國際數(shù)據(jù)泄露分析機(jī)構(gòu)“Data Breach Statistics”調(diào)查顯示,全球每天已發(fā)現(xiàn)的數(shù)據(jù)丟失與泄漏達(dá)到620萬條。云端數(shù)據(jù)因為存在多種類型數(shù)據(jù)源難于有效識別、數(shù)據(jù)訪問API化導(dǎo)致數(shù)據(jù)出口通道多難于有效管控、應(yīng)用微服務(wù)化導(dǎo)致數(shù)據(jù)流轉(zhuǎn)復(fù)雜難于有效審計等特點,長期存在識別難、防護(hù)難、泄漏檢測難等突出問題。常規(guī)基于邊界的安全防護(hù)產(chǎn)品,在出現(xiàn)權(quán)限信息外泄或者主機(jī)被遠(yuǎn)程控制的情況下,很難針對后續(xù)數(shù)據(jù)竊取攻擊實施響應(yīng);而目前市場上常見數(shù)據(jù)安全產(chǎn)品也主要針對終端文件保護(hù)或者傳統(tǒng)RDS數(shù)據(jù)庫保護(hù)而無法有效適應(yīng)云端數(shù)據(jù)特點,缺乏針對云端數(shù)據(jù)的原生保護(hù)能力。
為了專門解決云上敏感數(shù)據(jù)保護(hù)存在的上述問題,阿里云SDDP通過建立識別、保護(hù)、檢測三段式云端數(shù)據(jù)保護(hù)框架,實現(xiàn)了結(jié)構(gòu)化數(shù)據(jù)(如RDS/ODPS)、半結(jié)構(gòu)化數(shù)據(jù)(如表格存儲)、非結(jié)構(gòu)數(shù)據(jù)(如OSS對象存儲)的同標(biāo)準(zhǔn)識別,覆蓋了云端離線計算、實時計算等多種數(shù)據(jù)類產(chǎn)品,重新定義了“外防內(nèi)控、縱深防御”的數(shù)據(jù)安全防護(hù)理念,強力打造云端數(shù)據(jù)貼身防護(hù)能力。
基于客戶最常見的三大數(shù)據(jù)安全場景,SDDP可以有效增強安全管理與防護(hù)能力:
- 敏感數(shù)據(jù)的發(fā)現(xiàn)與管理:在很多數(shù)據(jù)安全泄漏事件案例中,很多客戶不清楚云端保存的敏感數(shù)據(jù)的分布情況?蛻艨梢允褂肧DDP內(nèi)置的敏感數(shù)據(jù)識別模型實現(xiàn)敏感數(shù)據(jù)的識別與打標(biāo),同時也能根據(jù)業(yè)務(wù)實際需要定制自己的識別規(guī)則。
- 敏感數(shù)據(jù)使用的安全脫敏:如果客戶在開發(fā)環(huán)境/測試環(huán)境/數(shù)據(jù)分析的環(huán)境中需要使用到敏感數(shù)據(jù),用戶可使用SDDP實現(xiàn)數(shù)據(jù)靜態(tài)脫敏,該產(chǎn)品通過組合各種不同的脫敏算法,能夠?qū)崿F(xiàn)保留格式、保留統(tǒng)計特征等業(yè)務(wù)需求。
- 數(shù)據(jù)泄漏異常檢測與處置:針對已經(jīng)繞過邊界或者來自內(nèi)部的數(shù)據(jù)竊取行為,SDDP可以通過不斷學(xué)習(xí)賬號行為,完善賬號行為基線畫像,一旦某個賬號發(fā)生異常行為就會持續(xù)跟蹤,并自動報警做相應(yīng)處理,防止敏感數(shù)據(jù)被不該訪問的人訪問。
通過上述安全能力的傳達(dá),SDDP可以為客戶帶來以下安全價值:
- 外部攻擊守源端:通過識別/保護(hù)/檢測三段式能力框架,SDDP能針對已經(jīng)繞過邊界的外部攻擊行為,實現(xiàn)基于數(shù)據(jù)源的近場防護(hù)。
- 內(nèi)部竊取能發(fā)現(xiàn):針對來自內(nèi)部的竊取行為,SDDP通過異常檢測有效發(fā)現(xiàn)內(nèi)部異常賬號,有效檢測來自內(nèi)部的竊取行為,做好數(shù)據(jù)的貼身保鏢。
數(shù)據(jù)安全是所有企業(yè)的關(guān)注的核心問題,在最新發(fā)布的等級保護(hù)2.0最新標(biāo)準(zhǔn)中也對個人信息保護(hù)、數(shù)據(jù)分類分級、數(shù)據(jù)泄漏檢測提出了新的要求。阿里云一直將保障用戶數(shù)據(jù)安全作為第一準(zhǔn)則,同時致力于把阿里巴巴多年安全能力通過產(chǎn)品化的形式給到所有云上用戶,助力用戶做到數(shù)據(jù)的可管可控,滿足合規(guī)要求,更好的促進(jìn)業(yè)務(wù)的健康發(fā)展。