电脑要先vpn
在12月20日由腾讯主办的2020 Techo Park开发者大会安全分论坛上,腾讯安全云鼎实验室针对目前数据安全治理过程中存在的技术规划、合规难题,正式发布了腾讯安全云访问安全代理CASB,利用先进密码技术保护企业的商业数据以及个人信息数据安全,收敛由敏感数据泄露带来的企业业务运营风险以及数据合规问题。
该方案是国内首个通过云原生密码技术提供极简合规数据加密解决方案,有效降低数据安全及数据加密技术策略实施门槛,助力企业满足《密码法》、《个人信息保护法》(草案)、《数据安全法》(草案)等法规和标准的合规要求。为企业提供字段级数据存储加密防护服务,帮助企业在有效防护数据安全威胁的同时,兼顾商密及国密合规要求,为企业应对数据安全新挑战提供有力支撑。
近年来,国内外多次爆发大规模的数据泄露事故。2017年,美国信用评级公司Equifax因黑客攻击泄出近1.5亿人的个人信息及财务数据,并因此就“未能采取合理措施保护自身网络”的过错支付5.75亿美元罚金。
另一方面,无论是海外还是国内,对数据安全合规也提出了更高的要求。在我国,《密码法》的颁布实施,以及《网络安全法》、《数据安全法(草案)》、《个人信息保护法(草案)》等也对企业数据安全及加密提出了新的要求和挑战。
密码技术是目前世界上公认的,保障网络与信息安全最有效、最可靠、最经济的关键核心技术。通过数据加密实现对核心数据的机密性和完整性保护,将明文变为密文,配合健壮的密钥管理体系,可以防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击以及来自于内部越权用户的数据窃取,从而从根本上解决敏感数据泄漏带来的业务风险问题。
目前国内外云服务商目前普遍采用的基于密钥管理系统KMS或云加密机CloudHSM服务的数据加密方案,这要求云租户具备一定的密码方案设计以及开发能力,在实际落地时存在较高的使用门槛,使得密码技术无法真正发挥其效用。
为解决云端密码技术的应用难题,腾讯安全云鼎实验室基于自身在云平台安全建设的经验和研究,打造了云访问安全代理CASB。用免应用开发改造的配置方式,提供面向服务侧的字段级数据存储加密防护,有效防护内外部数据安全威胁。该服务组件已通过国家密码管理局的安全认证,可满足等保2.0以及商用密码应用安全性评估的对应用和数据机密性和完整性保护的合规要求。
腾讯安全CASB在加密技术线路上,结合了经典云访问安全代理(CASB)以及面向切面编程(AOP)思想:通过将数据安全插件部署到应用服务器电脑要先vpn,代理并解析SQL和识别用户身份,对入库数据加密,对出库数据解密、动态脱敏,为数据访问层增强安全模块,实现免开发改造应用的数据加密策略敏捷实施,有效保护重要数据资产安全。
在安全性上,腾讯安全CASB数据库加密系统将敏感数据在应用服务内(如Tomcat)加密,除实现将数据加密后存入数据库,还能实现数据从应用服务到数据库之间以密文形式传输。在数据库的控制范畴内,不论是存储磁盘还是数据库范围内的内存、缓存,关键敏感信息是密文状态,可解除黑客拖库、DBA等风险。同时,管理员可对不同的数据库字段(如敏感字段、手机号等)采用不同加密、脱敏、以及密钥策略,实现敏感数据访问授权最小化。
同时,与数据库侧加密相比,腾讯安全CASB数据加密解决方案在应用服务侧加密,其加解密执行只在目标应用服务器上完成,不对数据库服务器CPU和内存造成损耗,对系统整体性能影响小。同时,加密性能也可跟随应用服务器线性扩展,满足高性能业务场景敏感数据加密需求。目前,腾讯安全CASB方案在单颗i9 CPU上的SM4加解密速度已突破130Gbps,加密10亿条 机号仅耗时20秒(即每秒5000万条)。
腾讯安全云访问安全代理CASB是腾讯云数据安全中台重要组件之一,为企业提供云数据全生命周期安全防护的重要支撑。
云数据安全中台能从数据的分类治理、全过程加密、脱敏和访问管控入手,有效帮助企业构筑云原生数据关键链路闭环,有效应对云上数据安全问题。基于“云数据安全中台”,配合专业的数据治理技术、数据安全服务中台设施以及核心数据安全产品,腾讯安全将致力于打通合规层、技术层、云产品层、安全服务层、解决方案层等方面的安全能力,帮助用户构建极简云数据保护方案,助力企业降本增效。
未来,腾讯安全希望涵盖CASB在内的云数据中台探索实践为起点,携手企业更加从容地应对未来数据安全的挑战,为产业数字化、智能化的加速升级提供助力。