如何构建零信任的云数据架构

2021-11-02 22:14王英哲
计算机与网络 2021年17期
关键词:委托管理员架构

王英哲

云计算对CISO产生了深远的影响。他们意识到其廉价的存储、巨大的可扩展性、资源弹性和可随时随地从世界任何地方访问,为他们负责保护数据的公司创造了竞争优势。但是这些相同的因素,尤其是它的可访问性,使他们的工作变得更加困难。

云扩大了组织的攻击面,以至于CISO必须保护跨多个云、工具和本地位置的数据。这进一步使他们将未经授权的数据访问风险降至最低的目标变得更加复杂,并使他们确保信息资产和技术得到充分保护的工作成为一项艰巨的任务。

更糟糕的是,传统的安全和治理模型对云架构无效,部分原因是每个云供应商都有独特的数据访问机制,这增加了管理员犯下代价高昂错误的机会。

传统的、集中的或指令的方法通过IT路由请求、访问和策略来保护数据,这限制了用户利用信息的速度。云和云资源的阵列需要更流畅的方法来保护访问。

去中心化的方法也行不通,因为业务部门在实施有关如何使用数据和使用什么工具的政策方面有太多的选择。这会造成业务部门和平台之间的孤岛和冲突,因为云架构需要在设置、工具和部门之间更加统一。

委托治理模型正在成为更合适的方式,因为它是通过结合上述方法中的最佳方法来简化多云安全性的理想选择。它利用IT统一的、自上而下的策略(由业务线数据管理员定制),并基于IT为企业提供的安全平台来访问选择的工具。然后,该平台将这些由数据管理员配置的中央策略分发到跨云和本地的存储库或工具中,以实现零信任安全。

实现多云安全

委托模型使CISO能够降低存储和利用数据的风险,无论他们身在何处,通过在本地和云设置之间提供一致的数据安全性。这些环境受益于相同的集中式数据访问策略,但是,这些策略是由熟悉用例并了解数据含义数据管理员,根据特定业务团队的需求量身定制的。这种范式在不增加风险的情况下扩展了数据访问速度。

强化这种方法的安全平台在数据层发出细粒度的访问控制。它支持基于数据管理员如何解释和执行集中策略的屏蔽、加密和标记化等技术。不需要用于混淆的其他工具集,同时组织还可以通过审计和报告有关谁访问了哪些数据,以及调用了哪些策略来授予或拒绝访问权限,从而可以清楚地了解治理过程。

內部审计师可以使用这种可追溯性向监管机构证明合规性。例如,特定营销团队在构建活动时尝试访问PII数据,但被拒绝访问。还有未经授权的访问或复制数据等操作的警报。这些措施共同解决了CISO的主要关注点,即在整个企业中一致地应用访问策略。

利用混合云安全架构

委托治理模型取决于集中、安全的数据访问平台的架构灵活性。该架构支持将策略和访问控制机制推送到跨本地和云环境的分布式资源中。例如,将这些策略实施到S3存储桶等存储单元中,是巩固零信任网络同时降低数据泄露风险的基础。

跨源系统应用这些策略是将集中式和分散式方法与委托模型相结合的推动因素。政策仍然来自治理委员会,但它们最终会在更接近根数据、工具和业务用例做出决策的地方执行。

最重要的是,这种方法仍然为CISO和他们的信息安全人员提供对安全问题的集中监督。有一个单一的管理平台,用于跨云和本地设置的可见性,同时可以根据角色、属性和数据标签轻松配置策略。

例如,销售中的数据管理员可以访问所有客户数据,而负责特定区域的销售人员只能查看与这些区域的客户和潜在客户相关的数据。因此,只有经过授权的人员才能获得对数据的授权访问。

为企业保驾护航

在云优先的世界中,委托方法是能够降低未经授权访问整个企业数据风险的最有效方法。它为实施统一的、自上而下的策略提供了集中的好处,并具有将这些策略分发到用户访问数据来源的分散优势。

这种方法单方简化了云和内部环境的数据安全问题,使CISO及其组织能够满怀信心地进入云,这是他们习惯的,当他们的资源舒适地位于物理防火墙之后。这种对数据的一致、安全访问可以解决日益增长的现代数据分布问题。

猜你喜欢
委托管理员架构
基于云控平台雾计算架构的网联汽车路径控制
神秘人约在几点碰面?
可疑的管理员
个股盘中突然暴涨暴跌原因分析
关于加强和规范区县行政委托执法工作的思考
让管理员管不了的名字
委托第三方参与立法需完善机制
当小小图书管理员
VIE:从何而来,去向何方
企业架构的最佳实践