从广义上讲,任何具有固定载体且不会瞬间消失的持久化数据都是落地数据,比如存储在硬盘上的数据。相应地,存储在内存中或在网络中传输并在使用后消失的数据是非落地数据。这种非落地数据在使用过程中会遇到一些安全问题,尤其是在第三方数据共享、外包人员使用组织内部数据等场景下,外部访问人员可以获得内部敏感数据的访问权限,尤其是source代码、开发文档、业务数据等核心文件数据的下载权限,加上外部人员身份复杂、流动性大,导致数据泄露、非法访问等风险。基于零信任的数据不落地方案可以有效规避这种风险。一、为什么要零信任随着数字经济的快速发展,传统的IT架构正在从“有边界”向“无边界”转变,这改变了应用资源的访问方式,也带来了核心数据被攻击和泄露的可能.安全风险。据不完全统计,2019年全球共披露数据泄露事件5183起,泄露数据量达79.95亿条记录。其中,内部威胁是导致数据泄露的第二大原因,员工权限过大和安全意识薄弱是导致此类事件发生的关键因素。零信任代表了新一代的网络安全保护理念。它的关键在于打破默认的“信任”,其核心理念是“不断验证,永不信任”。默认情况下,企业网络内外的任何人、设备和系统都不可信,基于身份认证和授权重建访问控制的信任基础,确保身份、设备、应用和链路是可信的.基于零信任原则,可以创建一个新的以数据为中心的边界,通过强认证技术来保护数据。与传统的数据安全方案相比,基于零信任的数据不落地方案,不仅保证了第三方人员数据的共享和使用,还集成了数据共享和流转受控,实现数据所有权和数据的分离。使用权。该方案最典型的价值在于构建了一个虚拟的数据资源安全域。所有数据都在一个完全隔离的“安全磁盘”上传输。同时,对数据传输、使用、共享的全过程进行管控。量化、一站式、全生命周期的数据安全整体解决方案。2、如何实现基于零信任的数据安全体系?通过构建以“零信任”为核心的新一代企业安全架构,从终端可信、身份可信、网络可信到数据可信,各环节建立多层防线,构建面向用户的数据资产安全准入体系,构建虚拟化的数据资源安全边界,实现全程管控数据不落地;并通过安全服务或安全运维人员进行持续的威胁监测、威胁分析和判断,及时事件通知、快速响应和处置,打通全数据接入、有效运营的深度安全防护体系,从而充分发挥整体保障体系的最大优势。整个系统按照LevelSecurity2.0和《数据安全法》的要求设计建设,涵盖数据访问安全、数据交换与传输安全、访问控制、数据使用申请与管理,实现一站式数据安全管理与保障。对照溶液;基于零信任安全理念,将数据使用权与数据所有权分离,构建虚拟隔离的数据资源安全边界,防止数据泄露、数据篡改等事件,打造零信任下的新一代数据安全管控与隔离解决方案信任架构,实现数据传输、使用、共享的安全性。3、零信任加持下的数据安全有哪些优势1)最小授权以细粒度的应用、接口、数据等资源为核心保护对象,遵循最小权限原则,构建端到端-end逻辑身份边界。2)便捷接入与企业统一身份中心对接,实现账号生命周期管理,通过钉钉、企业微信、飞书等扫码接入,实现安全WiFi接入,让用户随时随地安全办公,任何地方。3)动态控制基于流量身份、终端、环境检测,实现统一、自适应的访问控制,根据业务访问主体的信任度和环境的风险程度,持续衡量动态决定是否授权。4)端口隐藏先授信,后认证再连接,业务完全隐藏到代理网关后端,实现网络、应用、业务攻击面收敛,业务对非法访问/攻击者完全不可见.5)应用执行与展示分离,数据落地,对数据执行、传输、存储进行严格的权限控制,确保数据传输受到严格的策略控制,批准所有应用数据出安全域,确保数据传输,安全使用和分享。4.小结在数据安全保护体系中引入零信任架构,可以将动态访问控制、最小授权、网络隐身等与数据不落地技术有机结合,让数据隔离和统一管控变得更加容易。数据访问用户不能直接访问目标数据资源,只能通过受控的“安全磁盘”访问虚拟投影目标。由于用户与目标资源完全隔离,可免疫0day攻击、勒索病毒等常见攻击,从根本上解决了数据泄露问题。该方案可应用于数据开放、共享、交换等多种业务场景,满足数据不落地、防勒索病毒、远程浏览器隔离(RBI)等安全需求。
