十二大数据安全态势管理（DSPM）工具点评

数据安全形势日益严峻，企业如何有效管理海量数据（尤其是“影子数据”）成为一大挑战。数据安全姿势管理(DSPM)工具应运而生，旨在帮助企业发现、追踪并保护所有数据，无论这些数据位于何处，处于何种状态。

数据安全态势管理（DSPM）是一个相对较新的市场，正处于快速增长阶段，2022年DSPM的市场渗透率不到1%。但是根据Gartner的预测，2026年DSPM市场渗透率将激增到20%以上。

由于DSPM是数据安全领域的新兴产品，企业在选型时往往缺乏足够参考和指导，以下，我们将点评海外市场最具代表性的十二个DSPM产品，并总结了DSPM产品的五大核心能力。

1、Concentric Semantic Intelligence

该平台将DSPM与威胁检测相结合，可集成各种安全工具，涵盖非结构化和结构化数据，并提供深入的AWS服务数据覆盖。

2、Cyera Data Security Platform

Cyera平台拥有用于扫描本地文件的网络模块，并可以与Netskope、各种专业数据目录（例如Collibra、Secoda、DataHub）、Wiz、Splunk和Tines集成。它还提供一系列可操作的仪表盘。

3、Eureka Security

Eureka将DSPM与威胁检测相结合，并可与数据湖和数据仓库（例如Snowflake、Atlas、Salesforce、ServiceNow和基于Jira的工单系统）集成。默认情况下，新数据会在24小时内扫描，现有数据每14天会扫描一次以查找更改。

4、IBM Security Guardium Insights SaaS DSPM

IBM去年收购了Polar Security，目前正将其纳入其完整的Guardium安全产品中。它仅扫描云数据，并预置了敏感数据定义。

5、Normalyze Cloud Platform

Normalyze可以扫描云端和本地数据源，并在识别配置错误时进行自动修复。它开箱即用地与SOAR、第三方工单、通知和自动化平台集成，例如ServiceNow、Slack、Jira等。

6、One Trust Privacy and Data Governance Cloud

OneTrust可以跨云端和本地环境扫描200多个不同的数据源，但无法识别用户帐户级别的访问权限。可以直接与Snowflake和Databricks集成，以协调动态访问控制以及其他安全工具，例如ITSM、DLP和数据目录。

7、Palo Alto Networks Prisma Cloud DSPM

Prisma可以与SIEM、工作流和工单解决方案、SSO集成，并提供超过100个预构建的数据分类器。支持Snowflake、Office365和本地文件共享。

8、Securit iData Command Center DSPM

Data Command Center在其工具中添加了各种漏洞管理和合规性管理功能，并且支持数据流传输技术，例如Confluent、Kafka、Kinesis和Google PubSub。提供350个内容分类器，支持多种语言以及超过一千条预定义检测规则。它可以与各种云原生安全服务、CASB、CNAPP、CSPM、CIEM、KSPM、SIEM、DLP、IDS和合规性工具集成。

9、Sentra Cloud-Native Data Security Platform

Sentra深度支持各种云计算服务，以及容器和虚拟机。它拥有自己的数据检测和响应工具，可实现近实时检测，并提供一系列可操作的仪表盘。可以与数据管理(DataDog、DataHub、Coralogix)、电子邮件、ITSM(Jira、PagerDuty、ServiceNow)、CNAPP(Wiz)、协作(Atlan、AzureBoards、Slack、Teams、Monday.com)、IAM(Okta、AD)、IR(Seemplicity)、SIEM(Splunk)和本地文件共享集成。

10、Symmetry Systems Data Guard DSPM

DataGuard提供文本丰富的仪表盘以及附加的策略实施模块。可以与各种安全工具集成，包括SIEM(Splunk、Chronicle SIEM、SumoLogic、LogRhythm、Securonix)、SOAR(Prisma CortexX SOAR、Google Chronicle、Microsof tSentinel、Tines)、工单系统(Jira和ServiceNow)和通知系统(Slack和PagerDuty)。

11、Varonis Data Security

Varonis在数据安全领域拥有十多年的经验，可与SIEM(例如Splunk)、SOAR(例如Palo Alto XSOAR)、防火墙、VPN、Web代理、DNS服务、ActiveDirectory、EntraID、MicrosoftPurview信息保护和Okta集成。

12、Wiz for DSPM

Wiz添加了一个名为Runtime Sensor的轻量级代理，用于检测和响应。除了常见的云数据源之外，它还可以扫描各种本地数据库，例如MySQL、PostgreSQL、MongoDB及其云版本，并与超过60种不同的安全产品集成。但只有高级许可计划才能享受完整的DSPM功能集。

DSPM工具通常由以下组件构成：

• 用于跟踪本地数据的代理和无代理收集器

• 用于检测和排序数据集合的集中式管理仪表盘

• 数据来源和使用情况映射

• 合规性评估模块

企业在考察和评估DSPM产品时，需要重点关注其五大核心能力：

DSPM产品的核心功能之一是帮助企业全面识别其数据资产，涵盖各种类型的数据存储库，包括云端和本地部署的数据库、结构化数据和非结构化数据，甚至是最初由IT部门以外的部门创建的、可能被忽视或遗忘的“影子数据存储库”。

不同厂商的DSPM产品在数据发现层面各有侧重。例如，所有厂商均支持一定程度的云存储库可视性，涵盖亚马逊网络服务(AWS)、谷歌云平台(GCP)和微软Azure等主流云服务商的部分存储空间。然而，这并不意味着DSPM产品可以覆盖所有与数据相关的服务。例如，AWS提供种类繁多的数据处理服务，如S3存储、关系数据库服务、Redshift云数据仓库、Athena无服务器SQL查询和Elasticsearch托管数据服务等，但并非所有DSPM工具都能完美识别这些服务中的全部数据。Securiti公司在这方面做得比较细致，会明确列出每个云平台支持的服务，但其他厂商的产品透明度则稍逊一筹。Varonis公司则采用了另一种方法，使用“通用数据连接器”来搜索更广泛的云端和本地结构化数据源。

值得注意的是，并非所有云服务都得到所有DSPM工具的支持。例如，Sentra不支持Azure Synapse Analytics存储的数据，Symmetry不支持大型机数据库以及ServiceNow和Salesforce中存储的数据，Wiz也无法识别Databricks、启用客户管理密钥的透明数据加密的AWS Redshift或Azure SQL服务器中的数据存储。不过，随着客户需求的不断增长，厂商也在持续扩展其覆盖范围。

找到数据只是第一步，后续的数据分类、评估和汇总同样重要。如果没有严格的安全控制措施，此过程可能会带来安全风险。因此，大多数DSPM厂商强调“客户数据始终驻留在客户的环境中”。这通常意味着使用只读访问权限来收集应用程序、服务和数据库结构的元数据，而非实际数据本身。厂商将此称为“无代理”或“API访问”。这种方法的优势在于能够快速扫描大量数据，从而理解其使用性质和潜在风险因素。

在发现数据并收集元数据之后，DSPM工具会定期扫描数据，查看是否发生变化，例如数据是否被复制到云端的某个未知角落，或者是否有用户更改了访问权限，导致数据暴露于更大风险之中。这些工具可以提供跨所有云端和本地数据位置的统一视图。“定期”是关键所在，扫描任务可以设置为默认周期（例如每天或每周），也可以在发现新的数据存储库时触发。

数据在生产环境中的使用方式也是数据安全需要关注的方面，这包括数据管道、数据湖和数据仓库。DSPM工具可以通过创建数据映射来梳理此类环境，并协助审计，以枚举谁可以访问哪些数据资源，以及在哪些特定情况下数据会在企业内部共享。数据映射不仅可以起到可视化效果，更能帮助识别诸如“影子数据”被遗弃等关键问题。

数据治理是数据安全的重要一环。DSPM工具可帮助企业分配风险并应用一致的安全策略来管理其所有数据集合，并与其他安全工具协作以实施这些策略并修复安全漏洞。

在企业网络安全和数据安全防御体系中，DSPM的主要功能定位是“定位器”，负责发现问题，修复问题则需要一整套安全工具，例如SOAR、SIEM、CNAPP等。此外，DSPM往往与CSPM（云安全态势管理）组合使用，前者负责找到数据，后者负责保护云基础设施。

一些DSPM供应商开始将上述“修复”工具也集成或合并到他们的DSPM产品中，这可能导致整体方案定价较高（10万美元/年）。

值得注意的是，DSPM市场正在快速发展中，厂商正在不断为DSPM产品添加新功能，或与其他安全工具集成，并相互形成各种联盟。该领域的收购热潮也已经开始：去年Palo Alto Networks收购了Dig，Rubrik收购了Laminar Security，IBM收购了Polar Security。

大多数厂商提供两种部署方式，既可以将DSPM产品作为独立工具使用，也可以将其与第三方安全服务集成（例如Wiz和Securiti提供的服务），或作为其自身安全产品组合的一部分，与其他附加模块（例如身份管理、云管理、检测和响应以及日志分析工具）协同工作（例如Cyera、Varonis、Wiz和Palo Alto Networks）。

不同厂商的集成能力存在差异。Varonis和Palo Alto Networks等厂商拥有更广泛的集成支持，而IBM和Normalyze等厂商的集成能力则相对有限，甚至仍处于开发阶段。企业在选择DSPM工具时，需要仔细评估集成范围、集成级别、包含的其他保护功能，以及哪些功能需要额外付费都需要花一些功夫调查清楚。

DSPM产品的部署方式可以是完全基于SaaS的云解决方案、内部部署服务器或专用虚拟机，或者以上几种方式的组合。