前所未有的数据收集和处理规模为企业带来了前所未有的机遇。与此同时,这些数据也带来了同样全面的挑战,其中最关键的挑战始终是确保数据安全,且这一挑战将持续存在。此外,随着企业采用的科技水平实现飞跃式发展,数据威胁的复杂性也随之成比例地提升。
随着传统数据安全机制和框架在应对这类威胁时显得效率低下且力不从心,企业开始转向数据安全态势管理 (DSPM) 解决方案,以确保能够清晰掌握所面临的威胁并采取有效措施进行缓解。
公钥基础设施 (PKI) 是DSPM在当今数据驱动的环境中提升整体性能的一个关键领域。
通过有效整合DSPM以数据为中心的洞察与解决方案与PKI的身份加密控制措施,组织可采用统一的安全策略,从而全面提升企业整体安全水平。
什么是DSPM和PKI?
DSPM 为企业提供对其整个数据安全态势的持续、实时可见性。通过利用 DSPM 的核心功能,企业可以跨多种环境发现、分类和归类数据,从而全面了解组织的数据基础设施及其使用方式。这些洞察在进行全面风险分析以识别潜在漏洞和可能的监管违规时,可能至关重要。
另一方面,公钥基础设施(PKI)对于组织数字身份认证和信任流程至关重要。它包括负责签发数字证书的证书颁发机构 (CAs) ,这些证书将身份与可验证的加密密钥对关联起来。这反过来又使所有进出数据交换的安全认证和加密成为可能。换句话说,通过有效的PKI,企业可以确保只有拥有有效证书的受信任用户和设备才能访问受保护的资源。
为什么将DSPM与PKI集成?
企业长期以来一直难以有效地加密其数据,尤其是在涉及多云环境中的数据加密方面。
通过将DSPM的数据驱动型可视化与PKI的加密和身份控制相结合,企业可以解决上述问题。具体来说,DSPM能够精确定位敏感信息的位置以及其面临风险的具体时间,而PKI则可以通过加密技术提供即时保护措施,并确保只有经过验证的可信身份才能访问这些信息。
此外,触发器可以实现自动化,每当DSPM发现新的敏感数据时,PKI的保护措施即可自动生效,无需人工干预。
通过这种方案,DSPM与PKI的集成不仅解决了加密漏洞问题,还实现了自适应安全。此外,这种方法有助于企业更好地遵守GDPR、HIPAA等全球性法规及框架(如 ISO 27001)所规定的合规要求。
DSPM与PKI集成的前三大实际应用
以下是DSPM与PKI集成在实际企业环境中应用的三个实用示例:
1. 安全云数据传输
DSPM 的数据映射、分类和归类功能可用于对所有敏感数据进行相应标记。这些标记可用于自动实施基于 PKI 的适当保护措施,无需人工干预或额外努力。
一个典型的例子是云存储中的机密文件。对于此类文件,可以触发PKI策略,确保其仅能通过使用受信任证书的SSL/TLS连接进行下载或传输。
2. 混合架构一致性
DSPM 与 PKI 的集成可在混合基础设施(本地部署和多云环境)中实现统一的安全性。PKI 可对标记为“敏感”的数据强制执行所有相关数据管理要求。
这可能包括任何访问“敏感”本地文件的系统。证书必须有效,并且在文件转移到云存储后仍需保持与文件绑定。
3. 第三方数据共享
毫无疑问,DSPM 与 PKI 集成最核心的商业价值在于其提供的端到端控制能力。在与供应商、合作伙伴或其他授权第三方共享数据时,DSPM 可用于记录并监控哪些敏感数据资产被访问、由谁访问以及访问时间。同时,PKI 将确保此类数据交换仅通过经过身份验证且加密的通道进行。
如果发现任何违反协议的行为或偏离约定流程的情况,PKI 可以撤销供应商的证书,立即取消其访问权限,并避免涉及敏感数据的重大事件发生。
DSPM与PKI集成中的3个常见挑战
尽管DSPM与PKI的集成具有诸多优势,但其实施过程中仍面临若干关键的技术与运营挑战。
1. 统一集成的复杂性
DSPM 与 PKI 的集成涉及将两个独立的系统进行整合。这两个系统分别采用不同的框架、术语、实践方法和工作流程。在涉及多云环境和本地数据存储的混合环境中,此类问题进一步加剧,这类环境需要采用不同的独立集成方法或完全定制的连接器。
当然,要实现这些系统的统一,需要对功能的实现方式进行全面映射,确保各功能能够相互补充而非相互阻碍。
此外,在此次整合之后,政策差异或不一致的情况可能继续出现。如前所述,DSPM 和 PKI 是不同的系统。与任何涉及此类复杂整合的项目一样,不透明的时间表、意料之外的实施障碍以及成本上升都是可以预见的。
然而,在规划实施DSPM-PKI集成时,必须充分考虑这些因素,因为若忽视这些因素,不仅会削弱该举措的效率,还可能对长期效果产生负面影响。
2. 可扩展性和性能
由于这两个系统的特性,可扩展性将成为此次集成的重大挑战。DSPM 持续生成实时洞察、警报和更新,这些信息可能触发 PKI 系统的自动化响应。
对于拥有大规模基础设施的企业而言,此类频繁操作可能导致系统能力不堪重负。在此情况下,系统性能将显著下降,同时可能引发长时间的运营中断。
与性能相关的问题在分布式环境中更为常见,例如拥有广泛物联网和边缘设备的全球企业或多云生态系统。这可能由多种因素引起,例如地理延迟、网络性能不一致或PKI基础设施碎片化,这些因素会使对DSPM触发器的即时响应变得极为困难。
因此,任何DSPM与PKI的集成都必须高效扩展,并需在必要因素上进行大量投资,以确保在实际条件下实现顺畅运行并进行严格测试。
3. 运营成本
运营复杂性以及相关的人力资源问题在实施DSPM-PKI集成时构成了另一重大障碍。采用此类集成的企业必须确保其安全、IT和合规团队充分了解并熟练掌握这两个系统运营过程中涉及的关键流程。
如此广泛的专业技能可能在现有团队中难以立即获得,这可能导致潜在的技能缺口,需要通过培训和外部专家的投入来弥补。
此外,集成本身会带来巨大的运营开销,因为需要创建新的政策、工作流程和流程,这些与每个系统各自的政策、工作流程和流程虽然独立,但同样重要。
DSPM与PKI集成最佳实践
以下最佳实践可确保企业充分利用DSPM与PKI集成带来的优势:
-
与云原生工具的集成
DSPM 工具必须紧密集成,以确保及时的 PKI 响应。PKI 服务(如 AWS 证书管理器或 Google Cloud CAS)提供基于 DSPM 触发器的 API,可简化证书的签发和撤销流程。
此类安排确保在每次发现新的敏感数据资产或识别并标记风险时,立即实施相应的加密协议。
-
已建立的框架
此外,还必须将集成协议和政策与NIST和ISO 27001等标准化安全框架保持一致。这些协议强调实施数据分类、最小权限访问原则(PoLP)、加密以及持续监控等功能。
严格遵守这些协议和框架的整体要求,可确保所有关键方面均得到全面覆盖,同时确保任何DSPM-PKI集成能够实现预期效果并符合相关规范。
-
统一政策与监控
制定规则与执行规则是两个不同的任务。因此,建立完整的流程至关重要,以确保任务如何实现自动化、哪些触发条件会引发何种响应,以及如何对这些流程进行监控。
此外,DSPM 和 PKI 系统必须配置为反映此类工作流协议。这样做可以使 DSPM-PKI 集成工作流的执行和监控更加容易。
结论
将DSPM与PKI集成,使企业能够将以数据为中心和以身份为中心的防御措施整合为一个统一的策略。通过采用这种方法,企业可以确保其关键数据资产得到持续监控、安全加密,并且仅通过经过验证的身份才能随时访问。
这种组合方案若能高效且有效地实施,不仅能强化组织的整体安全态势,还能提升客户的数字信任度,同时帮助其始终领先于即时威胁。
注意:本文由客座作者撰写,旨在为读者提供更多元化的内容。本文中所表达的观点仅代表作者个人意见,并不一定反映GlobalSign的立场。
