数据安全的下一个热点:DataSecOps
点击蓝字 关注我们 ///
@GoUpSec
正如DevSecOps之于开发安全,DataSecOps也是数据安全的热门趋势。近日,Satori的首席科学家Ben Herzberg讨论DataSecOps了这一较新的概念,以及DataSecOps为何重要。内容编译整理如下:
在谈论数据之前,让我们快速回顾一下当行业转向CI/CD和DevOps时应用程序安全发生了什么。
过去,应用程序一直位于数据中心,直到它们开始逐渐迁移到公共云。这加速了开发并启用了CI/CD,这意味着组织能够以非常敏捷的方式,更快地开发和迭代产品。这推动了创新,也是我们在技术上取得如此巨大飞跃的原因之一,尤其是在过去十年中的应用开发方面。
然而,DevOps革命也造成了安全方面的差距。习惯于更受控制的软件开发生命周期的公司必须调整其安全性以及新的持续和敏捷部署。这推动了DevSecOps的理念或方法。
数据也是如此。数据正在转移到云中,或者更准确地说,数据已经在很大程度上转移到了云中。我不是在谈论与应用程序紧密耦合并随应用程序移动的数据,而是甚至用于分析、数据科学和此类用例的更大的数据存储。我们指的是存储在数据湖和数据仓库中的数据。
大多数企业要么已经在使用公有云数据仓库,要么有将数据迁移到公有云数据仓库的具体计划,例如Snowflake、Redshift、BigQuery等。
数据使用的一个重要驱动因素是组织内越来越多的人在所谓的数据民主化潮流中开始使用数据。因为如果对数据的访问仅限于BI或其他特定团队,其作用就非常有限。因此,随着数据民主化,更多的团队正在消耗更多的数据。
如今,几乎所有的企业团队都(需要)广泛使用数据进行分析和预测等用途。例如,销售、客户和其他团队现在正在组织内部或组织外部积极寻找新数据,以帮助他们实现业务目标。这意味着既有“小数据”的消费者,也有更多的生产者,以及不断变化且本质上更加敏捷的数据,这导致组织拥抱DataOps方法。
当然,DataOps的定义略有不同,但根据Gartner的说法,DataOps是一种协作化数据管理实践,专注于改善整个组织中数据管理人员和数据消费者之间数据流的通信、集成和自动化。
组织采用DataOps可以简化数据服务,支持与数据相关的价值主张,让数据推动业务。因此,拥有更快速变化的、更连续数据生命周期。这听起来很熟悉,没错,这与DevOps给应用开发带来的价值类似。
很明显,DevOps对于开发运营的影响,也将在DataOps身上发生。在运营上,企业必须以新的方式使用其数据,这意味着更多的人将数据放入数据存储中,更多的人阅读这些数据或需要访问这些数据。
正如我们从一头扎进DevOps的公司那里了解到的那样,我们不能让DataOps在没有安全性的情况下出现。换句话说,没有DataSecOps,就没有DataOps。DataSecOps是一种敏捷、整体、安全的嵌入式方法,用于协调不断变化的数据及其用户,旨在提供快速的数据价值,同时保持数据的私密性、安全性和良好的管理。
让我们讨论一下DataSecOps的一些原则。
第一,与临时项目相比,企业始终更喜欢连续和渐进的过程。随着数据的快速变化,数据隐私和保护也在快速变化。您不希望大型安全和治理项目在完成之前快速失去相关性并增加风险。例如,数据访问权限的全面映射和分析通常需要花费大量时间并且可能会快速更改,因此并非当务之急,应当优先处理数据访问中的快速增量。
安全性需要融入DataOps,而不是事后的想法。这意味着一开始就要建立安全工程、数据工程和其他相关利益相关者之间的跨团队持续协作,而不是在大项目结束时。这也意味着需要了解数据存储的安全性,并对安全团队透明。
第三,在瞬息万变的数据世界中,资源有限,优先级是关键。您应该首先计划并关注最大的风险。在数据领域,这通常意味着首先需要弄清楚敏感数据在哪里,并且在项目和资源方面优先考虑这部分数据。
第四,数据访问需要有一个清晰简单的策略。如果关于数据访问权限的事情开始变得过于复杂或不确定,可能会影响数据的可访问性,同时增加泄漏风险。
最后,第五点,也是最重要的一点,数据访问应该快速和简化,同时不影响数据安全。现在,这听起来很有挑战性,甚至是矛盾的,但通过明确的数据访问工作流程和政策等来设法做到这一点,将使您的公司从数据中快速获得价值,同时保持较低的安全风险。
END