數字經濟加速發展,密碼應用成為探討雲時代數據安全問題最為緊密的關注點之一。
在12月20日由騰訊主辦的2020 Techo Park開發者大會安全分論壇上,騰訊安全雲鼎實驗室針對目前數據安全治理過程中存在的技術規劃、合規難題,正式發布了騰訊安全雲訪問安全代理CASB,利用先進密碼技術保護企業的商業數據以及個人信息數據安全,收斂由敏感數據洩露帶來的企業業務運營風險以及數據合規問題。
該方案是國內首個通過雲原生密碼技術提供極簡合規數據加密解決方案,有效降低數據安全及數據加密技術策略實施門檻,助力企業滿足《密碼法》、《個人信息保護法》(草案)、《數據安全法》(草案)等法規和標準的合規要求。為企業提供欄位級數據存儲加密防護服務,幫助企業在有效防護數據安全威脅的同時,兼顧商密及國密合規要求,為企業應對數據安全新挑戰提供有力支撐。
(騰訊安全雲訪問安全代理CASB正式發布)
雲數據安全面臨重大挑戰,加密應用成破題關鍵
近年來,國內外多次爆發大規模的數據洩露事故。2017年,美國信用評級公司Equifax因黑客攻擊洩出近1.5億人的個人信息及財務數據,並因此就「未能採取合理措施保護自身網絡」的過錯支付5.75億美元罰金。
另一方面,無論是海外還是國內,對數據安全合規也提出了更高的要求。在我國,《密碼法》的頒布實施,以及《網絡安全法》、《數據安全法(草案)》、《個人信息保護法(草案)》等也對企業數據安全及加密提出了新的要求和挑戰。
首發CASB數據加密解決方案,為企業雲端數據安全、合規提供極簡路徑
密碼技術是目前世界上公認的,保障網絡與信息安全最有效、最可靠、最經濟的關鍵核心技術。通過數據加密實現對核心數據的機密性和完整性保護,將明文變為密文,配合健壯的密鑰管理體系,可以防止明文存儲引起的數據洩密、突破邊界防護的外部黑客攻擊以及來自於內部越權用戶的數據竊取,從而從根本上解決敏感數據洩漏帶來的業務風險問題。
目前國內外雲服務商目前普遍採用的基於密鑰管理系統KMS或雲加密機CloudHSM服務的數據加密方案,這要求雲租戶具備一定的密碼方案設計以及開發能力,在實際落地時存在較高的使用門檻,使得密碼技術無法真正發揮其效用。
為解決雲端密碼技術的應用難題,騰訊安全雲鼎實驗室基於自身在雲平臺安全建設的經驗和研究,打造了雲訪問安全代理CASB。用免應用開發改造的配置方式,提供面向服務側的欄位級數據存儲加密防護,有效防護內外部數據安全威脅。該服務組件已通過國家密碼管理局的安全認證,可滿足等保2.0以及商用密碼應用安全性評估的對應用和數據機密性和完整性保護的合規要求。
騰訊安全CASB在加密技術線路上,結合了經典雲訪問安全代理(CASB)以及面向切面編程(AOP)思想:通過將數據安全插件部署到應用伺服器,代理並解析SQL和識別用戶身份,對入庫數據加密,對出庫數據解密、動態脫敏,為數據訪問層增強安全模塊,實現免開發改造應用的數據加密策略敏捷實施,有效保護重要數據資產安全。
在安全性上,騰訊安全CASB資料庫加密系統將敏感數據在應用服務內(如Tomcat)加密,除實現將數據加密後存入資料庫,還能實現數據從應用服務到資料庫之間以密文形式傳輸。在資料庫的控制範疇內,不論是存儲磁碟還是資料庫範圍內的內存、緩存,關鍵敏感信息是密文狀態,可解除黑客拖庫、DBA等風險。同時,管理員可對不同的資料庫欄位(如敏感欄位、手機號等)採用不同加密、脫敏、以及密鑰策略,實現敏感數據訪問授權最小化。
(騰訊安全雲訪問安全代理CASB數據安全方案防護效果)
同時,與資料庫側加密相比,騰訊安全CASB數據加密解決方案在應用服務側加密,其加解密執行只在目標應用伺服器上完成,不對資料庫伺服器CPU和內存造成損耗,對系統整體性能影響小。同時,加密性能也可跟隨應用伺服器線性擴展,滿足高性能業務場景敏感數據加密需求。目前,騰訊安全CASB方案在單顆i9 CPU上的SM4加解密速度已突破130Gbps,加密10億條機號僅耗時20秒(即每秒5000萬條)。
騰訊雲數據安全中臺再度升級,打造一站式極簡數據安全防護
騰訊安全雲訪問安全代理CASB是騰訊雲數據安全中臺重要組件之一,為企業提供雲數據全生命周期安全防護的重要支撐。
雲數據安全中臺能從數據的分類治理、全過程加密、脫敏和訪問管控入手,有效幫助企業構築雲原生數據關鍵鏈路閉環,有效應對雲上數據安全問題。基於「雲數據安全中臺」,配合專業的數據治理技術、數據安全服務中臺設施以及核心數據安全產品,騰訊安全將致力於打通合規層、技術層、雲產品層、安全服務層、解決方案層等方面的安全能力,幫助用戶構建極簡雲數據保護方案,助力企業降本增效。
(騰訊雲數據安全中臺)
未來,騰訊安全希望涵蓋CASB在內的雲數據中臺探索實踐為起點,攜手企業更加從容地應對未來數據安全的挑戰,為產業數位化、智能化的加速升級提供助力。