数据安全态势管理的一切指南

态势三部曲（一）

申明

本文的描述仅限国外视角，仅给于您不同的视角去看问题，未来网络/数据安全一定是一种认知竞争,而不是低水位的努力。

是的，本文就是很长（上万），是基于指南进行的扩展，在中间穿插解释一些问题。您可以进行收藏，一点一点看，反复回顾，因为里面还有很多大家没有厘清的，未知的，探索的地方，只有专题分析。谢谢！

一、什么是DSPM？

二、对于DSPM您应该需要知道的？

三、DSPM如何帮助您？

四、DSPM的具体优势

五、DSPM如何工作？

六、DSPM的关键功能是什么？【重点】

七、DSPM在哪里适合现代数据安全环境？

八、DSPM如何使用？

九、如果你做不到接近这样，那就很平庸【重点】

十、将身份结合起来那就Perfect 【重点】

十一、为什么需要DSPM？

一、什么是 DSPM？

Gartner将数据安全态势管理（DSPM）视为一项新兴的变革性技术。它被描述为一组工具和实践：“提供有关敏感数据的位置、谁有权访问该数据、数据的使用方式以及数据存储或应用程序的安全状况的可见性。”

数据安全态势管理（DSPM）定义了一种新的数据优先方法来保护本地/云数据。DSPM的前提是数据是组织最重要的资产。现代多云组织中数据的激增正在迅速增加敏感数据丢失或泄露的风险。这些风险使云数据安全成为安全利益相关者的第一大问题，尤其是那些使用遗留策略进行保护的利益相关者。

DSPM绘制了一条现代路径，用于了解影响数据安全状况的所有因素。DSPM会告诉您敏感数据位于云环境中的任何位置、谁可以访问这些数据及其安全状况。遵循DSPM的指南和基于平台的工具是确保组织数据安全的最快方法。

在本指南中，您将了解DSPM的功能和要求，以帮助您的组织制定战略和策略，通过系统、全面和有效的流程解决本地/云数据安全状况。

二、对于DSPM您应该需要知道的？

DSPM与互补技术配合使用时会更加有效，维度才更多，如：

(1)IAM为代表的身份安全管理确保只有授权用户才能访问敏感数据，与DSPM集成使您能够自动执行和管理身份验证和访问控制。

(2)EDR实时监控和检测端点上的威胁，与DSPM集成可帮助您使数据安全策略与EDR解决方案保持同步。

(3)SIEM可整合和分析企业环境中的数据，以支持事件检测和响应，与DSPM集成提供更广泛的可见性和关联性，以增强您的数据安全性。

(4)DLP工具可保护敏感数据免遭丢失或被盗。与DSPM集成后，解决方案可以监控和控制环境中移动的数据，帮助其做出适当的更改以防止未经授权的访问或泄露。

(5)IPS/IDS监视可疑活动，以防止非法访问或恶意流量,与DSPM集成可实现实时监控和警报，以主动预防事件。

(6)安全/数据分析工具使用机器学习通过识别模式和异常来识别潜在威胁,与DSPM集成提供实时威胁检测和见解，帮助您采取行动增强安全态势。

是的，概念很多很卷，DSPM、云安全态势管理 (CSPM) 和云基础设施授权管理 (CIEM) 解决方案均可帮助管理安全态势，但存在一些关键区别：

(1)DSPM专注于您的整体数据安全状况，包括本地和云环境，帮助您识别和评估风险、监控控制和计划事件响应。

(2)CSPM专注于云数据安全，通过资产发现、配置和访问管理以及检测和响应来识别和管理云环境中的风险和合规性问题。

(3)CIEM监控、识别和管理与云基础设施中的权利和权限相关的风险和违规行为。

三、DSPM如何帮助您？

DSPM最重要的好处是提高您的组织持续保持云数据安全的能力。数据安全态势的评估和采取行动不同于其他类型的安全态势，例如影响一般云、应用程序、网络、设备、身份等的问题。与这些不同的是，DSPM像激光束一样聚焦在您的数据上。DSPM解决方案旨在帮助安全团队回答三个基本问题：

(1)我们的敏感数据在哪里？

(2)哪些敏感数据面临风险，谁在使用？

(3)我们采取什么方法来补救这种风险？

总结来说就是他解决了数据安全的最大的挑战

可见性

四、DSPM的具体优势

(1)作为确保云数据安全的一部分，DSPM将专门帮助您的安全、IT运营和DevOps团队：

(2)发现云环境中的敏感数据（结构化和非结构化），包括被遗忘的数据库和影子数据存储。

(3)对敏感数据进行分类，并将其映射到监管框架，以识别暴露区域和暴露的数据量，并跟踪数据沿袭以了解数据来自何处以及谁有权访问数据。

(4)发现敏感数据的攻击路径，根据身份、访问、漏洞和配置权衡数据敏感性，从而根据最重要的风险确定风险优先级。

(5)与DevSecOps工作流程连接以补救风险，特别是当它们出现在应用程序开发生命周期的早期时。

(6)现代DSPM平台使流程自动化

坦率地说，保护多云数据的挑战超越了为企业利益相关者的各个团队实施和维护DSPM流程的纯手动工作。如果您的组织希望获得DSPM的好处（而且应该如此！），则必须使用自动化系统，以确保DSPM流程系统、全面且有效。

DSPM 的自动化需要使用DSPM平台。现代DSPM平台有一个主要重点：快速准确地评估组织云数据的安全状况并确保快速修复漏洞-既保证数据安全，又满足涵盖各种类型敏感数据的合规性要求。

DSPM平台不会取代用于网络、应用程序、云等的状态管理的现有安全工具。事实上，DSPM平台应该而且必须从现有的安全、IT运营和DevOps工具基础设施中获取上下文数据、警报和其他指标。这些数据对于向DSPM平台通报整个数据基础设施至关重要，因为它与安全性和合规性相关。数据利用人工智能和机器学习 (AI/ML) 推动算法分析和处理，自动完成主题专家仅靠手动工作无法实现的任务。

DSPM 平台还必须与组织的所有云服务提供商的安全和运营服务无缝集成。其中应包括AWS、Azure和GCP等主要提供商。一般来说，虽然云服务提供商提供的安全和操作工具可能在提供商的云中有效，但与其他云中注重数据安全的系统的互操作性很差甚至不存在。因此，必须使用DSPM平台来实现跨扩展云环境集成的系统、全面、有效的云数据安全态势管理。

五、DSPM如何工作？

数据安全最大的问题之一是“我们的数据在哪里？”在知道数据的位置之前，您无法开始保护数据——尤其是关键业务、客户或受监管的数据。正如我们在这个敏捷新时代所了解到的那样，您的数据几乎可以位于云中的任何位置。获得更好的可见性是保护云数据的过程的第一步，称为数据安全态势管理。

分析师和供应商社区描述了各种类型的状态管理。它们都解决了两个一般性问题：问题是什么，我们如何解决这些问题？数据安全态势管理 (DSPM) 是一种用于保护本地/云数据的新规范方法。正如 Gartner 在其2022 年数据安全技术成熟度曲线中所定义的那样。

从大的层次次来看，DSPM需要三个步骤：

(1)发现您的数据在哪里并分析其组成，对整个组织中的数据源（数据库、文件系统、云存储、第三方应用程序等）进行定位和编目，以帮助组织了解其敏感数据所在的位置；

(2)通过根据特定数据集映射用户访问权限并跟踪数据沿袭以了解数据来自何处以及谁有权访问数据，检测哪些数据面临风险并确定修复顺序的优先顺序；

(3)修复漏洞并防止其再次发生。

DSPM 发现您的数据所在位置并分析其组成

由于敏捷的本质，数据位置的发现是一个巨大的问题。在 DevOps 和模型驱动的组织中，结构化和非结构化数据的数量要大得多且不断扩大，这些数据几乎可以位于任何地方。

在传统场景中，所有数据都存储在本地，这催生了“城堡和护城河”网络安全模型，限制外部访问，同时允许内部信任的用户。那是安全的轻松日子！云通过将数据存储在由服务提供商和其他实体运营的外部位置来分割传统架构。对于安全架构师和从业人员以及负责合规性的人员来说，数据量和位置的巨大变化需要采用不同的方法来保护数据：因此数据安全态势管理。

DSPM 方法承认敏捷架构要复杂得多，因为云不是一个整体的地方。对于大多数企业来说，云包含许多物理和虚拟场所：两个或多个云服务提供商，例如亚马逊、微软或谷歌；软件即服务提供商；平台和基础设施即服务提供商；数据湖提供商；商业合作伙伴; 当然，您自己的组织内还有无数的混合云、服务器和端点。

数据不仅仅转移到更多地方。随着微服务的现代爆炸、变更频率的增加、建模访问的加速以及DevOps对新代码的不断迭代，数据创建的速度正在飙升。一些安全影响包括影子数据存储和废弃数据库，它们像蜂蜜吸引蜜蜂一样引诱攻击者。

定位您的数据仅仅是开始。需要进行分类分析来帮助您的团队了解数据的性质，并确定对数据保护和监控要求的关注程度，尤其是在数据遵守合规性要求的情况下。

DSPM 检测哪些数据存在风险并确定修复顺序的优先级

DSPM的第二阶段是检测哪些云原生数据面临风险。先驱是识别在组织的云环境中运行的所有系统和相关操作。检测所有基础设施有助于确定数据的所有访问路径以及哪些路径可能需要访问权限更改或新的保护控制。

访问权问题具有挑战性，因为可以在多种类型的容器中找到结构化和非结构化数据。例如云原生数据库、块存储和文件存储服务。对于其中每一个，您的团队都需要发现访问错误配置、膨胀的访问权限、休眠用户、易受攻击的应用程序以及可以访问敏感数据的暴露资源。

如果您的组织正在加快解决这些问题，请注意，由于云应用程序架构的快速发展以及微服务和数据存储的变化，安全团队必须与数据和工程团队密切合作。

访问并不是唯一的风险问题；数据的性质也是如此。您的团队需要对云数据进行优先级排序，以对其重要性和风险级别进行排名。数据是否属于专有数据、受监管数据或其他敏感数据？风险的确定是漏洞严重性、数据性质、访问路径以及资源配置状况的综合。更高的风险意味着修复成为首要任务。

DSPM 修复数据风险并防止其再次发生

保护面临风险的云数据需要修复DSPM的发现和检测阶段发现的相关漏洞。在遗留场景中，数据安全通常侧重于保护经典边界。但由于数据已经远远超越了这个古老的时代，它需要解决不同范围的问题。如前所述，修复通常需要跨学科团队的协作。根据场景的不同，团队将需要网络和基础设施运营、云配置管理、身份管理、数据库、DevOps等方面的帮助。

云数据的安全性通常由特定服务提供商提供的控制进行管理。然而，企业订户在解决主要与配置管理相关的几个问题方面也发挥着关键作用：

(1)确定工作负载运行的位置绘制数据和云基础设施以及相关业务流程之间的关系，以发现可利用的路径

(2)验证用户和管理员帐户权限以查找具有过高访问权限和角色的人员

(3)检查与您的云帐户相关的所有公共IP地址是否存在潜在劫持

(4)由于主要的云服务提供商不为不同的云提供集成的、可互操作的安全和配置控制，因此您的组织有责任确保为多云环境正确配置安全访问控制。虽然修复是DSPM三个步骤过程中的最后一个，但请注意，所有三个步骤实际上都是连续循环的一部分。当您的企业依赖云时，始终保持数据安全态势至关重要！

六、DSPM的关键功能是什么？

DSPM平台将自动化五个领域的功能，用于评估云数据的安全状况、检测和补救风险以及确保合规性。一般来说，寻找一个无代理且本地部署在任何主要云（AWS、Azure、GCP）中的DSPM平台很有用。该平台应提供100%API访问，以便轻松集成在组织环境中使用DSPM所需的任何现有工具数据的使用。当然，平台还应该使用基于角色的访问控制来保持数据安全状态的管理与敏感数据一样安全。所有这些都将最大限度地减少障碍，并使DSPM为您的团队快速提高生产力。

无代理扫描的工作原理（如Microsoft Defender for Cloud）

无代理安全和监控是指一种收集和分析有关环境及其工作负载的安全相关信息而无需部署其他软件代理或组件的方法。无代理扫描会拍摄资源快照，通过 API 调用评估环境，以从工作负载中收集元数据和运行时存储信息。然后使用机器学习算法处理这些信息，以建立清单并分析整个环境中的安全风险。

对虚拟机的无代理扫描使用云 API 来收集数据。而基于代理的方法在运行时使用操作系统 API 来持续收集安全相关数据。Defender for Cloud 拍摄 VM 磁盘快照，并对快照中存储的操作系统配置和文件系统执行带外深度分析。复制的快照保留在与虚拟机相同的区域中。VM不受扫描影响。

从复制的磁盘获取必要的元数据后，Defender for Cloud 立即删除复制的磁盘快照，并将元数据发送到 Microsoft 引擎以检测配置差距和潜在威胁。例如，在漏洞评估中，分析是由Defender Vulnerability Management完成的。结果显示在 Defender for Cloud 中，它在安全警报页面上整合了基于代理和无代理的结果。

分析磁盘的扫描环境是区域性的、易失性的、隔离的且高度安全的。磁盘快照和与扫描无关的数据的存储时间不会超过收集元数据所需的时间（通常为几分钟）。

供应商示例

还有一种方式，利用eBPF技术实现无侵入式的可观测（见下链接）

在独角兽Wiz横空出世的时候，资料很少，笔者意识到这技术的结合，现在不需要说明了。

2024.2.7日

【思科在思科可观测性平台上宣布了一系列令人兴奋的新解决方案，由eBPF技术支持的Kubernetes工作负载可观测性。（背景看上链接）。此外，思科还宣布新的 Cisco AIOps 应用程序简化了实时业务运行状况监控，并显着减少了事件和警报带来的噪音。

数据安全态势管理(DSPM) 可观测性将数据安全态势管理 (DSPM) 可观测性引入思科的业务风险可观测性解决方案中，除了可视化和可视化外，还可为敏感数据提供实时和自动化的数据发现、分类、策略定义和合规性可见性。】

eBPF早已在网络监控供应商风靡，但它会引起网络数据安全的热潮，那就把话挑明：

eBPF因其运行时分析功能、有效负载分类以及对网络和应用程序的深入可见性而成为分析动态数据的理想选择，通过eBPF，可以看到数据的完整谱系、数据来自哪里、流向哪里以及所有者是谁。与代理、代码工具和sidecar等传统代理不同，eBPF传感器没有任何部署开销或摩擦,使用eBPF，就不存在代理的处理延迟和资源消耗问题。

最低级的方式可能是Monitor And Agent

使用DSPM进行数据发现

发现能力回答了“我的敏感数据在哪里？”的问题。DSPM 发现云原生结构化和非结构化数据存储。它发现云原生块存储，例如EBS 卷。它发现PaaS数据存储，例如Snowflake和Databricks。DSPM 应持续监控和发现新的数据存储。当发现新的数据存储或可能存在风险的对象时，它应该通知安全团队。

使用DSPM进行数据分类

分类可以告诉您您的数据是否敏感以及数据的类型。它回答了诸如“谁可以访问我的数据？”之类的问题。和“是否有影子数据存储？” 首先也是最重要的，您希望DSPM分类功能实现自动化 - 如果平台无法自动执行此操作，那么它就违背了在大规模云环境中尝试执行DSPM的全部目的。自动化必须解决各种分类功能：

(1)分析数据存储中的实际内容（与对象/表/列名称相比）

(2)提供开箱即用的分类器（不需要客户定义的规则；这会减慢您的速度！）

(3)识别受监管的数据（GDPR、PCI DSS、HIPAA等）

(4)允许用户定义专有/独特数据的分类器

(5)分类识别新添加的数据库/表/列中的敏感数据

(6)通知安全团队发现新的敏感数据

(7)扫描数据所在位置，任何数据都不会离开组织的环境

(8)扫描时采样数据以降低计算成本

(9)检测敏感数据，结合敏感数据的邻近度以提高准确性

(10)当敏感数据被错误分类时修复误报的工作流程

使用DSPM进行访问治理

访问治理确保只有授权用户才可以访问特定的数据存储或数据类型。DSPM的访问治理流程也会发现相关问题，例如：“是否有废弃的数据库？” 或者“是否有过多的特权？” 平台的自动化功能需要包括识别所有有权访问云数据存储的用户。它应该识别有权访问这些数据存储的所有角色。DSPM 还应识别有权访问这些数据存储的所有资源。与所有这些相关，平台还应该跟踪与每个用户/角色/资源相关的权限级别。最后，DSPM 必须检测有权访问数据存储的外部用户/角色。所有这些信息将为分析提供信息，并帮助确定与组织的所有云数据存储相关的风险级别。

使用DSPM检测风险并修复漏洞和云配置错误

该领域是关于漏洞管理的功能。风险检测是发现可能导致敏感数据泄露的潜在攻击路径的过程。传统安全通常通过关注支持数据的基础设施（即网络设备、服务器、端点等）来实现这一点。DSPM专注于检测影响敏感数据的漏洞以及有权访问敏感数据的不安全用户。DSPM还根据行业基准和合规性标准（例如 GDPR、SOC2和 PCI DSS）检查数据。主要思想是直观地绘制数据存储、用户和云资源之间的关系，以指导调查和修复。该平台应能够构建结合敏感数据、访问、风险和配置的自定义风险检测规则。它应该支持自定义查询来检测和查找您的组织和环境特有的潜在数据安全风险。在检测到风险后，应向安全团队向特定人员提供触发通知。相关工作流程应自动触发第三方产品，例如票务系统。为了简化可用性，现代图形驱动的功能将可视化并启用查询来发现敏感数据的攻击路径。

使用DSPM进行合规遵从

现代组织必须遵守各种管理敏感数据的法律和法规。例如，欧盟的《通用数据保护条例》 (GDPR) 旨在确保欧盟公民对其个人数据（如姓名、生物特征数据、官方身份证号码、IP 地址、位置和电话号码）的权利。对违规行为的分级罚款最高可达公司全球年营业额的4%或2000万欧元（以较高者为准）。类似的法律，例如健康保险流通和责任法案(HIPAA)、格拉姆-里奇-比利雷法案(GLBA)、支付卡行业数据安全标准(PCI DSS) 和新的加州消费者隐私法案(CCPA) 都有强制规定用于保护特定类型的敏感数据。DSPM 必须能够自动检测和分类组织所有云数据存储中与任何相关法律和法规相关的所有数据。它应该自动将您的数据映射到合规性基准。组织中的利益相关者应该获得有关数据合规性差距的覆盖热图，例如放错位置的个人身份信息(PII)、影子数据或含有敏感数据的废弃数据存储。数据官员应收到仪表板和报告，以按区域、职能等跟踪和管理数据合规性。除了确保受监管敏感数据的安全性之外，该平台还应该简化和加速生成文档，以验证审核员的合规性。

七、DSPM在哪里适合现代数据安全环境？

DSPM是一个相对较新的概念，旨在满足快速发展的云数据保护要求。DSPM 已进入 Gartner 2022年数据安全技术成熟度曲线中的“上升位置”。由于云数据的关键性质，Gartner为DSPM授予了“变革性”效益评级。

虽然DSPM是一个新概念，但其一般功能的子集可以在当前的云安全工具中看到。不幸的是，它们的功能是孤立的，并且这些独立工具无法满足所有云数据的系统性、全面性和有效安全性所需的DSPM的所有五个主要功能。

下面的矩阵显示了当前的云安全工具如何部分解决各种类型云数据存储中DSPM的五种功能。本质上，DSPM 满足所有标明“无”的方格，并且可以替换其他方格中的工具——特别是当组织的特定工具的用例很少时。或者，如果组织在特定云安全工具上进行了大量投资（例如在 CMDB 中填充数十万个资产、所有者、业务关键性等），则DSPM平台还可以从以下位置获取运营数据、警报和其他指标：用于安全、IT 运营和 DevOps 的相应工具的现有基础设施。DSPM 的用例灵活性大有帮助！

八、DSPM如何使用？

DSPM主要由云优先组织使用，这些组织将整个IT/应用程序基础设施放入一个或多个云中。DSPM对于致力于云优先愿景并从混合云/本地环境迁移的实体也很有用。下面通过四个典型用例说明了DSPM平台的实际日常使用。

DSPM 使用案例 1：跨所有云自动进行数据发现和分类

影子数据存储和废弃数据存储通常位于常规安全控制之外，特别是当它们是数据科学家和其他数据工程师出于临时测试和其他目的而临时复制的情况时。该DSPM用例尤其有利于安全团队，因为它与数据和工程团队保持同步，自动发现、分类和验证所有云帐户中的所有数据。该过程包括跨本机数据库、块存储和文件存储服务盘点结构化和非结构化数据。

DSPM使用案例 2：防止云数据泄露并最大程度地减少攻击面

组织追求云优先战略，因为它可以实现创新，这会带来云架构的不断发展以及微服务和数据存储的变化。安全团队使用DSPM与数据和工程团队保持同步，以确保最大限度地减少云数据暴露以及相关的攻击面。DSPM平台将通过持续检查数据存储和相关资源是否配置错误、检测易受攻击的应用程序和可访问敏感数据的暴露资源，自动识别面临风险的数据。

DSPM使用案例 3：跟踪数据访问权限并强制执行最低权限

不适当的访问权限可能导致敏感数据被误用或暴露，无论是由于内部人员的意外还是恶意权利持有者的设计。DSPM使安全团队能够自动获得所有云数据存储的访问权限的简单、准确的视图。DSPM平台对所有用户的访问权限进行分类，并将其与实际使用情况进行比较，以识别休眠用户和拥有过多权限的用户。由此产生的待办事项列表使IT管理员能够快速纠正过多的权限，或者删除其帐户对数据构成潜在风险的休眠用户。

DSPM 使用案例 4：主动监控法规合规性

数据安全合规性审核针对各种强制性法律和法规进行。DSPM平台使治理利益相关者能够通过针对关键基准和相关控制的持续检查来领先于合规性和审计要求。例如，PCI DSS 要求 3指定商家必须通过加密和其他控制来保护存储的支付帐户数据。DSPM平台将识别存储的支付账户数据及其是否加密。此类合规活动是通过平台的云数据目录、访问权限智能和风险检测功能来实现的，所有这些都说明了敏感数据的安全状况并为合规审计提供了证据。

九、如果你做不到接近这样，那就很平庸

以色列云安全独角兽公司Wiz近期透露，公司成立仅四年，年经常性收入（ARR）就达到了令人印象深刻的3.5亿美元。Wiz为40%以上的财富100强企业提供服务，该公司还宣布任命Dali Rajic为总裁兼首席运营官。Rajic 曾任 Zscaler 总裁兼首席运营官，是一位行业资深人士，在为科技公司建立和扩大市场团队和运营方面拥有超过 25 年的经验。Wiz 已获得9亿美元的融资，最近的估值达到 100亿美元。

2022年6月，某航空的一名员工意外配置了AWS S3存储桶的安全设置，导致2300 万个PII文件泄露。暴露的存储桶还包含加密密钥和源代码。实施提供涵盖DSPM的CNAPP解决方案本来可以避免这种情况。自动连续扫描航空公司的数据，包括内部和第三方应用程序，以识别此类漏洞、确定优先级并发出警报，以便快速修复。

很不幸，大部分供应商采用的扫描手段无法解决本质问题。

以下是Wiz的Case，非常优秀。

1. 快速、无代理地了解关键数据

要简化关键数据的可见性，请选择DSPM解决方案，该解决方案可以快速扫描组织基础架构中的敏感数据，而无需在各个系统上安装代理。

2. 集中式仪表板和报告

DSPM解决方案必须提供一个集中式仪表板，具有全面的报告功能、实时监控和可定制的可视化效果，以便更好地洞察组织的数据安全状况。

3. 持续检测关键数据泄露并确定优先级

寻找能够持续监控和检测关键数据泄露的DSPM解决方案。该解决方案还应该提供自动数据分类，以帮助优先考虑风险，首先解决最关键的风险。

4. 数据沿袭映射

考虑一个DSPM解决方案，该解决方案实现数据沿袭映射以理解和跟踪数据生命周期：起源、移动、转换和存储。这有助于检测后门和不合规问题。 这才是真正意义的数据流向地图。

5. 实时修复

选择DSPM解决方案，让您能够自动或以最少的人工干预实时修复已识别的安全问题。

6. CI/CD 集成，防止数据泄露

选择与持续集成/持续部署 (CI/CD)管道集成的DSPM解决方案。大多数具有此功能的DSPM解决方案会自动扫描并强制执行来自代码、基础设施和依赖项的安全策略，以实现更全面的覆盖。

7. 自动化合规评估

DSPM解决方案必须能够扫描合规违规行为、生成合规报告并提供解决不合规问题的建议。

8. 延伸至人工智能

随着组织不断探索人工智能的潜力，敏感数据的风险也在增加。就在几个月前，微软人工智能研究人员意外泄露了38TB的数据。这只是安全团队现在必须应对的新数据安全风险和攻击面的一个例子。

人工智能系统越来越依赖敏感数据。AI模型接受大量数据的训练，这些数据通常包括个人身份信息 (PII)、财务数据和健康记录等敏感信息。为了保护云中敏感的AI训练数据，组织必须能够将DSPM 功能扩展到AI。DSPM工具应该能够自动检测敏感训练数据并主动删除其攻击路径。

9. 可扩展性和性能

对于企业和大型组织来说，DSPM 解决方案必须易于扩展，以避免数据集激增至数十亿时出现性能滞后。

十、将身份结合起来那就完美

不要看本公众号经常发身份安全的文章，其实部分是为了阐述数据安全跛脚的问题。后续文章分享，尽请关注。

似乎2023年Gartner报告创新洞察：数据安全态势管理开篇有句话DSPM technologies use custom integrations with identity and access management (IAM)，这个话题大。

十一、为什么需要 DSPM？

“城堡与护城河”是网络安全的经典模型，限制外部访问，同时允许内部信任的用户。虽然熟悉会带来舒适感，但安全领导者应该开始对这种一切照旧的方法感到非常不舒服。我们已经看到了源源不断的成功攻击和数据泄露，因此 Castle & Moat 并不可靠。它也被放错了地方，因为攻击者不会攻击你的城堡。他们的真正目标是您的数据——在敏捷的今天，它几乎可以在任何地方！而且，是什么让你感到安慰，因为攻击者还没有进入城堡？

以下是您应该考虑将数据置于安全策略中心而不是依赖传统的城堡和护城河方法的六个原因。

1、CI/CD带来部署的爆炸式增长和新的变化

业务需求的不断变化推动了应用程序开发自动化阶段的需求。持续集成和持续交付 (CI/CD)加速应用程序开发并频繁对代码库进行多次更改。随着服务和变更的持续流动和更高速度，应用程序中的错误和数据泄漏的风险会增加，因为没有时间进行手动审查。由于DevOps不断地启动实例和数据存储库链接，云数据尤其面临风险，尤其是用于测试应用程序的临时存储桶或被遗忘的数据副本。

2、AI/ML 推动了对更多建模数据的需求

与传统应用程序相比，机器学习 (ML) 工作负载需要大量结构化和非结构化数据来构建和训练模型。当数据科学家试验模型并根据新的业务需求改进模型时，就会创建新的数据存储来进行测试和培训。生产数据不断移动到非生产环境可能会使其面临潜在的漏洞。将数据置于安全策略的中心将有助于确保控制扩展到云中存在数据的任何地方 - 无论是生产环境内部还是外部。

3、微服务驱动更多服务和细粒度数据访问

足球、篮球、棒球和其他球类运动的基本规则是盯着球。同样的教训也适用于云数据安全：密切关注数据。对于使用三层架构和单个数据存储构建的遗留应用程序来说，这样做更容易。在这种情况下，保护应用程序数据只需要保护该数据库。

现代应用程序开发使用多个微服务及其自己的数据存储，其中包含重叠的应用程序数据片段。这使得数据保护变得非常复杂，特别是因为新功能通常会引入具有更多数据存储的新微服务。随着时间的推移，访问这些数据存储的路径数量也会呈二次方增加。手动持续检查这些成倍增加的数据存储和访问路径的安全状况是不可能的，这也是使用自动化来帮助团队关注数据的又一个原因。

4、数据扩散将更多副本带到更多地方

对于使用基础设施即服务和基础设施即代码选项的组织来说，不同云存储位置中数据副本的激增是一个大问题。这些架构允许快速完成工作，但“更快”通常意味着没有人在您身后对不断扩展的数据进行安全检查。将数据置于安全策略的最前沿将有助于提供自动跟踪数据到其存储位置并自动应用安全控制的能力，以确保数据免受未经授权的访问。

5、当数据访问配置错误时，对云基础设施的依赖就会受到影响

访问授权是数据安全的支柱。显然，如果没有适当的访问授权，数据对于攻击者来说就是易受攻击的目标。但如果授权控制实施不当怎么办？是否有人简化或删除它们以方便 DevOps 使用？无论数据位于云端，控制措施是否一致地应用于数据？Garnter分析师表示，大多数云泄露事件都是由于云基础设施（IaaS 和 PaaS）配置错误造成的。数据优先的安全方法应确保无论数据位于何处，都能正确使用云数据的访问配置。