Forrester通过访谈多位企业首席信息安全官(Chief Information Security Officer,CISO),发现各类云计算数据保护方案(Cloud Data Protection,CDP)的采用对于企业实现安全控制已经必不可少。这是因为:
·存储在云端的大量企业敏感数据需要有效的保护措施
·在云服务提供商所提供的安全功能之外企业仍然需要部署数据加密和数据治理
·云计算提供商并不承担企业的数据保护责任
·外部攻击和企业内部过失都可能导致数据泄露
·为了防止数据泄露,企业必须对影子IT(Shadow IT)实现良好的安全管理
·随着云计算和移动设备使用的增加,企业需要以用户身份(User Identity)作为新的数据保护指标
Forrester访谈了部分云计算数据保护方案(CDP)的用户,发现CDP方案不仅能够减缓针对特定类型云计算使用的风险,还能够为企业带去附加价值,其中包括:
·支持企业对不同业务合作伙伴设置不同的数据访问权限
·在保证数据访问治理的前提之下支持员工从外部访问企业数据
·通过用户访问行为分析(Behavioral Analysis)提早识别出潜在的数据泄露风险
·保护企业的客户数据免遭政府“偷窥”
·在数据传输到云计算平台之前对其进行加密
Forrester的研究显示,目前市场上的云计算数据保护方案通常都能够支持多种不同的部署模式。许多厂商还支持客户选择多种架构方案进行组合。不同厂商方案的区别在于实现数据加密的时间点(即在数据传输到云平台前对其进行加密,或是数据传输到云平台后才进行加密)。Forrester认为,在选择和评估CDP厂商时,企业应该重点考量以下能力:
·是否能够实现与特定类型云应用和日志聚合的整合:CDP方案只有通过与企业核心SaaS和IaaS环境实现整合才能够发挥作用。
·是否能够在提供数据加密(Encryption)和数据标记(Tokenization)后仍然能够保障特定功能:在保证数据安全的前提之下支持各类基于数据的外部功能是长久以来一直困扰企业的难题。
·是否提供出色的用户体验:企业从来不想以牺牲用户体验为代价发展数据安全。有效的CDP方案应当对授权用户可见,并支持他们从各种地点和通过各类设备访问其所需要的应用程序。
·是否支持云环境中的数据丢失保护功能:许多数据丢失保护(DataLossProtection,DLP)方案都不支持云中应用的数据保护,企业的安全和风险团队必须保证现有的DLP系统和规则设置能够支持云环境中的数据保护。
·是否能够支持企业业务扩张。CDP系统必须保证能够满足大型分布式企业不断变化的需求。例如,在处理大规模数据量时,核心的数据加密和数据标记引擎必须尽可能降低延迟时间。
·是否支持安全协作:CDP解决方案必须能够在保证云到云的安全前提下支持协作,或者支持云平台内部内容存取和协作。
·是否支持与企业既有身份和访问管理(Identity&AccessManagement,IAM)功能的整合和互操作。对于SaaS层应用的获取控制权限对于CDP方案的部署至关重要。
Forrester的研究显示,当前市场上的一些CDP功能,包括数据加密、遗有数据检测和云访问治理等,往往都会有所重叠。Forrester对不同的CDP厂商有以下市场观察:
·Actifio支持应用层加密的带内和带外(in-andout-of-band)的数据虚拟化(Data Virtualization)功能
·Adallom能够提供数据治理、行为探测以及影子IT发掘功能。
·BetterCloud提供基于google apps API的云计算数据治理
·CipherCloud为基于SaaS平台的app提供on-premise的基于代理的in-line数据加密功能
·CipherPoint将on-premises的数据保护功能扩展到了Office365
·CloudLink支持针对不同层次虚拟堆(Virtualization Stack)的数据加密集中管理。
·CloudLock能够支持多个云应用上的数据治理
·Digital Guardian(之前称作Armor5)能够对企业数据进行虚拟化,方便企业采用云计算和部署BYOD。
·nCrypted Cloud提供针对存储在Box,Dropbox,和OneDrive上的集中数据加密
·Perspecsys能够为云计算数据加密提供on-premises或者托管门户
·Porticor能够同时提供分钥加密(Key-splitting Encryption)和同态加密(Homomorphic Encryption)。
·Skyfence最主要的产品是针对数据的行为分析、威胁侦测(Threat Detection)服务。
·Skyhigh Networks提供云计算数据加密、应用发掘(Application Discovery)和安全智能数据分析(Security Intelligence)服务。
·Sookasa提供针对存储在Box,Dropbox,和OneDrive上的集中数据加密。
·Trend Micro提供针对IaaS的数据加密服务。
·Vaultive提供支持on-premise和SaaS的云加密方案。
·Voltage Security借助Perspecsys的云数据加密端口,并且提供IsaS加密。
本文转自d1net(转载)