美創科技攜零信任資料安全，亮相雲安全聯盟大中華區大會

12月4日至6日，由雲安全聯盟大中華區主辦，以“數字合作創新，安全賦能基建”為主題的2020雲安全聯盟大中華區大會（CSA GCR Congress 2020）在上海圓滿落幕。作為大會協辦單位，美創科技應邀出席，並在兩大論壇分享零信任資料安全理念與實踐。雲安全聯盟零信任專家、認證講師、美創科技CTO周杰在零信任安全論壇分享《零信任助力資料流動》主題演講。

美創科技CTO主題演講

 

零信任助力資料安全流動

周杰在演講中指出，在全新數字化發展浪潮下，資料作為新要素，在流動中創造巨大價值，為各行業轉型升級注入強大動力，但同時也帶來了不勝列舉的安全風險和挑戰。

流動資料面臨的安全風險

周杰表示，過去，資料在安全域內有限流動和使用，但DT時代，資料流轉環境發生了顛覆性轉變，資料不僅打破了原有安全域內流動的約束，且與資料相關的應用、人員等更為複雜且快速變化，這些原因都在導致傳統基於靜態邊界保護的網路安全和資料安全保護措施不斷弱化，甚至失效。

 

“資料流動的本質訴求，是從相對安全的環境流入到不安全的環境。”在新的安全形勢下，零信任成為最佳實踐。周杰介紹，基於零信任的資料安全防護思路，以資料為核心，透過以人為中心的身份管理、動態訪問控制、持續的信任評估，實現讓資料時刻處於保護之中。

美創科技作為零信任踐行者和倡導者，經過多年研究積累形成零信任資料安全架構2.0，並形成資料全生命週期管控，確保資料在哪裡，安全措施到哪裡。

零信任資料安全架構升級

周杰介紹，在數字化轉型的大背景下，資料的流動屬性意味著資料所處的位置是不同的。根據資料所處位置的不同，可以把資料分為三類：在資料中心、在流動路上、在終端上。 

 

資料流動保護的要點在於“安全跟著資料走”，採用最小授權原則，縮小信任面，在資料流動路徑上設定監測點，跟蹤資料流動的全生命週期。可透過使用以下五大技術來助推資料流動共享：

❖ 可信基礎設施，從底層保障資料的安全。從CPU、作業系統到資料庫，使用安全可靠產品，從底層核心保護資料，縮小風險。
❖ 資料脫敏技術，保護敏感資料不會洩露。靜態脫敏解決資料的外發問題，動態脫敏解決資料的實時訪問問題，從而讓我們的敏感資料始終處於一個安全的邊界內。
❖ 水印技術，資料洩露後的追溯。安全一般分事前，事中，事後，其中，事後追溯是很重要的一環。任何安全問題必須追蹤到人，安全說到底是人和人之間的對抗，只有真正追溯到人，才會有威懾力。
❖ 加密技術，以金鑰確定訪問邊界，最大程度縮小可信範圍。加密應該無處不在，從儲存加密、傳輸加密、訪問加密到資料生命週期的控制，加密技術都可以提供很大的幫助。
❖  隱私計算，助推資料的共享，發揮更大的價值。如果基於密文的計算能夠更進一步，那麼隱私計算所能帶來的收益是非常巨大的。目前類似TEE的技術其實也能在一定程度縮小可信範圍。

 

資料只有流動起來才有價值，然而一旦流動就面臨更大的風險。我們不能因為安全問題限制資料的流動、價值的發揮，阻礙數字化轉型的腳步，需透過科學的技術手段，最大程度保障資料的流動安全。 

---

在零信任SDP與資料安全分論壇，美創科技資深解決方案專家王彥翔就美創在該領域的實踐經驗同與會嘉賓展開交流。王彥翔表示，SDP 作為資料訪問安全的新邊界，是一個很好的實踐方式，美創科技也已將SDP融入零信任2.0架構中。

零信任並不是沒有邊界，是把原來靜態的物理邊界轉變成了動態的虛擬邊界，透過軟體定義邊界，把資料控制在一個最小授權的安全邊界內，最大程度保障資料的安全。

 

王彥翔介紹，我們透過先定義高價值目標——敏感資料，然後定義訪問邊界，以杜絕超級使用者訪問，根據SDP架構，資料的保護邊界可以實現最小化，比如到資料庫內的每張表，甚至每個欄位。同時，也不再是單單針對相對靜態的資料資產，我們認為業務操作也可以被保護，比如SQL語句。一切皆資源，一切皆資產，只有定義了有什麼，才能更好的進行保護。安全從資產定義開始，以身份為中心，根據資產固有的行為模式針對不同身份進行最小授權，建立安全基線。