數字經濟加速發展,密碼應用成為探討雲時代資料安全問題最為緊密的關注點之一。
在12月20日由騰訊主辦的2020 Techo Park開發者大會安全分論壇上,騰訊安全雲鼎實驗室針對目前資料安全治理過程中存在的技術規劃、合規難題,正式釋出了騰訊安全雲訪問安全代理CASB,利用先進密碼技術保護企業的商業資料以及個人資訊資料安全,收斂由敏感資料洩露帶來的企業業務運營風險以及資料合規問題。
該方案是國內首個透過雲原生密碼技術提供極簡合規資料加密解決方案,有效降低資料安全及資料加密技術策略實施門檻,助力企業滿足《密碼法》、《個人資訊保護法》(草案)、《資料安全法》(草案)等法規和標準的合規要求。為企業提供欄位級資料儲存加密防護服務,幫助企業在有效防護資料安全威脅的同時,兼顧商密及國密合規要求,為企業應對資料安全新挑戰提供有力支撐。
(騰訊安全雲訪問安全代理CASB正式釋出)
雲資料安全面臨重大挑戰,加密應用成破題關鍵
近年來,國內外多次爆發大規模的資料洩露事故。2017年,美國信用評級公司Equifax因駭客攻擊洩出近1.5億人的個人資訊及財務資料,並因此就“未能採取合理措施保護自身網路”的過錯支付5.75億美元罰金。
另一方面,無論是海外還是國內,對資料安全合規也提出了更高的要求。在我國,《密碼法》的頒佈實施,以及《網路安全法》、《資料安全法(草案)》、《個人資訊保護法(草案)》等也對企業資料安全及加密提出了新的要求和挑戰。
首發CASB資料加密解決方案,為企業雲端資料安全、合規提供極簡路徑
密碼技術是目前世界上公認的,保障網路與資訊保安最有效、最可靠、最經濟的關鍵核心技術。透過資料加密實現對核心資料的機密性和完整性保護,將明文變為密文,配合健壯的金鑰管理體系,可以防止明文儲存引起的資料洩密、突破邊界防護的外部駭客攻擊以及來自於內部越權使用者的資料竊取,從而從根本上解決敏感資料洩漏帶來的業務風險問題。
目前國內外雲服務商目前普遍採用的基於金鑰管理系統KMS或雲加密機CloudHSM服務的資料加密方案,這要求雲租戶具備一定的密碼方案設計以及開發能力,在實際落地時存在較高的使用門檻,使得密碼技術無法真正發揮其效用。
為解決雲端密碼技術的應用難題,騰訊安全雲鼎實驗室基於自身在雲平臺安全建設的經驗和研究,打造了雲訪問安全代理CASB。用免應用開發改造的配置方式,提供面向服務側的欄位級資料儲存加密防護,有效防護內外部資料安全威脅。該服務元件已透過國家密碼管理局的安全認證,可滿足等保2.0以及商用密碼應用安全性評估的對應用和資料機密性和完整性保護的合規要求。
騰訊雲CASB在加密技術線路上,結合了經典雲訪問安全代理(CASB)以及面向切面程式設計(AOP)思想:透過將資料安全外掛部署到應用伺服器,代理並解析SQL和識別使用者身份,對入庫資料加密,對出庫資料解密、動態脫敏,為資料訪問層增強安全模組,實現免開發改造應用的資料加密策略敏捷實施,有效保護重要資料資產安全。
在安全性上,騰訊雲CASB資料庫加密系統將敏感資料在應用服務內(如Tomcat)加密,除實現將資料加密後存入資料庫,還能實現資料從應用服務到資料庫之間以密文形式傳輸。在資料庫的控制範疇內,不論是儲存磁碟還是資料庫範圍內的記憶體、快取,關鍵敏感資訊是密文狀態,可解除駭客拖庫、DBA等風險。同時,管理員可對不同的資料庫欄位(如敏感欄位、手機號等)採用不同加密、脫敏、以及金鑰策略,實現敏感資料訪問授權最小化。
(騰訊安全雲訪問安全代理CASB資料安全方案防護效果)
同時,與資料庫側加密相比,騰訊安全CASB資料加密解決方案在應用服務側加密,其加解密執行只在目標應用伺服器上完成,不對資料庫伺服器CPU和記憶體造成損耗,對系統整體效能影響小。同時,加密效能也可跟隨應用伺服器線性擴充套件,滿足高效能業務場景敏感資料加密需求。目前,騰訊雲CASB方案在單顆i9 CPU上的SM4加解密速度已突破130Gbps,加密10億條⼿機號僅耗時20秒(即每秒5000萬條)。
騰訊雲資料安全中臺再度升級,打造一站式極簡資料安全防護
騰訊安全雲訪問安全代理CASB是騰訊安全雲資料安全中臺重要元件之一,為企業提供雲資料全生命週期安全防護的重要支撐。
雲資料安全中臺能從資料的分類治理、全過程加密、脫敏和訪問管控入手,有效幫助企業構築雲原生資料關鍵鏈路閉環,有效應對雲上資料安全問題。基於“雲資料安全中臺”,配合專業的資料治理技術、資料安全服務中臺設施以及核心資料安全產品,騰訊安全將致力於打通合規層、技術層、雲產品層、安全服務層、解決方案層等方面的安全能力,幫助使用者構建極簡雲資料保護方案,助力企業降本增效。
(騰訊安全云云資料安全中臺)
未來,騰訊安全希望涵蓋CASB在內的雲資料中臺探索實踐為起點,攜手企業更加從容地應對未來資料安全的挑戰,為產業數字化、智慧化的加速升級提供助力。