数据安全态势管理 (DSPM)

数据安全态势管理(DSPM) 可识别并降低云环境中的数据暴露风险。了解 DSPM 是什么有助于企业提升云端数据的安全性和可见性。

DSPM 解决方案可发现敏感数据、对其进行分类、映射其移动方式，并标记出可能使数据面临风险的过高权限或不安全配置。

与孤立运行的传统数据保护工具不同，DSPM 专注于云原生风险。它考虑到了当今环境的复杂性：多云、多身份、高速度和高暴露风险。

DSPM 平台可帮助安全团队回答重要问题：

• 我们的敏感数据在哪里？
• 谁或哪些工具可以访问它？
• 这种访问是必要的还是过度授权？
• 是否存在使数据可被公开访问或易受攻击者攻击的配置错误？

如果实施得当，DSPM 可以为您提供云数据风险的持续视图，而不仅仅是快照。它能够在事件发生前主动进行修复，并支持安全、合规、隐私和 DevSecOps 团队的 DSPM 用例。

云让数据蔓延变得轻而易举。团队可以在数秒内启动服务，存储 TB 级的客户数据，并与数百个第三方 API 集成。但这种灵活性是有代价的。我们很容易忘记敏感数据的位置及其暴露风险。

DSPM 通过提供数据位置、配置、访问路径和身份的可见性来解决这个问题。它照亮了云数据资产的黑暗角落，在这些角落里，过多的授权、共享密钥、影子存储或未加密资产往往未被注意到。

此外，它还通过支持框架加强了您的云合规性和准备度，这些框架由与敏感数据对应的证据和控制措施提供支持。

随着云安全成熟度的不断提升，DSPM 可以更深入地与云原生安全策略（暴露风险管理和云原生应用程序保护平台）保持一致。

1. 自动发现和分类敏感数据
DSPM 工具在 AWS、Azure、GCP 和 SaaS 平台上抓取结构化和非结构化数据，进行深度敏感数据发现和分类。它们使用数据分类模型来标记受监管数据以及与您的业务相关的自定义敏感数据。

2. 绘制数据流和关系图
DSPM 可直观呈现敏感数据如何在云服务、应用程序、API 和身份中移动。它可以帮助您了解爆炸半径、横向暴露风险，以及在配置错误或权限过高时，哪些数据集面临最大风险。

3. 检测过度访问和有害组合
DSPM 解决方案会分析访问策略，以发现问题，如 allAuthenticatedUsers 或具有管理员角色的服务帐户。再加上公共存储桶、弱加密或开放端口带来的暴露风险，这些都造成了攻击者可利用的重要性风险。

4. 对风险进行优先级分析
DSPM 软件不会向您发送大量警报，而是将数据暴露风险与数据敏感性、可利用性和业务影响相关联，让团队能够根据您的独特需求和环境，识别哪些网络威胁真正构成实际风险。

5. 放心修复
领先的 DSPM 平台可根据上下文提供修复指导。这可能包括删除访问权限、加密数据、修正 S3 策略或撤销未使用的授权。与云安全态势管理(CSPM) 和云基础设施和授权管理(CIEM) 工具的相集成，有助于简化执行工作。

DSPM 遵循一个持续的循环：

1. 发现
扫描云环境中的数据存储、数据库、容器、SaaS 服务和影子基础设施。发现资产包括结构化、非结构化和半结构化数据，并跟踪可能存在于未授权工具或未管理云资产中的影子数据。

2. 分类
根据合规性框架和业务逻辑自动标记敏感数据。DSPM 还可支持针对知识产权或专有数据的自定义分类。

3. 访问分析
评估谁和哪些工具可以访问数据，包括人类用户、机器身份、服务帐户、第三方 SaaS 集成和工作负载。这一步骤与 CIEM 的功能相一致。

4. 态势评估
扫描云的错误配置，如公共存储桶、禁用的日志记录、开放的端口、权限过高的角色或不安全的大数据池。DSPM 将这些配置风险与其影响的数据资产直接联系起来。

5. 风险建模
利用 Exposure Graph 映射配置错误的资源、权限过高的访问权限和敏感数据之间的有害组合。DSPM 可帮助安全团队可视呈现攻击路径，并对影响较大的风险进行优先级分析。

6. 修复和响应
利用引导式修复和策略自动化功能，对最重要的暴露风险进行优先级分析并进行修复。将安全编排、自动化和响应 (SOAR)、云原生应用程序保护平台 (CNAPP) 或安全信息和事件管理 (SIEM) 工具结合起来，可以帮助您实现自动化响应。

DSPM 通过实用、高效的使用案例实现价值，解决当今最大的云数据挑战。 从防止数据外泄到确保合规性，它可以帮助您的团队主动管理数据暴露风险，并使安全与业务需求保持一致。

以下是一些组织使用 DSPM 降低风险的常见方法：

• 抢在攻击者之前发现高风险数据外泄路径，降低数据外泄的几率。
• 按照行业标准和法规，展示对敏感数据的合规性和控制力。
• 维护受监管数据集的清单和策略证据，为审计做好准备。
• 通过实施最小特权访问策略降低风险。
• 发现未经授权的服务存储或使用敏感数据。
• 识别并缓解云足迹中与 AI 相关的数据风险。
• 让开发人员能够在管道早期检测到有风险的数据暴露情况。
• 建立对数据驻留、主权和使用政策的可持续控制。

DSPM 将数据暴露风险洞察融入 DevSecOps 生命周期，帮助开发人员左移安全，并在代码投入生产之前捕捉到有风险的数据处理。

将 DSPM 嵌入CI/CD 管道后，它会实时扫描基础设施即代码 (IaC)、容器映像、API 和部署清单。它会标记出诸如测试环境中遗留的敏感数据或容器中嵌入的密钥等问题。

有了这种可见性，您的开发人员就能及早修复问题。他们可以对存储进行加密、收紧授权或在机密信息扩散到不同环境之前将其移除。

DSPM 可帮助您发现有害组合，如与服务帐户有关的密钥的公开访问权限，并提供明确的修复步骤。您甚至可以通过策略即代码工作流自动实施修复工作。

结果是发布过程更加顺畅，部署后意外情况更少，安全性与开发速度之间更加协调。

DSPM 还支持以合规为核心的 DevOps。 这有助于更轻松地实施隐私设计原则，并将数据治理检查直接集成到开发流程中。

您的团队可以自动生成报告，而执行关卡可以阻止与数据相关的政策违规行为，从而节省审核时间并降低风险。

最终，DSPM 将代码、数据和部署连接在一个统一的管道中，这样敏感数据就不会在构建、测试或部署过程中漏掉。它让安全性、合规性和开发人员的敏捷性保持同步。

影子数据是隐藏在您没有管理或监控的地方的敏感信息，如旧数据库、被遗忘的测试存储桶或在治理框架之外运行的 SaaS 应用程序。

把影子数据想象成云的阴暗面：攻击者喜欢利用这个不受监控的面。

DSPM 通过超越已批准的环境来解决影子数据问题。它会扫描每个已连接的帐户、服务、容器和影子 SaaS 应用程序，查找结构化和非结构化数据。它会映射所发现的内容并突出显示敏感信息，无论这些信息存在于何处，即便是被遗忘的测试存储桶或 AI 模型训练数据集中也不例外。

发现后，DSPM 会对每个存储库进行分类并提供上下文。

• 未经管理的大数据池是否包含敏感信息？
• 废弃的开发存储桶中是否有源代码吗？

还不止于此。

DSPM 通过叠加身份和配置分析来捕获有害组合，例如与过期管理员凭据关联的被遗忘数据存储上的公共写入权限。

引导式修复助您重新掌控影子数据。您可以将其迁移到认可的存储空间、撤销有风险的访问权限、删除过期副本，或对需要保存的内容进行安全加密。

通过重新获得对这些未知因素的可见性和控制力，DSPM 缩小了攻击者的攻击面，消除了最常见的未追踪风险来源之一。

法规要求严格控制谁能访问敏感数据，并提供确凿证据予以支持。

这正是 DSPM 助力合规之处。它能自动执行工作流，从而加强合规计划，并大幅减轻审计负担。

它首先根据法规驱动的类别（如财务记录或受保护的健康信息）不断发现数据并对其进行分类。您将看到这些数据的存放位置、有权访问的人员以及具有哪些暴露风险。

然后，DSPM 会检查您的配置和身份设置，以确保满足策略要求。这意味着您可以在需要的地方进行加密，关闭公共访问权限，并遵循最小权限标准来分配权限。

如果出现不合规的情况，DSPM 会在易于阅读的风险评分仪表盘中予以标记。

当审计人员到来时，你已准备就绪。DSPM 为您提供内容详尽的报告，将数据集映射到控制措施，展示修复步骤并包含时间戳。请记住，审计人员要的是证据，而不是承诺。

您还可以通过可定制的仪表盘跟踪一段时间内的合规状态和修复进度。

随着法规的变化，DSPM 随之调整。它可更新数据类别、支持自定义标签并微调分类模型，以满足新的要求。

通过持续监控，即使您的云环境不断变化，安全态势也能随时满足审计要求。

DSPM 可以减少审计摩擦，降低罚款风险，并帮助您的团队保持认证准备状态，事半功倍。

DSPM 的核心是以有针对性、可衡量的方式降低云数据风险。它为您的基础设施和身份可见性增加了数据上下文，因此您可以发现真实的攻击路径，而不仅仅是理论上的漏洞。

它首先在多云和 SaaS 环境中自动发现敏感数据。

在此基础上，DSPM 建立暴露风险图 - 显示身份、配置、网络路径和数据如何交互的可视化模型。

您可以看到，未加密的数据库与陈旧的管理凭据如何为攻击者提供了直接的攻击路径。这些清晰的攻击路径可为您的修复工作提供指导。

DSPM 还采用风险评分法来确定实际风险的轻重缓急。与配置错误导致泄露真实客户记录的数据存储相比，泄漏虚假数据的测试存储桶得分更低。它可帮助您根据业务优先级调整修复工作。

一旦识别出危险的暴露风险，引导式修复功能可轻松撤销访问权限、加密数据或调整配置。DSPM 与 CIEM、CSPM、SIEM/SOAR 或 CNAPP 工具集成，支持手动和自动响应。

由于内置了持续监控功能，降低云风险并非一蹴而就。 DSPM 实时监控新的数据存储、配置漂移或身份更改问题，助力贵企业减少暴露风险。

其结果是：显著减少云攻击面，减少数据外泄事件，加强安全、开发和治理团队之间的一致性。

CSPM 专注于确保基础设施配置、网络、工作负载和服务的安全。

DSPM 增加了一个缺失的层面：数据。

虽然 CSPM 能提醒您存在公共存储桶或开放的防火墙规则，但它无法判断该资源是否包含客户数据。DSPM 回答了这个问题，并向您全面展示了您的风险暴露情况。

可以将 CSPM 想象成检查家里的门窗。它会告诉您是否忘记锁门或窗户。 但它不会告诉您里面有什么贵重物品。

DSPM解答了这个问题：风险在哪里？向您显示开放式数据桶或暴露的数据库中是否有敏感的客户数据。

当DSPM 和CSPM 结合使用时，可提供分层式的可见性。您可以检测基础设施缺陷（通过 CSPM）并评估数据影响（通过 DSPM），从而准确掌握风险状况。

通过将 DSPM 纳入暴露风险管理战略，您可以加强安全态势。它能为您提供整个数据攻击面的清晰视图，从而帮助您主动降低风险。

DSPM 向您展示敏感数据在多云环境中的位置、可以访问这些数据的人员，以及配置错误如何造成危险的暴露路径。

在统一的暴露风险安全管理平台中，将 DSPM 与 CSPM 和 CIEM 相结合，可为您提供统一的风险视图。

• CSPM 发现公共存储桶。
• CIEM 可突出显示权限过高的特权用户。
• DSPM 将这些发现结果与面临风险的实际敏感数据联系起来。 

它们共同揭示了有害组合，如超级管理员用户访问公开暴露的客户数据库。这些问题本身似乎并不重要，但结合在一起，就会暴露出严重的可利用性攻击路径。

DSPM 可帮助您根据数据敏感性、访问权限重要性和业务影响确定优先级，而不是对每一个配置错误都紧抓不放。您还能获得清晰且有针对性的修复步骤，例如撤销特定特权或加密暴露的数据存储，让团队能够迅速采取行动。

有了 DSPM，您得到的不是嘈杂的警报，而是可操作的情报。您的响应变得更快、更精确，攻击者的攻击面也会缩小，从而直接降低现实世界的数据风险。

并非所有 DSPM 平台都能提供相同级别的保护。要降低云数据风险，您所需的解决方案不仅需要基本的发现功能，而且可提供上下文驱动的可操作情报。

寻找一个支持多云和 SaaS 环境的 DSPM 平台，这样您就能在 AWS、Azure、GCP 和 SaaS 应用程序之间拥有一致的可见性。它应使用无代理、基于 API 的扫描，以避免盲点并减少运行开销，同时在不中断工作负载的情况下进行持续监控。

自动发现对于揭示被遗忘的存储桶、未管理的数据库和未经授权的 SaaS 工具等影子数据至关重要。一旦发现，DSPM 应该按照敏感性和监管要求对数据进行分类，这样您就可以优先处理重要的数据。

它还必须分析身份、角色和授权，以捕获权限过高的帐户和有害的特权组合。上下文也很重要。DSPM 应显示配置错误、身份和数据如何连接形成真正的攻击路径，而不仅仅是孤立的警报。

整合是关键。

优异的 DSPM 解决方案可与 CSPM、CIEM 和 CNAPP 工具配合使用，以提供统一的风险视图。它还应根据暴露风险的严重性和对业务的影响进行风险评分，让您知道哪些问题需要首先解决。

最后，寻找有指导的修复措施。最好的 DSPM 平台提供明确的步骤，如撤销权限、加密数据或禁用公共访问权限，并提供自动化选项以加快响应速度。

DSPM 常见问题：

DSPM 保护哪些类型的数据？

DSPM 可保护结构化和非结构化敏感数据，包括客户记录、支付数据、健康信息、IP 和源代码。它还有助于确保跨云原生环境的影子数据安全。

合规是否必须使用 DSPM？

虽然没有规定必须使用 DSPM，但 DSPM 可提供持续的数据可见性和风险控制，有助于满足合规义务。现在，许多审计人员都希望得到数据分类和访问权限治理的证明，以及降低数据事件风险措施的证据，而 DSPM 在这些方面提供支持。

DSPM 能否取代 DLP 或 CSPM？

不能。DSPM 是对这些工具的补充。DLP 通过执行防止未经授权访问或共享的策略来保护静态、动态和使用中的数据，例如阻止用户将敏感文件复制到 USB 驱动器或云存储。CSPM 确保基础设施安全。DSPM 专注于静态数据及其暴露风险态势，尤其是在动态的云原生环境中。

Tenable 是否提供 DSPM？

提供。Tenable Cloud Security 包含 DSPM 功能，可发现、分类和保护整个云中的敏感数据。DSPM 是包括 CSPM、CIEM 和云漏洞管理在内的更广泛暴露风险管理战略的一部分。

Tenable 数据安全态势管理功能是其统一的云安全平台的一部分，该平台集成了 DSPM、CSPM、漏洞管理和身份风险分析功能。通过 Tenable，您可以深入了解：

• 敏感数据的位置
• 数据如何流动
• 谁可以访问这些数据
• 哪些暴露途径会带来真正的风险

通过将数据访问与云配置错误、权限过高的角色和外部暴露风险进行映射，Tenable One 可帮助您发现并修复最重要的漏洞。DSPM 是更广泛的暴露风险管理战略的一部分，为您提供清晰的上下文信息，以确保重要云安全数据的安全。

了解 Tenable Cloud Security 如何支持数据安全态势管理。