以数据为中心的安全技术:防护层详解

本文深入探讨了构建数据中心安全防护层的四大核心技术:基于属性的访问控制、可信数据格式、全生命周期加密以及策略执行点。文章详细阐述了这些技术如何协同工作,将保护直接嵌入数据对象本身,实现跨越组织边界和环境的安全共享与持续控制。

数据为中心的安全技术:防护层

当数据离开你的基础设施(与合作伙伴共享、被远程访问、存储在云服务中)时,你传统的安全控制措施就失效了。网络边界无法跟随文件到合作伙伴的系统。VPN 一旦数据被下载就无法再提供保护。这些传统的、以边界为中心的访问控制只在你的环境内部有效。

以数据为中心的安全通过将保护直接嵌入数据对象本身来改变这一现状。在这篇文章中,我们将探讨实现这一目标的四大核心技术:基于属性的访问控制、可信数据格式、全生命周期加密和策略执行点。

基于属性的访问控制 (ABAC)

基于属性的访问控制能够根据你的身份、你要访问什么、你在哪里以及当前操作环境需要什么来做出智能访问决策——超越了简单的基于角色的权限限制,支持动态操作和跨组织边界的安全协作。

ABAC 代表了传统基于角色系统的复杂演进。如果说元数据是以数据为中心安全的“决策引擎”,那么 ABAC 就是该引擎的操作实现,它将元数据转化为可操作的访问控制决策。

ABAC 通过同时考虑多个维度来评估访问请求:

  • 用户属性:权限级别、组织归属、部门分配、项目成员资格
  • 资源属性:分类级别、敏感度等级、数据类别、发起者限制
  • 环境属性:网络安全态势、地理位置、访问时间、设备信任级别
  • 操作或授权属性:读取、写入、转发、打印、导出

这种多维分析能够实现跨政府和商业环境的复杂操作要求所必需的情境感知安全决策。

技术实现

  • 策略决策点:ABAC 系统使用策略引擎来根据复杂的规则集评估访问请求,这些规则集处理由数据安全态势管理工具发现并由专家分类流程应用的属性组合。这些引擎使用布尔逻辑和情境评估来做出实时访问决策。
  • 属性集成:ABAC 实现与我们上篇博客中描述的元数据生态系统无缝集成,从 DSPM 发现平台、Titus 和 Boldon James 等人工分类工具以及现有的组织身份系统中消费属性。这种集成确保了在发现和分类能力上的投资能直接提升访问控制的精确性。
  • 基于标准的策略:ABAC 策略利用 XACML 等标准化语言,支持复杂的规则定义,同时保持跨不同系统和组织的互操作性——这对于联合作战、联盟伙伴关系以及涉及多个业务伙伴或第三方供应商的商业生态系统至关重要。

可信数据格式 (TDF)

可信数据格式是一种开放标准,它将安全策略直接绑定到数据对象上,确保无论存储位置、共享目的地或处理环境如何,保护措施都能随信息一起转移,从而实现安全协作,同时保持持续的保护和详细的审计跟踪。

TDF 通过用嵌入式加密和策略控制包装数据对象,将普通文件转变为自我保护的、执行访问策略和维护审计跟踪的数据对象,从而实现以数据为中心的安全。TDF 代表了我们上一篇博客中描述的持续保护原则的操作实现,确保通过 DSPM 平台发现的元数据和应用专家分类的元数据与数据本身不可分割地绑定。

作为一种开源标准,TDF 有多种变体,包括用于情报界应用的 IC-TDF 和用于零信任实现的 ZTDF。

技术架构

TDF 对象由三个主要组件组成,它们协同工作以实现数据保护生态系统:

  • 加密负载:使用对称加密(通常是 AES-256)加密的实际数据。
  • 加密元数据:策略信息、访问控制和审计要求被单独加密,以便在不暴露敏感内容的情况下评估策略。
  • 密钥访问对象:加密的数据加密密钥,只有授权的系统在通过有效的身份验证和策略评估后才能检索。

全生命周期加密

全面的加密确保数据无论是在存储、传输还是正在被处理时都受到保护,从而实现从远程现场位置到云计算平台等各种环境中的安全操作,同时保持性能和操作效率。

有效的以数据为中心的安全要求在整个数据生命周期(从初始创建到最终处置)中提供加密保护。这种全面的方法确保无论处理环境、存储位置或传输方法如何,敏感信息都受到保护。

实现组件

  • 静态数据:使用强加密算法和安全密钥管理对存储在服务器、数据库、移动设备和备份系统中的信息进行存储加密,确保防范物理泄露和未经授权的访问。
  • 传输中数据:使用提供身份验证、完整性和机密性的协议对网络传输、互联网连接和通信系统中的信息进行网络加密保护。
  • 使用中数据:先进加密技术在数据主动处理期间保护信息,使得能够在不向处理系统或未经授权的用户暴露敏感内容的情况下对加密数据进行安全计算。

数据层的策略执行点 (PEP)

策略执行点提供了将安全策略转化为操作控制的技术执行机制,确保无论访问哪个应用程序、系统或网络,都能得到一致的保护——这对于跨越不同环境和组织边界的操作至关重要。

在数据中心的架构中,PEP 实现了由 ABAC 系统生成的访问控制决策,利用了元数据基础。与在网络边界运行的传统 PEP 不同,数据层的 PEP 嵌入在数据对象内部或与之紧密耦合,确保来自 DSPM 发现和专家分类的丰富元数据直接驱动安全执行。

技术实现

  • 软件集成:PEP 通过拦截数据访问请求的软件库和代理与应用程序、操作系统和数据访问层集成,确保在现有组织技术环境中的无缝操作。
  • 基于标准的执行:PEP 使用开放标准和 API 与不同的技术环境集成,支持组织所需的技术独立性和长期操作灵活性。
  • 实时评估:PEP 使用来自身份系统的当前属性信息、环境上下文和嵌入式策略实时评估访问请求,从而实现适应不断变化的操作条件的动态访问控制。

技术集成:完整的防护层

这四项核心技术协同工作,共同构建了全面的数据保护生态系统,改变了组织保护和共享业务关键信息的方式。这种集成创造了端到端的保护,涵盖了从基于元数据的决策到持续保护和智能执行的整个过程。

这种技术集成实现了多项能力:

  • 跨边界操作:信息可以在组织边界、安全域和合作伙伴生态系统之间安全移动,同时保持一致的保护。
  • 环境独立性:无论数据驻留在本地系统、云平台、移动设备还是合作伙伴基础设施中,保护都能一致地运行。
  • 操作敏捷性:安全无需人工干预即可自动适应不断变化的环境。
  • 全面可审计性:无论访问发生在何处,组织都能保持对数据使用模式的完全可见性,支持跨不同监管框架的安全操作和合规要求。
  • 基于标准的保障:开放标准基础支持了对技术独立性的保障。

下一步:管理与运营层

这四项技术(ABAC、TDF、加密和 PEP)为你的数据创建了保护层,实现了定义以数据为中心方法的持续、智能、情境感知的安全。但在企业规模实施这些保护措施需要用于管理加密操作、与权威身份系统集成以及在多样化环境中编排策略的复杂基础设施。

在我们的下一篇文章中,我们将探讨管理与运营层:实现组织主权和联盟协作的密钥管理策略、为访问决策提供权威属性的身份集成,以及使以数据为中心的安全在复杂的组织环境中具备操作可行性的编排能力。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次