数据因素：(DSPM)

数据安全态势管理（DSPM）可识别并降低云环境中的数据暴露风险。 

DSPM 解决方案可发现敏感数据、对其进行分类、映射其移动方式，并标记出可能使数据面临风险的过高权限或不安全配置。

与孤立运行的传统数据保护工具不同，DSPM 专注于云原生风险。 它考虑到了当今环境的复杂性：多云、多身份、高速度和高暴露风险。

DSPM 平台可帮助安全团队回答重要性问题：

• 我们的敏感数据在哪里？
• 谁或什么可以访问它？
• 这种访问是必要的还是过度许可的？
• 是否存在使数据可被公开访问或易受攻击者攻击的配置错误？

如果操作得当，DSPM 可让您持续了解云数据风险，而不仅仅是快照。 它能够在事件发生前主动进行修复，并支持安全、合规、隐私和 DevSecOps 团队的 DSPM 用例。

云让数据蔓延变得轻而易举。 团队可以在数秒内启动服务，存储 TB 级的客户数据，并与数百个第三方 API 集成。 但这种灵活性是有代价的。 我们很容易忘记敏感数据的位置及其暴露风险。

DSPM 通过提供数据位置、配置、访问路径和身份的可见性来解决这个问题。 它照亮了云数据资产的黑暗角落，在这些角落里，过多的授权、共享秘密、影子 IT 存储或未加密资产往往不被注意。

It also strengthens your cloud compliance and audit readiness by supporting frameworks, backed by evidence and controls mapped to sensitive data. 

And, as cloud security maturity evolves, DSPM facilitates deeper alignment with cloud-native security strategies like exposure management and cloud-native application protection platforms (CNAPP).

1. 自动发现和分类敏感数据
DSPM 工具在 AWS、Azure、GCP 和 SaaS 平台上抓取结构化和非结构化数据，进行深度敏感数据发现和分类。 它们使用数据分类模型来标记受监管数据以及与您的业务相关的自定义敏感数据。

2. 绘制数据流和关系图
DSPM 可视化敏感数据如何在云服务、应用程序、API 和身份中移动。 它可以帮助您了解爆炸半径、横向暴露风险，以及如果配置错误或访问权限过大，哪些数据集面临的风险最大。

3. 检测过度访问和有毒组合
DSPM 解决方案分析访问策略，以发现问题，如 allAuthenticatedUsers 或具有管理员角色的服务账户。 再加上公共存储桶、弱加密或开放端口带来的暴露风险，这些都造成了攻击者可利用性的重要性风险。

4. 确定风险优先级
DSPM 软件不会向您发送大量警报，而是将数据暴露风险与数据敏感性、可利用性和业务影响联系起来，让团队了解哪些网络威胁代表着您独特需求和环境的实际风险。 

5. 放心修复
顶级 DSPM 平台可根据上下文提供修复指导。 这可能包括删除访问权限、加密数据、修正 S3 策略或撤销未使用的授权。 与云安全态势管理(CSPM) 和云基础设施和授权管理(CIEM) 工具的集成有助于简化执行工作。

DSPM 遵循一个连续的周期：

1. Discovery
扫描云环境中的数据存储、数据库、容器、SaaS 服务和影子基础设施。 发现资产包括结构化、非结构化和半结构化数据，并跟踪可能存在于未授权工具或未管理云资产中的影子数据。

2. 分类
根据合规性框架和业务逻辑自动标记敏感数据。 DSPM 还可支持知识产权或专有数据的自定义分类。

3. 访问分析
评估谁和什么可以访问数据，包括人类用户、机器身份、服务账户、第三方 SaaS 集成和工作负载。 这一步骤与 CIEM 的能力相一致。

4. 态势评估
扫描云的错误配置，如公共桶、禁用的日志记录、开放的端口、过于放任的角色或不安全的大数据池。 DSPM 将这些配置风险与其影响的数据资产直接联系起来。

5. 风险建模
利用 Exposure Graph 映射配置错误的资源、超权限访问和敏感数据之间的有毒组合。 DSPM 可帮助安全团队可视化攻击路径，并对影响较大的风险进行优先排序。

6. 修复和 Response
利用引导式修复和策略自动化，优先修复最重要的暴露风险。 将安全协调、自动化和响应（SOAR）、云原生应用程序保护平台（CNAPP）或安全信息和事件管理（SIEM）工具结合起来，可以帮助您实现自动化响应。

DSPM 通过实用、高效的用例实现价值，解决当今最大的云数据挑战。 从防止数据外泄到确保合规性，它可以帮助您的团队积极主动地管理数据暴露风险，并使安全与业务需求保持一致。 

以下是一些组织使用 DSPM 降低风险的常见方法：

• 抢在攻击者之前发现高风险数据外泄路径，降低数据外泄的几率。
• 按照行业标准和法规，展示对敏感数据的合规性和控制。
• 维护受监管数据集的库存和政策证据，为审计做好准备。
• 通过执行最小特权访问降低风险。
• 发现存储或使用敏感数据的未经授权服务的结果。
• 识别并缓解云足迹中与人工智能相关的数据风险。
• 让开发人员能够在管道早期检测到有风险的数据暴露。
• 建立对数据驻留、主权和使用政策的可持续控制器。

DSPM 将数据暴露风险洞察带入 DevSecOps 生命周期，帮助开发人员左移并在代码投入生产之前捕捉到有风险的数据处理。

将 DSPM 嵌入CI/CD 管道后，它会实时扫描基础设施即代码(IaC)、容器映像、API 和部署清单。 它能发现测试环境中遗留的敏感数据或容器中的秘密等问题。

有了这种可视性，您的开发人员就能及早解决问题。 它们可以加密存储、收紧授权或在嵌入式机密在环境中扩散之前将其删除。

DSPM 可帮助您发现有毒组合，如公众访问与服务账户绑定的机密，并提供明确的修复步骤。 您甚至可以通过策略即代码工作流自动进行修复。

其结果是发布更顺利，部署后的意外情况更少，安全与开发速度之间的协调性更好。

DSPM 还支持注重合规性的 DevOps。 它能让我们更轻松地执行隐私设计原则，并将数据治理检查直接添加到开发管道中。

您的团队可以自动生成报告，而执行关卡可以阻止与数据相关的政策违规行为，从而节省审核时间并降低风险。

最终，DSPM 将代码、数据和部署连接在一个统一的管道中，这样敏感数据就不会在构建、测试或部署过程中漏掉。 它使安全性、合规性和开发人员的灵活性保持同步。

影子数据是隐藏在你没有管理或监控的地方的敏感信息，如旧数据库、被遗忘的测试桶或在治理框架之外运行的 SaaS 应用程序。

把它想象成云的阴暗面：一个不受监控的攻击面，攻击者最喜欢利用它的漏洞性。

DSPM 通过超越已批准的环境来处理影子数据。 它能扫描每个已连接的账户、服务、容器和影子 SaaS 应用程序，查找结构化和非结构化数据。 它能将发现的结果绘制成地图，并突出显示敏感内容，无论这些内容存在于何处，甚至是被遗忘的测试桶或人工智能模型训练数据集中。

发现后，DSPM 会对每个资源库进行分类和上下文关联。

• 未经管理的大数据池是否包含敏感信息？
• 废弃的开发桶里有源代码吗？

还不止于此。 

DSPM 重叠了身份和配置分析，以捕捉有毒组合，如与过期管理员凭据访问绑定的被遗忘数据存储上的公共写入访问。

有指导的修复可帮助您重新控制影子数据。 您可以将其迁移到认可的存储空间、撤销有风险的访问权限、删除过期副本或对需要保存的内容进行安全加密。

通过重新获得对这些未知因素的可见性和控制，DSPM 缩小了攻击者的攻击面，消除了最常见的未追踪风险来源之一。

法规要求严格控制谁能访问敏感数据，并提供确凿证据作为支持。

这就是DSPM 帮助合规的地方。 它能自动执行工作流，从而加强合规性计划，并大大减轻审查工作的痛苦。

它首先根据法规驱动的类别（如财务记录或受保护的健康信息）不断发现数据并对其进行分类。 您将看到这些数据的存放位置、访问权限以及暴露风险。

然后，DSPM 会检查配置和身份设置，确保它们符合策略要求。 这意味着你在需要的地方进行了加密，关闭了公共访问权限，并且授权遵循最小特权标准。

如果出现不符合规定的情况，DSPM 会在易于阅读的风险评分仪表盘中予以标记。

当审计人员出现时，你已经准备好了。 DSPM 可为您提供丰富的报告，这些报告可将数据集映射到控制器、显示修复步骤并包含时间戳。 请记住，审计人员要的是证据，而不是承诺。

您还可以通过可定制的仪表盘跟踪一段时间内的合规状态和修复进度。

随着法规的变化，DSPM 也在不断调整。 它可更新数据类别、支持自定义标签并微调分类模型，以满足新的要求。

通过持续监控，即使云环境不断发展，您的安全态势也能随时接受审计。

DSPM 可以减少审计摩擦，降低罚款风险，并帮助您的团队保持认证准备状态，事半功倍。

DSPM 的核心是以有针对性、可衡量的方式降低云数据风险。 它为您的基础架构和身份可见性增加了数据上下文，因此您可以发现真实的攻击路径，而不仅仅是理论上的漏洞。

它首先在多云和 SaaS 环境中自动发现敏感数据。

在此基础上，DSPM 建立暴露风险图 - 显示身份、配置、网络路径和数据如何交互的可视化模型。 

您可以看到，未加密的数据库与陈旧的管理凭据如何为攻击者提供了直接的攻击路径。 这些清晰的攻击路径可为您的修复工作提供指导。

DSPM 还采用风险评分法来确定实际风险的轻重缓急。 与配置错误、泄露真实客户记录的数据存储相比，泄漏虚假数据的测试桶得分更低。 它可帮助您根据业务优先级调整修复工作。

一旦识别出危险的暴露风险，引导式修复功能可轻松撤销访问权限、加密数据或调整配置。 DSPM 与 CIEM、CSPM、SIEM/SOAR 或 CNAPP 工具集成，用于手动和自动响应。

由于内置了持续监控功能，降低云风险并非一蹴而就。 DSPM 实时监控新的数据漂移、配置变化或身份风险暴露问题，使您的组织能够减少暴露风险。

其结果是：显著减少云安全的攻击面，减少数据外泄事件，加强安全、开发和治理团队之间的协调。

CSPM 专注于确保基础设施配置、网络、工作负载和服务的安全。 

DSPM 增加了一个缺失的层面：数据。

虽然 CSPM 可以提醒您注意公共容器或开放的防火墙规则，但它无法判断该资源是否包含客户数据。 DSPM 可以回答这个问题，然后向您展示您所暴露风险的全部范围。

把 CSPM 想象成检查房屋的门锁和窗户。 它会告诉你是否忘记锁门或窗户。 但它不会告诉你里面有什么贵重物品。 

DSPM 回答的问题是：什么会有风险？ 向您显示开放式数据桶或暴露的数据库中是否有敏感的客户数据。

同时使用时，DSPM 对 DSPM。 CSPM 提供分层可视性。 您可以检测基础设施缺陷（通过 CSPM）并评估数据影响（通过 DSPM），从而准确了解风险。

通过将 DSPM 纳入暴露风险管理战略，您可以加强安全态势。 它能让你清楚地了解整个数据攻击者的攻击面，从而帮助你主动降低风险。 

DSPM 向您展示敏感数据在多云环境中的位置、谁可以访问这些数据，以及配置错误如何造成危险的暴露风险。

在统一的暴露风险安全管理平台中，将 DSPM 与 CSPM 和 CIEM 相结合，可为您提供统一的风险视图。 

• CSPM 发现公共存储桶。
• CIEM 可突出显示权限过高的特权用户。
• DSPM 将这些发现结果与面临风险的实际敏感数据联系起来。 

它们共同揭示了有毒组合，如超级管理员用户访问公开暴露的客户数据数据库。 这些问题本身似乎并不重要，但结合在一起，就会暴露出严重的可利用性攻击路径。

DSPM 可帮助您根据数据敏感性、访问重要性和业务影响确定优先级，而不是追逐每一个配置错误。 您还可以获得清晰、符合实际情况的修复步骤，如撤销特定特权或加密暴露的数据存储，以便您的团队快速采取行动。

有了 DSPM，您就可以从嘈杂的警报转变为可操作的情报。 您的响应变得更快、更精确，攻击者的攻击面也会缩小，从而直接降低现实世界的数据风险。

并非所有 DSPM 平台都能提供相同级别的保护。 要降低云数据风险，您需要一个超越基本发现功能、提供上下文驱动的可操作智能的解决方案。

寻找一个支持多云和 SaaS 环境的DSPM 平台，这样您就能在 AWS、Azure、GCP 和 SaaS 应用程序之间拥有一致的可见性。 它应使用无代理、基于 API 的扫描，以避免盲点并减少运行开销，同时在不中断工作负载的情况下进行持续监控。

自动发现对于揭示被遗忘的数据桶、未管理的数据库和未经授权的 SaaS 工具等影子数据至关重要。 一旦发现结果，DSPM 应该按照敏感性和监管要求对数据进行分类，这样您就可以优先处理重要的数据。

它还必须分析身份、角色和授权，以捕捉过度授权的账户和有毒的特权组合。 背景也很重要。 DSPM 应显示配置错误、身份和数据如何连接形成真正的攻击路径，而不仅仅是孤立的警报。

整合是关键。 

好的 DSPM 解决方案可与 CSPM、CIEM 和 CNAPP 工具配合使用，以实现统一的风险视图。 它还应根据暴露风险的严重性和对业务的影响进行风险评分，让你知道哪些问题需要首先解决。

最后，找人指导修复。 最好的 DSPM 平台提供明确的步骤，如撤销权限、加密数据或禁用公共访问，并提供自动化选项以加快响应速度。

DSPM 常见问题：

DSPM 保护哪些数据？

DSPM 可保护结构化和非结构化敏感数据，包括客户记录、支付数据、健康信息、IP 和源代码。 它还有助于确保跨云原生环境的影子数据安全。 

是否需要 DSPM 合规？

虽然不是强制性的，但 DSPM 可提供持续的数据可见性和风险控制，有助于履行合规义务。 现在，许多审计人员都希望得到数据分类和访问权限治理的证明，以及降低数据事件风险措施的证据，而 DSPM 支持这些证明。 

DSPM 能否取代 DLP 或 CSPM？

支持。DSPM 是对这些工具的补充。 DLP 通过执行防止未经授权访问或共享的策略来保护静态、动态和使用中的数据，例如阻止用户将敏感文件复制到 USB 驱动器或云存储。 CSPM 确保基础设施安全。 DSPM 专注于静态数据及其暴露风险态势，尤其是在动态的云原生环境中。

Tenable 是否提供 DSPM？

是。 Tenable Cloud Security 具有 DSPM 功能，可发现、分类和保护整个云安全的敏感数据。 DSPM 是包括 CSPM、CIEM 和云漏洞管理在内的更广泛暴露风险管理战略的一部分。

Tenable 数据安全态势管理功能是其统一云安全平台的一部分，该平台集成了 DSPM、CSPM、漏洞管理和身份风险分析功能。 通过 Tenable，您可以深入了解：

• 敏感数据的位置
• 数据如何流动
• 谁可以访问
• 哪些暴露途径会带来真正的风险

通过将数据访问与云配置错误、过度授权角色和外部暴露风险进行映射，Tenable One 可帮助您发现并修复最重要的漏洞。 DSPM 是更广泛的暴露风险管理战略的一部分，为您提供清晰的背景信息，以确保重要云安全数据的安全。

Learn how Tenable Cloud Security supports data security posture management.