跨混合云保护数据的三个基本步骤

在最近的趋势中，许多组织选择将敏感数据存储在云中。其他人选择将敏感数据保留在本地，甚至跨多种类型的环境。因此，越来越多的公司面临着代价高昂的数据泄露和数据民主化的挑战。

什么是数据民主化？

从本质上讲，当组织内的每个人都可以访问敏感且具有业务价值的数据时，数据民主化就会发生。将数据访问范围扩大到一大群人有很多好处，但也存在安全问题，因为这意味着人为错误或潜在数据泄露风险的空间更大，因为公司内的每个人可能都不精通数据安全最佳实践。

数据快速移动到云并跨多个环境存储的另一个挑战意味着企业很可能失去敏感数据的可见性。这 2023 数据泄露的成本报告显示，39% 的泄露数据存储在多种类型的环境中，与其他泄露相比，这种情况成本更高且更难以控制。这是一个问题，因为企业在不知道数据位置的情况下不可能期望能够保护其所有数据。这进一步给公司带来了数据安全和合规问题，可能导致许多后果，例如昂贵的罚款、耗时的诉讼、声誉受损等等。

公司如何在混合环境中保护其数据？

当公司将数据存储在多个环境中时，他们必须拥有全面的数据数据安全和合规策略到位。 IBM Security® 建议在数据安全和合规性计划中优先考虑这些流程：

查找并了解您的数据的存储位置。
监控和保护整个企业的数据。
获得见解并分析数据的使用情况。

1. 查找并了解数据的存储位置

要保护数据，首先必须了解数据所在的位置，当数据位于不同的地方并由不同的策略管理时，这一点尤其困难。如果无法了解整个组织中敏感数据的去向和使用情况，就会使它们面临风险。这些风险包括不遵守监管要求，并可能导致不必要时过度囤积敏感数据。这既是数据安全又是隐私问题。

IBM Security® 发现和分类 (ISDC) 是一个数据发现和分类平台，可跨多平台环境在企业级提供自动化、近乎实时的敏感数据发现、网络映射和跟踪。使用的技术包括人工智能（AI）, 机器学习（ML）, 自然语言处理（NLP）和网络分析，它生成敏感数据的主清单，直至 PII 或数据元素级别。清单将不同的数据元素与相关数据对象相关联，并提供数据沿袭、业务上下文、事务历史记录以及每个数据元素的所有副本的位置。

通过自主、连续地分析流量以及连接到网络的数据存储库，IBM Security Discover 和 Classify 可以检测网络上在网络外部和内部存储、处理和共享敏感数据的所有元素。当确认或怀疑处理敏感数据时，无论企业已知或未知，它都可以“爬行”任何存储库或数据库。

通过这种方式，IBM Security Discover 和 Classify 可以提供有关敏感数据使用方式和位置（无论是动态数据还是静态数据）的真正整体视图，结构化或非结构化、云端、本地或大型机上。

采用零信任数据安全和隐私的方法意味着永远不要假设任何人或任何事物是值得信赖的。这一概念需要不断验证是否应根据每个用户的上下文信息授予对个人数据的访问权限。 IBM Security 可以通过统一的数据安全和隐私工作流程，通过上下文洞察和互联解决方案将零信任付诸实践。通过与 IBM Security Discover 和 Classify 配合使用，该解决方案的持续发现、监控和编目功能有助于完善零信任所需的大部分安全功能。

2. 监控和保护整个企业的数据

既然您的组织已经了解敏感且有价值的数据所在的位置，下一步就是在整个生命周期中保护您的数据。 IBM Security® Guardium® 数据保护使安全团队能够通过发现和分类、数据活动监控、漏洞评估和高级威胁检测来保护敏感数据。这将全面的数据保护扩展到异构环境，包括本地和云中的数据库、数据仓库、大型机、文件系统、文件共享、云和大数据平台。

随着企业适应业务和技术环境的变化，数据源不断跨越地理和组织边界。组织存储在本地和云环境中的数据的数量、种类和速度都在不断增加。 Guardium 数据保护具有以下功能，可以从一个数据源无缝扩展到数万个数据源，而不会中断操作：

集中管理运营、策略和审计，以简化企业报告的多个数据源的聚合和规范化。
利用与数据源的代理和无代理连接，有助于减少基础架构团队的工作量。通过 Guardium S-TAP 和外部 S-TAP 代理对敏感数据进行源头监控。
使用通用连接器插件监控不太敏感的数据源，该插件提供无代理架构，可导入本机审核日志并标准化数据以准备报告和分析，从而快速轻松地连接到基于云的现代数据环境。
近乎实时地执行安全策略，保护整个企业内的所有数据访问、变更控制和用户活动的数据。 Guardium 支持在多个云平台上进行部署，包括 Amazon AWS、Google、IBM Cloud、Microsoft Azure 和 Oracle OCI。
监控敏感数据访问、特权用户操作、变更控制、应用程序用户活动和安全异常的安全策略。

确保跨多个环境保护您的数据是抵御威胁行为者并可能为您的组织节省数百万美元的最佳方法。数据泄露成本报告发现，当泄露数据存储在多个环境中时，与仅存储在本地相比，泄露成本要高出约 750,000 美元。

IBM Security Guardium Data Protection 提供数据活动和监控、近乎实时的威胁响应工作流程以及自动化合规性审计和报告等功能，可帮助公司在其本地和云数据存储中实现全面的数据安全。

3. 获得见解并分析数据的使用情况

制定适当的保护策略是难题之一，但另一个难题是确保您的组织能够访问必要的工具来提供见解和分析数据。 IBM Security® Guardium® 见解是一个数据安全平台，旨在帮助客户提高对用户活动和行为风险的可见性，帮助满足合规性法规，更有效地保护数据，并在组织采用新的业务模式（例如将 IT 基础设施和运营迁移到云端）时增强 IT 灵活性。

通过将数据保存在 Guardium Insights 中，安全组织可以简化架构、减少设备数量、提高运营效率，并允许数据安全团队专注于增值数据安全活动，而不是基础设施管理。 Guardium Insights 可以从各种来源（包括数据库即服务 (DBaaS) 源（例如 AWS Aurora 和 Azure 事件中心）和 Guardium Data Protection）获取数据，并将其存储在 Guardium Insights 存储库中。

为了帮助实现数据合规性目标，Guardium Insights 提供了开箱即用的策略模板来简化法规合规性。您还可以选择创建自己的自定义策略。这允许管理员定义监控哪些数据以及如何捕获数据，以满足组织的特定安全和合规性需求。您可以指定和安排审核里程碑和任务，以帮助简化数据安全审核的执行和报告流程。

Guardium Insights 使用高级分析来帮助数据安全团队发现风险领域、新兴威胁模式和潜在的应用程序劫持。 Guardium Insights 中的分析引擎了解给定组织哪些操作和数据交互模式是正常的，然后帮助近乎实时地识别可疑行为、潜在欺诈或威胁相关活动。用户可以通过查看与 IP 地址、时间、活动、与分析相关的置信度得分等相关的精细数据来调查问题。分析结果通过 Guardium Insights 风险评分引擎进行处理，并根据发现的异常类型标记为高、中或低风险评分。

IBM Security Guardium Insights 是一个数据安全和合规性平台，旨在帮助客户定位、分类并采取行动，以帮助保护驻留在本地和云中的敏感数据。无论您是在寻找 SaaS 还是软件选项来帮助解决数据安全和合规性挑战，Guardium Insights 都能提供支持您业务的解决方案。