王英哲

云計(jì)算對CISO產(chǎn)生了深遠(yuǎn)的影響。他們意識到其廉價(jià)的存儲(chǔ)、巨大的可擴(kuò)展性、資源彈性和可隨時(shí)隨地從世界任何地方訪問，為他們負(fù)責(zé)保護(hù)數(shù)據(jù)的公司創(chuàng)造了競爭優(yōu)勢。但是這些相同的因素，尤其是它的可訪問性，使他們的工作變得更加困難。

云擴(kuò)大了組織的攻擊面，以至于CISO必須保護(hù)跨多個(gè)云、工具和本地位置的數(shù)據(jù)。這進(jìn)一步使他們將未經(jīng)授權(quán)的數(shù)據(jù)訪問風(fēng)險(xiǎn)降至最低的目標(biāo)變得更加復(fù)雜，并使他們確保信息資產(chǎn)和技術(shù)得到充分保護(hù)的工作成為一項(xiàng)艱巨的任務(wù)。

更糟糕的是，傳統(tǒng)的安全和治理模型對云架構(gòu)無效，部分原因是每個(gè)云供應(yīng)商都有獨(dú)特的數(shù)據(jù)訪問機(jī)制，這增加了管理員犯下代價(jià)高昂錯(cuò)誤的機(jī)會(huì)。

傳統(tǒng)的、集中的或指令的方法通過IT路由請求、訪問和策略來保護(hù)數(shù)據(jù)，這限制了用戶利用信息的速度。云和云資源的陣列需要更流暢的方法來保護(hù)訪問。

去中心化的方法也行不通，因?yàn)闃I(yè)務(wù)部門在實(shí)施有關(guān)如何使用數(shù)據(jù)和使用什么工具的政策方面有太多的選擇。這會(huì)造成業(yè)務(wù)部門和平臺(tái)之間的孤島和沖突，因?yàn)樵萍軜?gòu)需要在設(shè)置、工具和部門之間更加統(tǒng)一。

委托治理模型正在成為更合適的方式，因?yàn)樗峭ㄟ^結(jié)合上述方法中的最佳方法來簡化多云安全性的理想選擇。它利用IT統(tǒng)一的、自上而下的策略（由業(yè)務(wù)線數(shù)據(jù)管理員定制），并基于IT為企業(yè)提供的安全平臺(tái)來訪問選擇的工具。然后，該平臺(tái)將這些由數(shù)據(jù)管理員配置的中央策略分發(fā)到跨云和本地的存儲(chǔ)庫或工具中，以實(shí)現(xiàn)零信任安全。

實(shí)現(xiàn)多云安全

委托模型使CISO能夠降低存儲(chǔ)和利用數(shù)據(jù)的風(fēng)險(xiǎn)，無論他們身在何處，通過在本地和云設(shè)置之間提供一致的數(shù)據(jù)安全性。這些環(huán)境受益于相同的集中式數(shù)據(jù)訪問策略，但是，這些策略是由熟悉用例并了解數(shù)據(jù)含義數(shù)據(jù)管理員，根據(jù)特定業(yè)務(wù)團(tuán)隊(duì)的需求量身定制的。這種范式在不增加風(fēng)險(xiǎn)的情況下擴(kuò)展了數(shù)據(jù)訪問速度。

強(qiáng)化這種方法的安全平臺(tái)在數(shù)據(jù)層發(fā)出細(xì)粒度的訪問控制。它支持基于數(shù)據(jù)管理員如何解釋和執(zhí)行集中策略的屏蔽、加密和標(biāo)記化等技術(shù)。不需要用于混淆的其他工具集，同時(shí)組織還可以通過審計(jì)和報(bào)告有關(guān)誰訪問了哪些數(shù)據(jù)，以及調(diào)用了哪些策略來授予或拒絕訪問權(quán)限，從而可以清楚地了解治理過程。

內(nèi)部審計(jì)師可以使用這種可追溯性向監(jiān)管機(jī)構(gòu)證明合規(guī)性。例如，特定營銷團(tuán)隊(duì)在構(gòu)建活動(dòng)時(shí)嘗試訪問PII數(shù)據(jù)，但被拒絕訪問。還有未經(jīng)授權(quán)的訪問或復(fù)制數(shù)據(jù)等操作的警報(bào)。這些措施共同解決了CISO的主要關(guān)注點(diǎn)，即在整個(gè)企業(yè)中一致地應(yīng)用訪問策略。

利用混合云安全架構(gòu)

委托治理模型取決于集中、安全的數(shù)據(jù)訪問平臺(tái)的架構(gòu)靈活性。該架構(gòu)支持將策略和訪問控制機(jī)制推送到跨本地和云環(huán)境的分布式資源中。例如，將這些策略實(shí)施到S3存儲(chǔ)桶等存儲(chǔ)單元中，是鞏固零信任網(wǎng)絡(luò)同時(shí)降低數(shù)據(jù)泄露風(fēng)險(xiǎn)的基礎(chǔ)。

跨源系統(tǒng)應(yīng)用這些策略是將集中式和分散式方法與委托模型相結(jié)合的推動(dòng)因素。政策仍然來自治理委員會(huì)，但它們最終會(huì)在更接近根數(shù)據(jù)、工具和業(yè)務(wù)用例做出決策的地方執(zhí)行。

最重要的是，這種方法仍然為CISO和他們的信息安全人員提供對安全問題的集中監(jiān)督。有一個(gè)單一的管理平臺(tái)，用于跨云和本地設(shè)置的可見性，同時(shí)可以根據(jù)角色、屬性和數(shù)據(jù)標(biāo)簽輕松配置策略。

例如，銷售中的數(shù)據(jù)管理員可以訪問所有客戶數(shù)據(jù)，而負(fù)責(zé)特定區(qū)域的銷售人員只能查看與這些區(qū)域的客戶和潛在客戶相關(guān)的數(shù)據(jù)。因此，只有經(jīng)過授權(quán)的人員才能獲得對數(shù)據(jù)的授權(quán)訪問。

為企業(yè)保駕護(hù)航

在云優(yōu)先的世界中，委托方法是能夠降低未經(jīng)授權(quán)訪問整個(gè)企業(yè)數(shù)據(jù)風(fēng)險(xiǎn)的最有效方法。它為實(shí)施統(tǒng)一的、自上而下的策略提供了集中的好處，并具有將這些策略分發(fā)到用戶訪問數(shù)據(jù)來源的分散優(yōu)勢。

這種方法單方簡化了云和內(nèi)部環(huán)境的數(shù)據(jù)安全問題，使CISO及其組織能夠滿懷信心地進(jìn)入云，這是他們習(xí)慣的，當(dāng)他們的資源舒適地位于物理防火墻之后。這種對數(shù)據(jù)的一致、安全訪問可以解決日益增長的現(xiàn)代數(shù)據(jù)分布問題。