写点什么

传统安全方案正在失效,数字化企业如何落地数字安全 | 鲲鹏说

  • 2022-05-17
  • 本文字数:3199 字

    阅读完需:约 10 分钟

传统安全方案正在失效,数字化企业如何落地数字安全 | 鲲鹏说

5 月 12 日,TGO 鲲鹏会线上视频直播栏目「鲲鹏说」的 To B 战场新变局专题,邀请亿格云 CTO& 联合创始人,TGO 鲲鹏会(杭州)学员胡闽,围绕《数字化企业如何落地数据安全》的主题进行线上分享。文章根据分享内容整理,有删减:


大家好,我是胡闽,亿格云 CTO& 联合创始人,很高兴和各位一起进行交流和探讨,我今天分享的主题是《数字化企业如何落地数据安全》。


不论是互联网、智能制造,还是传统制造领域,都在进行企业的数字化实践,数据正在成为企业最核心的资产,数据安全在此时就显得尤为重要。不过,数据安全靠的不是单点技术,而是基础安全能力体系。企业规模大小、所处行业、安全团队建制的不同,均会导致数据安全实施方法和阶段有所差异。


“云”的出现正在改变各行各业,云原生安全技术的使用让数据安全变得越来越简单。本次「鲲鹏说」话题的本质是:如何利用云原生安全架构,帮助企业落地数据安全能力建设。


2015 年 -2021 年期间,我在阿里云负责云安全研发工作,2021 年创办了亿格云公司。选择创业的一个核心出发点是,我们认为企业过去的安全体系建设方式过于复杂,对于不管是初创公司,还是中型体量公司甚至大型企业而言,安全投入和运维成本都显得非常大。亿格云希望通过提供基于云原生安全架构的一体化安全解决方案,更简单更高效的来解决企业数据安全问题。


数据安全的三大挑战



我认为,数字化企业的特质中最重要的一点是“以客户为中心”,本质是需要企业要围绕客户需求来进行运作。数字化让企业有机会比客户自己还了解自己,通过优化流程、改善产品、提升服务等,让企业与客户之间保持更紧密的结合,提高客户黏性和忠诚度。


数字化企业的办公有以下四个特点:第一,企业的技术体系越来越多地使用到云技术;第二,数字化企业大量吸收全球人才,办公形态、办公位置具有分布式的特点。员工在任何位置都存在办公的需求,任何位置都需要使用数据、并产生数据;第三,企业团队成员的协作会变得非常密切,同时协同也会越来越复杂;第四,数字化企业的办公非常开放,数据的安全防护会变得越来越难。


数字化企业的数据安全存在三大挑战:第一个挑战是企业数据安全边界消失。在边界非常清晰的情况下,数据安全的管控相对容易,企业只需要把数据留在本地就可以。但现在多云、多分支,多方协作、多元设备的协作特点,正在让企业数据呈现网状流转——即任何时间点都会存在数据的产生和流转,数据在整个虚拟的组织之间、线条之间都在进行流动。


第二个挑战是企业办公数据安全泄露风险不断加大。比如:应用和 API 接口不小心对外开放;员工访问的应用、下载的数据,企业看不见、管不了、难追溯;企业敏感数据被下载后在内部流转失控,或者敏感数据下载到员工终端后在本地泄露等。


企业从发现到遏制数据泄露平均需要 287 天,且 80% 以上的泄露事件是由外部媒体曝光或暗网数据交易后才被发现。由于传统的安全机制难以实现精细化的权限管理和全域数据流转的可视化和管控能力,使得员工权限的只能“粗放”管理,而这已成为企业敏感数据的恶意外发、违规流转、针对性泄露的主要原因。


第三个挑战,混合办公 - 远程办公背景下,互联网访问、内网访问的数据泄露问题。远程办公时往往是通过传统 VPN 的方式来进行连接,此时数据与整个网络是联通的,有非常大的横向移动风险;内网访问难以完全可见,导致发生数据安全风险时难以回溯,无法找出数据泄露元凶。


在数字化企业中,传统的安全方案正在失效。


零信任 SASE 安全架构



Gartner 在 2019 年提出了 SASE 安全模型,是基于云原生的架构去构建软件企业边界,以身份为中心将网络和安全融合在一起,解决整个安全体系的问题。SASE 正以爆炸性增长速度在颠覆当前企业安全的边界纵深防御架构,Gartner 预估 2024 年会有 40% 的企业开始采用 SASE 架构,到 2025 年 60% 的企业会开始采用 SASE 架构。


SASE 架构产生原因是,传统网络安全架构将数据中心置于连接的核心位置,抑制了数字业务的动态访问需求;数字业务和边缘计算让企业拥有更多外部的用户、设备、应用、服务和数据,因此网络访问需求出现变化;而降低复杂性、延迟以及解密和检查加密流量的需求,将推动网络和安全即服务功能整合为云交付 SASE。


SASE 安全架构落地,需要有一个分散在全球各地的安全云作为基础。任何人不管是在公司、家中,还是移动办公等,都可以就近地连到云上,而这个云就是挂在每位办公者头上的一朵安全的云。


基于安全云实现的云原生数据安全能力,构建了动态访问控制能力,发现数据识别能力,可对任何一个加密流量进行解密、检测,发现敏感数据、潜在攻击,并通过大数据分析实现——零信任内网访问(ZTNA)能力和一体化数据安全防护(XDLP)能力。


其中,零信任内网访问(ZTNA)解决数据可视和权限问题;一体化数据安全防护(XDLP)解决数据流转中泄漏问题。


基于 SASE 架构,建设企业数据安全体系,主要有四个步骤。第一步,构建所有人、设备接入企业网络的认证准入能力,只有认证过的人、设备,以及符合安全的人、设备才能接入到公司的虚拟网络,并动态的授予权限;第二步,解决连接授权的问题;第三步,在连接授权之后,会建立安全防护体系,防止因为个人、设备被入侵之后,黑客横向地拿到公司数据;第四步是构建数据安全体系中的数据识别、行为分析,以及数据防泄漏能力。


数据安全三板斧



在零信任 SASE 一体化安全防护网络中,尽管边界已经非常模糊,但依然不妨碍它去构建一个零信任的 SASE 云网络。该网络核心的作用是,任何两点之间的数据交互,都会通过安全云进行分析。这朵虚拟边界的安全云,重构了企业数据安全边界。


在混合云办公的背景下,零信任 SASE 一体化安全防护网络,能系统地解决企业数据安全风险,一站式建立数据防泄漏体系。


比如企业员工在远程办公时,所有访问互联网的流量都会经过 SASE 云。基于云的分布式边缘特性,员工不管在北京、上海,还是杭州、成都,甚至在海外,所有访问互联网的流量都经过网络的 POP 节点,并被发送到云端进行分析,实时地检测安全。


在远程办公访问内网时,账号安全可以通过终端身份绑定、开启 MFA,进行权限持续校验,确保是正确的人来访问应用;持续校验终端安全合规状态,确保终端安全水位。即使账号被盗用,黑客也没有能力通过被盗账号触达超越权限的内容。


基于一体化数据安全防护能力,企业可构建办公数据安全防护体系。应用可以自动发现,权限最小化落地;所有敏感数据的下载、流转都会被监控,甚至只有通过脱敏、混淆后,数据才可以被下载,且下载之后的数据外发也在实时监控中。


选择 SASE 会给企业带来云原生安全架构扩展、一体化运营体系和数据安全全景可视三方面的核心收益。SASE 数字化企业数据安全的顶层设计,打破传统架构安全效果差、体验差、难运营的怪圈。


亿格云是国内 SASE 架构的创新先行者,公司基于“身份、终端、网络、资源、数据”五大维度,构建了整个 SASE 架构。帮助企业了解自身数据资产,降低安全风险系数,把权限进行最大化动态控制。基于这种控制,可建立企业数据分类、分级体系,全场景地审计数据流转、使用情况等。


企业用户只需要 15 分钟就可以在不改变现有技术架构下,把整个数据架构、SASE 架构和企业自身的架构融合起来,并将公司的数据提升至 7-8 分的安全水位。


亿格云让所有数字化企业的数据安全不再成为自身发展的瓶颈,让数据资产为企业创造更大价值,这正是我们创业的初衷和出发点!


关于 TGO 鲲鹏会

TGO 鲲鹏会是极客邦旗下科技领导者聚集和交流的组织,学员由 CTO、架构师、技术 VP、具有技术背景的 CEO 等组成,目前已经在北京、上海、深圳、广州、杭州、成都、硅谷、南京、台北、厦门、武汉、苏州等 12 个城市定期举办学习活动。

TGO 鲲鹏会采用了“学员共建”的组织形式,希望通过“共建、自治”的方式维护各城市的健康发展,为学员提供必要的服务,帮助学员个人更好地学习和成长,助力学员企业之间更好地合作与交流。加入 TGO 鲲鹏会,全方位提升自身价值,成为卓越科技领导者!


2022-05-17 21:374212
用户头像
TGO鲲鹏会 官方联系方式:18518983363

发布了 101 篇内容, 共 23.1 次阅读, 收获喜欢 125 次。

关注

评论

发布
暂无评论
发现更多内容

K8S学习指南(6)-k8s核心概念label和label selector

俞兆鹏

低代码技术杂谈

互联网工科生

软件开发 低代码 JNPF

5分钟说清楚如何让代码更加整洁

伤感汤姆布利柏

程序员 代码 代码规范 代码阅读 前沿

让uniapp小程序支持多色图标icon:iconfont-tools-cli

达摩

uni-app iconfont-tools-cli

POKT Network (POKT) :进军百亿美元市场规模的人工智能推理市场

股市老人

Java语言之float、double内存存储方式

百度搜索:蓝易云

Java Linux 云服务器 float double

K8S学习指南(7)-k8s核心概念Annotation

俞兆鹏

图文共赏---人工智能时代的由文生图

fliter

思考-RBAC中对于权限编码部分的压缩处理

alexgaoyh

Java rbac 权限设计 压缩算法 权限编码

1688商品列表API接口文档

tbapi

1688 1688API接口 1688商品列表数据接口

微服务及其发展趋势

蝉翼2u

微服务 云原生 服务网格

中国首个车路云一体化研究中心成立,将如何改变自动驾驶?

自象限

自动驾驶

K8S学习指南(5)-k8s核心对象namespace

俞兆鹏

Kubernetes

【深度观点】资源数字化、数字资产化与资产数权化是分布式商业运行的核心要素

Geek_e4ef21

数字化转型 数字资产 数据要素 分布式商业

5分钟教会你如何在生产环境debug代码

EquatorCoco

前端 bug 生产环境 review

一步步教你如何搭建K8S集群

不在线第一只蜗牛

Kubernetes 云原生 容器化 K8s 多集群管理

C# 字符串操作指南:长度、连接、插值、特殊字符和实用方法

小万哥

C# 程序人生 编程语言 软件工程 后端开发

【深入浅出JVM原理及调优】「搭建理论知识框架」全方位带你认识和了解JMM并发模型的基本原理

洛神灬殇

Java JVM 计算机 Java虚拟机 2024年第十六篇文章

2024-01-20:用go语言,小扣在探索丛林的过程中,无意间发现了传说中“落寞的黄金之都“, 而在这片建筑废墟的地带中,小扣使用探测仪监测到了存在某种带有「祝福」效果的力场, 经过不断的勘测记录,

福大大架构师每日一题

福大大架构师每日一题

KubeBlocks 参展首届 PolarDB 开发者大会,双方发布深度合作

小猿姐

数据库 云计算 polarDB 阿里云PolarDB

Nginx【Nginx核心指令(rewrite指令、实战rewrite 、if指令、set和break指令】

百度搜索:蓝易云

nginx 云计算 运维 Web 云服务器

代码之外:工程师的成长进阶秘籍

声网

《Java并发实现原理:JDK源码剖析》PDF

程序员李木子

《Java实战(第2版)》PDF

程序员李木子

解密最受欢迎的开源 Serverless 框架:流量篇

阿里巴巴云原生

阿里云 云原生

什么是 Redis?它的特点是什么?Redis的数据类型有哪些?Redis的主要应用场景有哪些?

百度搜索:蓝易云

redis 云计算 Linux 运维 云服务器

【第七在线】利用大数据与AI,智能商品计划的未来已来

第七在线

传统安全方案正在失效,数字化企业如何落地数字安全 | 鲲鹏说_技术管理_TGO鲲鹏会_InfoQ精选文章