近日,IDC发布了《全球公有云服务半年度跟踪报告》,报告显示:2021年全球公有云服务市场同比猛增29.0%,总收入高达4086亿美元(约合2.74万亿人民币)。这个市场包括基础架构即服务(IaaS)、平台即服务(PaaS)、SaaS–系统基础架构软件(SaaS–SIS)以及SaaS–应用程序。2021下半年全球公有云服务收入和同比增长情况,如图所示:虽然整体公有云服务市场在2021年增长了29.0%,但支持数字优先战略的基础云服务收入却猛增了38.5%。这表明云计算对企业的创新作用明显,也凸显了企业越来越依赖这样的云创新平台:基于广泛部署的计算服务、数据/AI服务和应用程序框架服务而构建,从而推动创新。由于企业利用云来应对当前的动荡形势,并加快向数字企业转型,IDC预计基础云服务(尤其是IaaS和PaaS这两部分)的支出将继续以高于整体云市场的速度增长。显而易见,数字化时代数据已经成数字经济发展的核心生产要素。早在2020年,我国数字经济规模就已位居世界第二接近5.4万亿美元,在此背景下数据安全俨然成为了事关国家安全与经济社会发展的重大问题。法律制度是数据安全的重要保障,当前我国数据安全法律法规建设取得了长足的进步。2021年9月《数据安全法》施行,2021年11月《个人信息保护法》施行,2022年1月《网络安全审查办法》修订版颁布,而在近期的2022年7月7日,国家互联网信息办公室发布了《数据出境安全评估办法》,并自2022年9月1日起施行。从最近的一系列动作可以看出,我国数据安全保护工作正进入法治化的强监管时代。技术架构演进伴生数据使用场景的改变,提升了复杂应用环境下重要数据及用户个人隐私数据等敏感数据外泄的风险。由于云计算、大数据等新技术的广泛普及,企业不仅借助其提升组织决策水平,构建新型业务模式,还进一步强化了组织间的信息化交互频次,数据应用场景和参与主体的日益多样化,使得数据伴随业务及应用在不同载体间流动和留存,就其企业内部而言极大的增加了数据外泄的可能性。面对不断加大的数据安全保护监管力度,如何建立符合组织现状及发展需求的数据保护管理体系,是各行业、企业面临的重大议题,其中账号、权限等一直是数据保护的脆弱环节。账号特别是特权账号凭证泄露是导致数据泄露的主要因素,账号作为主体访问客体的重要凭证,在通过安全验证后可以直接访问数据库、数据仓库等重要数据资产,因此保障账号安全是企业或组织数据安全工作的重要任务之一。IBM Security发布的《2021年数据泄露成本报告》指出,数据泄露事件中最常见的初始攻击就有恶意内部人员以及泄露的凭证。疫情之下远程办公已成为常态,数据资产面临更频繁的访问,数据权限滥用问题不容忽视。随着云计算技术的采用,企业云上资产可随时通过各种无线终端设备访问,网络安全边界范围由数据中心向云端、终端等各个环节延伸,多样化的访问接入,容易引发数据权限管理不清、使用情况不明等安全问题,最终造成业务和数据资源违规访问,酿成数据安全事件。历年多发的“删库跑路“事件,并由此造成了巨额的经济损失,多数是由于权限盗用所致。面对上述的数据安全痛点问题,基于数据安全防护的实践与探索,在特权账号的安全治理方面,需要建立覆盖特权账号生命周期的管控机制,通过技术手段持续监控特权账号的异常登录、权限变更等潜在风险,确保特权账号安全可知、可管、可控、可查。在权限控制的安全治理方面,需要开展访问合规性分析,对可执行的业务规则和现有访问控制机制进行评估,通过监控访问行为维护数据的完整性及业务的安全性,对身份、行为等多源数据分析采取动态授权策略,最小权限原则下约束数据访问操作,确保数据访问界限明确。在技术层面上,广大企业则可借助成熟的商业化产品解决数据安全的上述痛点问题,并符合国家相关法律规范,据统计70%的安全事故来自企业内部运维管理不善导致,在来自IBM Security发布的数据泄露报告中也提及了由于“恶意内部人员“所造成的数据泄露事件,因此加强运维设备防护、强化运维人员监管才是防范企业信息泄露事件发生的根本举措。作为服务器看门人的角色,堡垒机的作用始终举足轻重,它可以监管不同人员角色操作计算机/网络设备的路径和方式,确保正确的人用正确的身份访问正确且授权的设备,在保障安全的同时也提高了管理的效率,可有效解决IT运维过程中安全、可控与合规的问题,内控运维操作不当,有效规避数据泄露事件的发生。其中,堡垒机也是国家《信息安全等级保护测评2.0》法规中所要求的一部分,也还是企业通过等保测评的重要组成部分。作为业界领先的多云管理平台,行云管家云管平台内置了云堡垒机功能模块,支持多云、混合云的IT异构网络环境,拥有良好的云原生特性,以SaaS形态为客户提供服务,一键安装,免硬件投入,并符合政府相关部门制定的等保法规中对于安全运维产品的相关资质要求,全面满足等保2.0评测合规性要求。行云管家云堡垒机提供了 “运维中枢、会诊平台、黑匣子”三大核心能力,基于运维中枢可实现主机运维策略管理、登录凭证管理、SSH密钥对管理等,可有效防范因登录凭证暴露导致的数据泄露事件;基于会诊平台,用户免装软件、免交密码实现多人协同远程桌面,进行IT故障诊断排查;基于黑匣子提供了“事前授权、事中监察、事后审计”的安全运维合规审计能力,充分保障了正确的人,用正确的操作,访问正确的设备,从而避免了非法访问、误操作等行为造成的信息泄露。面对不断叠加演进的安全威胁,企业数据安全建设是长期而复杂的过程,需要在建设过程中持续聚焦安全痛点问题,明确重点环节,有序推进、分布建设,堡垒机作为大中型企业内部安全防控重要组件,是构成数据安全防护壁垒的基石。 |