3劉沛旻-新法規下的數據庫安全思考（19頁）.pdf

《3劉沛旻-新法規下的數據庫安全思考（19頁）.pdf》由會員分享，可在線閱讀，更多相關《3劉沛旻-新法規下的數據庫安全思考（19頁）.pdf（19頁珍藏版）》請在三個皮匠報告上搜索。

1、劉沛旻/資深技術專家/Imperva具有十多年安全行業的工作經驗，參與過多個重大信息安全項目的規劃、建設和實施，行業涉及金融、電信、制造、能源等多個行業。對于企業的關鍵信息和應用保護有著豐富的經驗和獨到的見解。演講主題：新法規下的數據庫安全思考新法規下的數據庫安全思考劉沛旻Imperva中國區技術經理全球和中國的數據法規CCPAPIPEDAGDPRCSLAPPPDPALGPD全球國家全球國家法規法規修訂和發布修訂和發布中國數據安全法2021年9月施行中國個人信息保護法2021年11月施行歐盟GDPR 通用數據保護條例2016年4月通過，2018年5月生效美國CCPA 加利福尼亞消費者法2018

2、年6月通過，2020年1月生效日本個人信息保護法2005 年4月通過，2017、2020兩次修訂韓國個人信息保護法2011年9月通過，2015、2020兩次修訂新加坡PDPA 個人數據保護法2012年通過，2013年生效，2020年修訂巴西LGPD 通用數據保護法2018年通過，2020年2月生效印度個人數據保護法（草案）2018年草案，2019年審核不同法規中的數據定義數據（數據安全法）是指任何以電子或者其他方式對信息的記錄。重要數據（網絡安全法、數據安全法）網絡安全法中首先提出，數據安全說法中沒有明確定義；可以參考信息安全技術 重要數據識別指南個人信息（民法典、個人信息保護法、網絡安全法、

3、數據安全法）以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息。方式方式瀑布敏捷DevOps架構架構單一層次化APIs&Microservices服務器服務器物理虛擬Containers基礎架構基礎架構數據中心托管Cloud數據庫數據庫大機分布式Specialized現代企業環境的變化帶來數據安全挑戰71.Reproduced from CloudTech Report:Why more than three quarters of enterprise workloads will be in the cloud by 2020(L.Columbus)2.Impe

4、rva sponsored research-AWS Re:Inforce 2019(n=142)最大的數據庫安全風險還是來自于內部特權用戶的操作和訪問2上云最大的顧慮是數據安全問題，之后才是計算資源的功能和數據可視等方面166%41%大多數管理者關注數據安全方案能給他們帶來多少價值，而不僅僅只是數據可視2很少的人認為DBaaS可以提供足夠完善的安全措施和手段284%11%未來數據法規下的數據庫安全要解決的問題成本成本數據隱私的應對管理和運維成本其他資源成本價值價值 主動發現數據風險輸出有價值的報告、視圖、分析安全覆蓋安全覆蓋針對 DBaaS 環境針對定制化數據庫平臺針對混合部署環境合規高要求

5、合規高要求超大數據檢索、查詢、存儲信息補充Proprietary and confidential.Do not distribute.Proprietary and confidential.Do not distribute.如何覆蓋更多現代數據庫安全需求9 9覆蓋更多的現代數據庫形態覆蓋更多的現代數據庫形態流量分析的方法可能無法覆蓋所有現代數據形態，利用原生日志來做補充DBasSDBasS的全面覆蓋的全面覆蓋云端的數據安全是未來的焦點，新手段和新技術的涌現補充完整信息補充完整信息CMDB、VA、IAM等相關信息的補全Proprietary and confidential.Do not

6、distribute.Proprietary and confidential.Do not distribute.全面兼容和收集各種數據庫日志10 10SonarGatewayDAM appliancesSonarGatewayRedactedCompressedEncryptedSonarGatewayRedactedCompressedEncryptedCLOUDON-PREMISEOn-premise databases 集中化集中化 管理和處理所有環境的數據庫日志 簡便簡便 快速部署、管理、擴展單個節點超過100TB 的數據湖 無代理無代理 利用API、SSH、syslog、SQL等

7、各種方式獲取所有數據 全面全面 覆蓋云端、DBaaS、大數據、DAM網關、CMDB、VA工具等等所有數據庫相關數據SonarGatewayRedactedCompressedEncryptedRedactedCompressedEncryptedSonarGatewayRedactedCompressedEncryptedProprietary and confidential.Do not distribute.Proprietary and confidential.Do not distribute.行存儲行存儲 vsvs 列存儲列存儲如何進行超大數據的存儲和檢索11 11Proprie

8、tary and confidential.Do not distribute.Proprietary and confidential.Do not distribute.怎樣讓安全數據有價值和降低成本？12 12提供風險分析智能提供風險分析智能利用無監督學習的UEBA機制，將原始的審計數據變成有價值的風險分析信息安全數據服務化安全數據服務化為各種團隊提供安全數據服務，提供全面、完整和統一的數據庫安全相關的數據自動化編排和響應自動化編排和響應除了數據存儲和處理成本之外，安全運維成本是巨大的開銷，自動化運維勢在必行Proprietary and confidential.Do not dist

9、ribute.Proprietary and confidential.Do not distribute.針對數據安全的UEBA13 1314不間斷的數據訪問檢測DRA 基于用戶和數據來生成模型訪問者分類訪問者分類ApplicationorInteractive User數據庫賬號分類數據庫賬號分類Service AccountorPersonal DB Account數據表分類數據表分類MetadataorBusiness Critical Data數據庫分類數據庫分類Transaction ProcessingorData Warehouse+=安全事件安全事件Proprietary a

10、nd confidential.Do not distribute.Proprietary and confidential.Do not distribute.數據庫安全自動化編排和響應15 15數據庫安全數據庫安全SOARSOAR建立以數據庫為中心的自動化和響應平臺基于UEBA的分析結果來進行下一步的行動避免大量的重復數據處理工作定制數據安全PlaybookProprietary and confidential.Do not distribute.Proprietary and confidential.Do not distribute.A Gartner view of DSAR w

11、orkflow個人行使權力申請(Data Subject Access Requests)16 16Internal Privacy Compliance Internal Privacy Compliance ProcessProcessCustomer Facing ProcessCustomer Facing ProcessInternal Response/ConfirmationCaptureRequestRequestTriageLog Request(Create Case)Initial Response/ConfirmationValidatedResponseLog and

12、RespondInternalRequestsConfirm receipt of request.Authenticate that the person making the request is authorized to make it.Validate the request;is the request excessive?Define and agree the scope;notify of extension if needed.ConfirmRequest IdentityGartner,Inc.|G00463762利用SOAR來降低DSAR的運維成本數據安全的發展趨勢18合規安全隱私Data Data 敏感個人信息管理個人行使主權申請處理數據庫基線檢查數據庫行為審計數據庫權限審核數據庫異常偵測數據庫防火墻數據庫脫敏、加密通用采集通用采集互動式數據探索多年數據保存統一企業視圖自助報告數據處理流程自動化SOC優化統一數據模型數據富集與關聯數據風險分析可擴展UEBA數據SOAR數據展現數據智能發現分類漏洞評估用戶權限管理掃描結果代理監控云無代理監控DAM解決方案活動監測源上下文元數據(IAM、變更控制、CMDB等等)任何工具(Qualys、Tenable、Varonis等等)其他數據源數據采集現代企業數據庫安全智能平臺