舒哥的blog 2016-09-08
电信运营商的数据分类服务对于组织加强云安全能力来说非常重要。专家Dave Shackleford对这些服务带来的益处进行了阐述。
微软推出了一个新的Azure数据分类服务,称为Information Protection,旨在对云中的数据进行分类、标签和保护。具体来说,Azure信息保护允许对数据的分类和保护可以跟随数据迁进和迁出不同的服务和设备。像Azure信息保护这样的数据分类服务对于构建强大的云安全体系来说至关重要,尤其是那些对于高度敏感的数据迁移到云以及数据在各种云服务环境和最终用户设备之间移动感到担忧的高度管制的行业。
人们长期以来都了解迁移到云带来新的风险,这其中最主要的风险是,对于什么样的数据被上传到云服务,谁在访问和使用这些数据,以及云服务提供商的数据生命周期是怎样的这些方面缺乏可见性和控制。
Adallom,一家被微软收购的云访问安全代理,在2014年发布了一份云风险报告,报告发现29%的员工用他们的个人电子邮件帐户分享平均98份的公司文件,一般公司5%的私有文件可以被对外公开访问以及云服务中6%的文件是孤立的 – 这其中约70%的文件是由非公司内部的用户创建的,30%是由离职员工或者前合同工创建。这样的统计数据,很明显的告诉我们,企业需要一个更好的计划和更好的工具来正确的分类,标签敏感数据以及使用策略对数据的创建,移动,访问和处理,以及最终的销毁进行管理。这里就需要用到数据分类服务。
除了Azure信息保护,其他几个服务提供商,如CipherCloud和CloudLock,也提供了云数据分类服务。这些服务大多在一个非常简单的层面,让企业可以对数据标记特定的元数据,分配类别和其他相关的安全信息,然后根据网络,主机或进程级别的策略对标记过的数据进行监控。此类的数据分类服务允许组织执行以下类型的活动:
定义云服务提供商环境中的数据分类方案,手动或自动化标记数据生命周期的各个点的数据。这让云管理员可以在数据创建时决定哪些数据将被标记;这些标签会在数据的整个生命周期中一直跟随数据。
控制数据在云服务,地理区域,甚至最终用户设备之间的移动和迁移。这也将有助于合规性状态的执行和维护,并允许在某些国家之外数据访问和传输能够按照保密限制执行。
实现数据分类导向的访问控制和特权模型。虽然现今的云服务环境中有许多类型的身份和访问控制模型,但控制谁可以访问和使用基于分类定义的数据的能力为身份管理政策和策略增加了一个新的重要的维度。
监控云端数据的类型,这些数据的所在位置以及谁有权访问这些数据。知道云端数据的类型,数据所在和谁访问过会帮助安全团队快速的追踪用户行为,理想情况下,还可以检测影子IT的场景。