數(shù)字經(jīng)濟加速發(fā)展,密碼應(yīng)用成為探討云時代數(shù)據(jù)安全問題最為緊密的關(guān)注點之一。
在12月20日由騰訊主辦的2020 Techo Park開發(fā)者大會安全分論壇上,騰訊安全云鼎實驗室針對目前數(shù)據(jù)安全治理過程中存在的技術(shù)規(guī)劃、合規(guī)難題,正式發(fā)布了騰訊安全云訪問安全代理CASB,利用先進密碼技術(shù)保護企業(yè)的商業(yè)數(shù)據(jù)以及個人信息數(shù)據(jù)安全,收斂由敏感數(shù)據(jù)泄露帶來的企業(yè)業(yè)務(wù)運營風(fēng)險以及數(shù)據(jù)合規(guī)問題。
該方案是國內(nèi)首個通過云原生密碼技術(shù)提供極簡合規(guī)數(shù)據(jù)加密解決方案,有效降低數(shù)據(jù)安全及數(shù)據(jù)加密技術(shù)策略實施門檻,助力企業(yè)滿足《密碼法》、《個人信息保護法》(草案)、《數(shù)據(jù)安全法》(草案)等法規(guī)和標準的合規(guī)要求。為企業(yè)提供字段級數(shù)據(jù)存儲加密防護服務(wù),幫助企業(yè)在有效防護數(shù)據(jù)安全威脅的同時,兼顧商密及國密合規(guī)要求,為企業(yè)應(yīng)對數(shù)據(jù)安全新挑戰(zhàn)提供有力支撐。
(騰訊安全云訪問安全代理CASB正式發(fā)布)
云數(shù)據(jù)安全面臨重大挑戰(zhàn),加密應(yīng)用成破題關(guān)鍵
近年來,國內(nèi)外多次爆發(fā)大規(guī)模的數(shù)據(jù)泄露事故。2017年,美國信用評級公司Equifax因黑客攻擊泄出近1.5億人的個人信息及財務(wù)數(shù)據(jù),并因此就“未能采取合理措施保護自身網(wǎng)絡(luò)”的過錯支付5.75億美元罰金。
另一方面,無論是海外還是國內(nèi),對數(shù)據(jù)安全合規(guī)也提出了更高的要求。在我國,《密碼法》的頒布實施,以及《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法(草案)》、《個人信息保護法(草案)》等也對企業(yè)數(shù)據(jù)安全及加密提出了新的要求和挑戰(zhàn)。
首發(fā)CASB數(shù)據(jù)加密解決方案,為企業(yè)云端數(shù)據(jù)安全、合規(guī)提供極簡路徑
密碼技術(shù)是目前世界上公認的,保障網(wǎng)絡(luò)與信息安全最有效、最可靠、最經(jīng)濟的關(guān)鍵核心技術(shù)。通過數(shù)據(jù)加密實現(xiàn)對核心數(shù)據(jù)的機密性和完整性保護,將明文變?yōu)槊芪模浜辖训拿荑€管理體系,可以防止明文存儲引起的數(shù)據(jù)泄密、突破邊界防護的外部黑客攻擊以及來自于內(nèi)部越權(quán)用戶的數(shù)據(jù)竊取,從而從根本上解決敏感數(shù)據(jù)泄漏帶來的業(yè)務(wù)風(fēng)險問題。
目前國內(nèi)外云服務(wù)商目前普遍采用的基于密鑰管理系統(tǒng)KMS或云加密機CloudHSM服務(wù)的數(shù)據(jù)加密方案,這要求云租戶具備一定的密碼方案設(shè)計以及開發(fā)能力,在實際落地時存在較高的使用門檻,使得密碼技術(shù)無法真正發(fā)揮其效用。
為解決云端密碼技術(shù)的應(yīng)用難題,騰訊安全云鼎實驗室基于自身在云平臺安全建設(shè)的經(jīng)驗和研究,打造了云訪問安全代理CASB。用免應(yīng)用開發(fā)改造的配置方式,提供面向服務(wù)側(cè)的字段級數(shù)據(jù)存儲加密防護,有效防護內(nèi)外部數(shù)據(jù)安全威脅。該服務(wù)組件已通過國家密碼管理局的安全認證,可滿足等保2.0以及商用密碼應(yīng)用安全性評估的對應(yīng)用和數(shù)據(jù)機密性和完整性保護的合規(guī)要求。
騰訊安全CASB在加密技術(shù)線路上,結(jié)合了經(jīng)典云訪問安全代理(CASB)以及面向切面編程(AOP)思想:通過將數(shù)據(jù)安全插件部署到應(yīng)用服務(wù)器,代理并解析SQL和識別用戶身份,對入庫數(shù)據(jù)加密,對出庫數(shù)據(jù)解密、動態(tài)脫敏,為數(shù)據(jù)訪問層增強安全模塊,實現(xiàn)免開發(fā)改造應(yīng)用的數(shù)據(jù)加密策略敏捷實施,有效保護重要數(shù)據(jù)資產(chǎn)安全。
在安全性上,騰訊安全CASB數(shù)據(jù)庫加密系統(tǒng)將敏感數(shù)據(jù)在應(yīng)用服務(wù)內(nèi)(如Tomcat)加密,除實現(xiàn)將數(shù)據(jù)加密后存入數(shù)據(jù)庫,還能實現(xiàn)數(shù)據(jù)從應(yīng)用服務(wù)到數(shù)據(jù)庫之間以密文形式傳輸。在數(shù)據(jù)庫的控制范疇內(nèi),不論是存儲磁盤還是數(shù)據(jù)庫范圍內(nèi)的內(nèi)存、緩存,關(guān)鍵敏感信息是密文狀態(tài),可解除黑客拖庫、DBA等風(fēng)險。同時,管理員可對不同的數(shù)據(jù)庫字段(如敏感字段、手機號等)采用不同加密、脫敏、以及密鑰策略,實現(xiàn)敏感數(shù)據(jù)訪問授權(quán)最小化。
(騰訊安全云訪問安全代理CASB數(shù)據(jù)安全方案防護效果)
同時,與數(shù)據(jù)庫側(cè)加密相比,騰訊安全CASB數(shù)據(jù)加密解決方案在應(yīng)用服務(wù)側(cè)加密,其加解密執(zhí)行只在目標應(yīng)用服務(wù)器上完成,不對數(shù)據(jù)庫服務(wù)器CPU和內(nèi)存造成損耗,對系統(tǒng)整體性能影響小。同時,加密性能也可跟隨應(yīng)用服務(wù)器線性擴展,滿足高性能業(yè)務(wù)場景敏感數(shù)據(jù)加密需求。目前,騰訊安全CASB方案在單顆i9 CPU上的SM4加解密速度已突破130Gbps,加密10億條?機號僅耗時20秒(即每秒5000萬條)。
騰訊云數(shù)據(jù)安全中臺再度升級,打造一站式極簡數(shù)據(jù)安全防護
騰訊安全云訪問安全代理CASB是騰訊云數(shù)據(jù)安全中臺重要組件之一,為企業(yè)提供云數(shù)據(jù)全生命周期安全防護的重要支撐。
云數(shù)據(jù)安全中臺能從數(shù)據(jù)的分類治理、全過程加密、脫敏和訪問管控入手,有效幫助企業(yè)構(gòu)筑云原生數(shù)據(jù)關(guān)鍵鏈路閉環(huán),有效應(yīng)對云上數(shù)據(jù)安全問題。基于“云數(shù)據(jù)安全中臺”,配合專業(yè)的數(shù)據(jù)治理技術(shù)、數(shù)據(jù)安全服務(wù)中臺設(shè)施以及核心數(shù)據(jù)安全產(chǎn)品,騰訊安全將致力于打通合規(guī)層、技術(shù)層、云產(chǎn)品層、安全服務(wù)層、解決方案層等方面的安全能力,幫助用戶構(gòu)建極簡云數(shù)據(jù)保護方案,助力企業(yè)降本增效。
(騰訊云數(shù)據(jù)安全中臺)
未來,騰訊安全希望涵蓋CASB在內(nèi)的云數(shù)據(jù)中臺探索實踐為起點,攜手企業(yè)更加從容地應(yīng)對未來數(shù)據(jù)安全的挑戰(zhàn),為產(chǎn)業(yè)數(shù)字化、智能化的加速升級提供助力。
