān)系，以滿(mǎn)足運營(yíng)、合規和流程的要求。

雖然詳細記錄每個(gè)數據的來(lái)源非常繁瑣，但這些信息使組織能夠識別潛在的安全漏洞，并實(shí)施適當的保護措施來(lái)保護敏感數據，確保遵守數據安全法規。

以數據銷(xiāo)毀為例，作為數據安全的一個(gè)重要方面，通常組織更擅長(cháng)（或樂(lè )意）創(chuàng )建和聚合數據，而不是刪除數據。數據血緣可以使組織了解數據生命周期，提供敏感數據在整個(gè)組織中如何處理、存儲和訪(fǎng)問(wèn)的精細可見(jiàn)性，有助于提高數據安全和隱私保護能力，例如，識別并確定必須進(jìn)行數據備份或銷(xiāo)毀的時(shí)間點(diǎn)。

3．訪(fǎng)問(wèn)與泄露防護

訪(fǎng)問(wèn)控制是安全策略實(shí)施的重要組成，細粒度訪(fǎng)問(wèn)控制需要將數據敏感等級納入決策條件中?？梢?jiàn)，數據分類(lèi)是在零信任中實(shí)施細粒度訪(fǎng)問(wèn)控制的先決條件。

在零信任體系化能力建設中，請求者（人類(lèi)用戶(hù)或NPE）的身份安全能力主要通過(guò)“身份”支柱建設。在實(shí)施訪(fǎng)問(wèn)控制時(shí)，訪(fǎng)問(wèn)策略引擎需要將“身份”和“設備”信息映射、關(guān)聯(lián)到“數據”支柱所建設的數據清單上，以便限制它們對目標數據的訪(fǎng)問(wèn)，從而降低可疑用戶(hù)或失陷設備所帶來(lái)的數據安全風(fēng)險。

通過(guò)加密技術(shù)保護存儲、傳輸中的數據是安全團隊的通用做法，但有些組織可能會(huì )忽視對動(dòng)態(tài)數據的加密（即通信加密）。實(shí)際上，即使在部署VLAN、分段或其他隔離措施的網(wǎng)絡(luò )中，攻擊者也可以通過(guò)對路由器或網(wǎng)關(guān)的攻擊，來(lái)窺探網(wǎng)絡(luò )流量，獲取敏感信息。因此，對數據（包括傳輸中的數據）進(jìn)行加密，是建設零信任數據安全的重要內容。

數據防泄露（DLP）是一項比較成熟的數據安全技術(shù)，組織在設計實(shí)施DLP時(shí)，需要考慮因素主要包括：

l  數據安全策略和合規監管需求的復雜程度；

l  持續運營(yíng)DLP所需要依賴(lài)的資源，及其來(lái)源；

l  DLP覆蓋的通信渠道，例如，電子郵件、Web、FTP、內容協(xié)作平臺、云存儲等；

l  數據的多樣性和類(lèi)型情況，例如，結構化、非結構化和半結構化（例如表單數據）；

l  數據存儲的方式，例如，云存儲、本地文件服務(wù)器等。

DLP的關(guān)鍵能力（例如，數據可見(jiàn)性及與訪(fǎng)問(wèn)位置的關(guān)聯(lián)）對零信任整體數據安全建設非常重要，通過(guò)協(xié)調零信任策略與DLP策略的一致性，可以集成DLP的產(chǎn)品能力，并根據DLP的輸出（例如，敏感數據泄露警告），實(shí)現與數據移動(dòng)上下文相關(guān)的安全策略。

4．勒索與數據彈性

無(wú)論對組織還是個(gè)人，勒索軟件都具有不容置疑的巨大危害。根據Statista的報告，自2018年以來(lái)，全球組織遭受勒索軟件攻擊的比例每年持續上升，并于2021年達到峰值68.5%。

在如此普遍的勒索軟件攻擊趨勢之下，組織關(guān)心的問(wèn)題已經(jīng)從“是否會(huì )受到攻擊”，轉為“何時(shí)遭到攻擊”。更糟糕的是，勒索軟件攻擊的重點(diǎn)是備份系統，在傳統采用溫/熱備進(jìn)行災難恢復的方法中，由于備份數據已被勒索軟件加密，導致最終的恢復失敗。在這種情況下，除了從冷備份中進(jìn)行復雜、耗時(shí)的恢復之外，組織別無(wú)選擇。

按照Gartner的觀(guān)點(diǎn)，為了應對勒索軟件攻擊，用于災難恢復的隔離恢復環(huán)境（IRE）應具備寫(xiě)保護、勒索軟件檢測、即時(shí)自動(dòng)化恢復和隔離部署等能力。在IRE技術(shù)成熟之前，用戶(hù)在運行獨立的備份系統時(shí)，則應通過(guò)實(shí)施3-2-1備份規則（每個(gè)數據必須至少有3個(gè)副本，其中2個(gè)副本必須存儲在不同位置的系統中，并且至少1個(gè)與生產(chǎn)環(huán)境隔離），提高數據的可恢復能力。

備份不能阻止勒索軟件攻擊，但對于事件發(fā)生后的恢復至關(guān)重要，可以提供一定的數據彈性，使組織在發(fā)生數據意外時(shí)確保業(yè)務(wù)連續性。不管組織使用私有化部署的數據災備系統，還是云原生的數據彈性平臺，數據安全建設都需要關(guān)注數據的災難恢復能力，對恢復點(diǎn)目標（RPO）和恢復時(shí)間目標（RTO）負責，并將數據備份和恢復連接融入零信任安全能力框架。

三、數據安全的最佳實(shí)踐

通過(guò)保持零信任數據安全策略與業(yè)務(wù)目標的一致，組織能夠安全地生成、處理和存儲更有價(jià)值的數據，從而使企業(yè)改進(jìn)決策獲得競爭優(yōu)勢，并提高業(yè)務(wù)敏捷性，同時(shí)防御日益復雜的安全威脅。

1．自動(dòng)化分類(lèi)標記

伴隨數據量和產(chǎn)生速度的不斷增加，數據可見(jiàn)性對組織來(lái)說(shuō)是一個(gè)巨大的挑戰。通過(guò)利用自動(dòng)化的數據分類(lèi)標記工具，可以使數據識別以更快的速度、覆蓋更廣泛的范圍，最重要的是能實(shí)現對數據映射的持續更新和維護，以跟上業(yè)務(wù)、技術(shù)和威脅的發(fā)展。

自動(dòng)化的敏感數據發(fā)現可以識別數據的位置，并根據預定的敏感度級別對數據進(jìn)行分類(lèi)，然后將適當的元數據應用于每個(gè)文檔（包括電子郵件和文檔），為下游的安全生態(tài)系統（例如DLP、CASB）提供決策控制信息，包括數據清單、敏感等級、結構類(lèi)型、數據來(lái)源和交換記錄等。

2．增量式逐步推進(jìn)

在面對復雜業(yè)務(wù)的數據安全場(chǎng)景時(shí)，用戶(hù)可能會(huì )因試圖發(fā)現、分類(lèi)和保護組織的所有數據，而感到無(wú)從下手，特別是在一些數據管理能力不足和技術(shù)手段落后的環(huán)境中，實(shí)施零信任數據安全的任務(wù)更加艱巨。

解決該問(wèn)題的最佳方法是采用循序漸進(jìn)的實(shí)施策略，客觀(guān)地規劃能力目標與進(jìn)度，將與業(yè)務(wù)相關(guān)的最終產(chǎn)出結果，分解為可實(shí)現的里程碑，并在推進(jìn)過(guò)程中，確保能按時(shí)間表獲得相應的資源或調整時(shí)間表。另外，在實(shí)施過(guò)程中，保持與利益相關(guān)者的溝通，保證他們了解當前的進(jìn)度狀態(tài)和新變化。

在實(shí)施方面，從小事做起，逐步提高。例如，考慮首先保護電子郵件和文件，然后轉向SaaS應用和云。安全計劃的實(shí)施也從基礎級別開(kāi)始，將精細的策略控制應用于電子郵件和非結構化數據，然后從逐步開(kāi)始擴展到流入和流出企業(yè)的數據。

3．持續性審查治理

成功的數據安全計劃需要能夠循環(huán)反饋和定期審查。數據永遠存在并持續變化，控制措施也需要緊跟技術(shù)發(fā)展進(jìn)行演進(jìn)，以適應威脅變化。除了定期（例如每年）審查數據安全的實(shí)施和計劃外，也可以在以下情況下觸發(fā)審查：

l  組織管理層發(fā)生重大變動(dòng)；

l  法律或監管發(fā)生重大變化；

l  內部或外部發(fā)生了重大事件或違規；

l  出現了重大的技術(shù)變革。

四、結語(yǔ)

通過(guò)將零信任原則應用于數據安全能力建設，組織可以實(shí)現更全面、細粒度的數據保護和訪(fǎng)問(wèn)控制，增強對敏感數據的安全性和可控性，減少數據泄露和損失的風(fēng)險，提高整體的安全防御能力。但數據安全是一個(gè)持續的過(guò)程，組織需要綜合考慮技術(shù)實(shí)現、用戶(hù)體驗和文化變革等方面的挑戰和因素，根據自身情況制定適合的計劃和策略。同時(shí)，也需要確保與合規要求和業(yè)務(wù)需求的一致性，以最大程度地提高數據安全性和保護組織的利益。

最后，本系列文章從零信任成熟度模型的五個(gè)能力支柱，討論了在零信任實(shí)施過(guò)程中，組織需要關(guān)注和建設的關(guān)鍵能力集，包括建立多層次的身份驗證和訪(fǎng)問(wèn)控制、采用加密和加密技術(shù)、實(shí)施持續監控和分析等措施。

零信任并非一勞永逸的解決方案，而是一個(gè)持續的過(guò)程和理念，它需要組織在不斷演化的威脅環(huán)境中保持警惕，并根據實(shí)際情況和需求調整和改進(jìn)零信任策略，以逐步達到更高水平的安全性和成熟度。