如何構建零信任的雲資料架構

雲端計算對 CISO 產生了深遠的影響。他們意識到其廉價的儲存、巨大的可擴充套件性、資源彈性和可隨時隨地從世界任何地方訪問，為他們負責保護資料的公司創造了競爭優勢。但是這些相同的因素，尤其是它的可訪問性，使他們的工作變得更加困難。

雲擴大了組織的攻擊面，以至於 CISO 必須保護跨多個雲、工具和本地位置的資料。這進一步使他們將未經授權的資料訪問風險降至最低的主要目標變得更加複雜，並使他們確保資訊資產和技術得到充分保護的工作成為一項艱鉅的任務。

更糟糕的是，傳統的安全和治理模型對雲架構無效，部分原因是每個雲供應商都有獨特的資料訪問機制，這增加了管理員犯下代價高昂的錯誤的機會。

傳統的、集中的或指令的方法透過 IT 路由請求、訪問和策略來保護資料，這限制了使用者利用資訊的速度。雲和雲資源的陣列需要更流暢的方法來保護訪問。

去中心化的方法也行不通，因為業務部門在實施有關如何使用資料和使用什麼工具的政策方面有太多的選擇。這會造成業務部門和平臺之間的孤島和衝突，因為雲架構需要在設定、工具和部門之間更加統一。

委託治理模型正在成為更合適的方式，因為它是透過結合上述方法中的最佳方法來簡化多雲安全性的理想選擇。它利用 IT 統一的、自上而下的策略(由業務線資料管理員定製)，並基於 IT 為企業提供的安全平臺來訪問他們選擇的工具。然後，該平臺將這些由資料管理員配置的中央策略分發到跨雲和本地的任何儲存庫或工具中，以實現零信任安全。

實現多雲安全

委託模型使 CISO 能夠降低儲存和利用資料的風險，無論他們身在何處，透過在本地和雲設定之間提供一致的資料安全性。這些環境受益於相同的集中式資料訪問策略;但是，這些策略是由熟悉用例並瞭解資料含義的部門中的資料管理員根據特定業務團隊的需求量身定製的。這種正規化在不增加風險的情況下擴充套件了資料訪問和訪問速度。

強化這種方法的安全平臺在資料層發出細粒度的訪問控制。它支援基於資料管理員如何解釋和執行集中策略的遮蔽、加密和標記化等技術。不需要用於混淆的其他工具集，同時組織還可以透過審計和報告有關誰訪問了哪些資料以及呼叫了哪些策略來授予或拒絕訪問許可權，從而清楚地瞭解治理過程。

內部審計師可以使用這種可追溯性向監管機構證明合規性。例如，特定營銷團隊在構建活動時嘗試訪問 PII 資料，但被拒絕訪問。還有未經授權的訪問或複製資料等操作的警報。這些措施共同解決了 CISO 的主要關注點，即在整個企業中一致地應用訪問策略。

利用混合雲安全架構

委託治理模型取決於集中、安全的資料訪問平臺的架構靈活性。該架構支援將策略和訪問控制機制推送到跨本地和雲環境的分散式資源中。例如，將這些策略實施到 S3 儲存桶等儲存單元中，是鞏固零信任網路同時降低資料洩露風險的基礎。

跨源系統一致應用這些策略是將集中式和分散式方法與委託模型相結合的真正推動因素。政策仍然來自治理委員會，但它們最終會在更接近根資料、工具和業務用例做出決策的地方執行。

最重要的是，這種方法仍然為CISO和他們的資訊保安人員提供對安全問題的集中監督。有一個單一的管理平臺，用於跨雲和本地設定的可見性，同時可以根據角色、屬性和資料標籤輕鬆配置策略。

例如，銷售中的資料管理員可以訪問所有客戶資料，而負責特定區域的銷售人員只能檢視與這些區域的客戶和潛在客戶相關的資料。因此，只有經過授權的人員才能獲得對資料的授權訪問。

為企業保駕護航

在雲優先的世界中，委託方法是使 CISO 能夠降低未經授權訪問整個企業資料風險的最有效方法。它為實施統一的、自上而下的策略提供了集中的好處，並具有將這些策略分發到使用者訪問資料來源的分散優勢。

這種方法單方簡化了雲和內部環境的資料安全問題，使CISO及其組織能夠滿懷信心地進入雲，這是他們習慣的，當他們的資源舒適的位於物理場所的防火牆之後。這種對資料的一致、安全訪問越來越需要，以解決日益增長的現代資料分佈問題。