采用Imperva数据安全新平台DSF保护亚马逊AWS企业数据湖

如今，企业通常会将数据湖作为中央存储库，用于多种数据类型（结构化、半结构化和非结构化）的大规模存储。数据湖高效好用的一大优点是它们不需要对数据进行任何前期工作，就能够简单地集成和存储从多个来源流入的数据。

Amazon 的 AWS 数据湖是当今市场上最受欢迎的云数据解决方案之一。AWS 数据湖专门面向企业客户提供了安全的云存储架构。有了AWS 云的帮助，客户无需操作、管理和控制从主机操作系统和虚拟化层，也无需维护支撑服务运行物理设施及安全组件，大大减轻客户的运营负担。但是，客户仍然有责任保护自己的敏感数据。您可以在 AWS 发布并遵循的责任共担模型中看到官方的详细解释。

当企业将工作负载快速转移到云中，往往会忘记敏感数据存储的位置，此时敏感数据造成的安全风险开始增加。为了维护新环境中的数据安全，您需要一个组织良好的数据目录，清楚知道数据副本存放在哪里，快照可能记录在哪里等等。此外，还必须针对敏感数据制定行之有效的访问控制策略。您必须具有审计跟踪的能力、在需要时取证运行数据的能力、验证及管控权限的能力，以及从数据暴露面视角检查漏洞的能力。上述这些并不是云时代才有的新的实践；多年来，它们一直是指导企业如何将以数据为中心的安全策略应用于数据存储的不可或缺的准则。唯一比较新鲜的是，现如今需要将这些实践应用到 AWS 数据湖等云托管环境中。

Imperva数据安全新平台(Data Security Fabric, 简称DSF) 使得企业能够保护 AWS 企业数据湖中的敏感数据，同时帮助证明数据合规性。Imperva DSF 解决方案使 AWS 客户能够通过单一的综合平台查看和保护他们的敏感数据。客户通过新的安全平台方案，可以跨越 Amazon云服务下的Aurora、Redshift、Relational Database Service (RDS)、DynamoDB、Amazon和 AWS CloudFormation 等多个服务，建立统一安全模型，而无需对现有数据基础架构进行任何更改。

我们认识到，许多安全团队在资源和领域专业知识方面存在差距，可能使得将公司安全策略应用于敏感的云管理数据并确保其数据湖符合组织合规性的成本高昂且困难重重。这些技能和执行上的差距，使得企业可能无法检测受感染的用户访问敏感数据等事件，同时也很难防止恶意内部人员窃取数据。对于许多企业而言，这场危机导致做出艰难的决定：限制他们有效利用存储在数据湖中的数据，或者在使用数据时冒着巨大的合规风险。在最坏的情况下，这些安全问题会导致数据泄露。

为应对上述这些挑战，Imperva数据安全新平台 (DSF) 首先会使用 AWS Lake Formation 和 AWS Glue 等云原生服务来定义和分类存储在数据湖中的数据。DSF利用其内部数据分类引擎或从 Amazon Macie 导入分类扫描来识别存储在 Amazon S3、Amazon Redshift 和 Amazon RDS 等服务中的敏感数据，明确敏感数据的存储位置。Imperva DSF 也会从CloudWatch 等服务中收集数据访问日志，以便在用户访问存储在 Amazon S3 中的原始数据文件或使用 Amazon Athena 或 Amazon EMR 等服务对数据执行分析查询时进行审计。

Imperva数据安全新平台 (DSF) 包含了用户实体行为分析 (UEBA) 建模功能，可以识别可疑的数据访问模式，例如：对敏感记录的过度访问、交互式用户对特权维护帐户的使用，以及可疑的网络连接。这使得企业无需聘用专门的数据安全分析师，就能够自动识别和检测潜在的数据泄露。最后，借助DSF的强大功能，安全运营团队可以创建脚本，利用安全组等AWS 原生功能自动缓解安全威胁，或使用 AWS IAM 账号管理工具直接撤销可疑用户的访问权限。这可确保了企业的合规性，同时助于防止数据泄露事件的发生。

Imperva数据安全新平台 (DSF) 使得企业安全团队能够从统一的仪表板拥有范围广泛的数据安全功能，包括数据发现、分类、监控、访问控制、风险分析、合规性管理、安全自动化、威胁检测和审计报告。

在一个地方查实现对所有这些内容的查看，可以更轻松地监控数据迁移并保护敏感数据。例如：客户姓名、电子邮件地址、电话号码和性别等个人身份信息 (PII)。单一仪表板还使团队能够监控多种隐私法规的遵守情况，例如：通用数据保护法规 (GDPR)、支付卡行业数据安全标准 (PCI-DSS) 和健康保险流通与责任法案 (HIPAA)。

已有逾万企业在 AWS 上构建数据湖，同时他们均对AWS Lake Formation、AWS Identity and Access Management (IAM) 和 Amazon Simple Storage Service (Amazon S3) 配置了安全策略以保护对它们的访问。Imperva DSF 利用 AWS Lake Formation 和 AWS Glue 等服务来发现这些数据湖并获得对它们的可见性。这使得安全团队能够监控企业中的用户如何查询和访问存储的数据，并检测恶意用户访问，防止数据泄漏事件。除了AWS云环境以外， Imperva DSF 还能够保护企业所有数据库、文件存储库、数据仓库、多云和数据湖环境中的关键数据工作负载。

企业可以使用预构建的 AWS CloudFormation 模板在任何 AWS 服务区域均可以直接部署 Imperva数据安全新平台 (DSF)。部署完成后，DSF 就开始发现和监控数据湖，在 AWS 上的云数据库上运行超过 400 个预定义的漏洞评估测试。此外，Imperva DSF 方案包含了基于互联网安全中心 (CIS) 和国防信息系统局 (DISA) 安全技术实施指南 (STIG) 中适用于云的基准策略，从而大大消除了用户选择云安全基准的复杂性。

实现对数据湖的支持是 Imperva 与 AWS 合作的最新里程碑。Imperva 是 AWS 合作伙伴，拥有 AWS 安全独立软件供应商 (ISV) 能力和 Amazon RDS 产品兼容验证。Imperva 还深度参与了 AWS Marketplace 和 AWS独立软件供应商加速计划。

Imperva数据安全新平台 (DSF) 原生支持超过 65 种数据存储服务，无论数据托管在何处，无论在任何数据存储环境中，都可以轻松实现数据安全性及合规性。Imperva DSF 专门针对 AWS环境做了优化，原生支持以下服务及功能：

如果您目前正在寻找一种解决方案来获得对企业数据的可见性，并希望应用安全控制策略来保护 AWS 云数据湖中的敏感数据，请立即联系 Imperva。

●END●