數(shù)據(jù)安全形勢日益嚴(yán)峻，企業(yè)如何有效管理海量數(shù)據(jù)（尤其是“影子數(shù)據(jù)”）成為一大挑戰(zhàn)。數(shù)據(jù)安全姿勢管理(DSPM)工具應(yīng)運(yùn)而生，旨在幫助企業(yè)發(fā)現(xiàn)、追蹤并保護(hù)所有數(shù)據(jù)，無論這些數(shù)據(jù)位于何處，處于何種狀態(tài)。

數(shù)據(jù)安全態(tài)勢管理（DSPM）是一個相對較新的市場，正處于快速增長階段，2022年DSPM的市場滲透率不到1%。但是根據(jù)Gartner的預(yù)測，2026年DSPM市場滲透率將激增到20%以上。

由于DSPM是數(shù)據(jù)安全領(lǐng)域的新興產(chǎn)品，企業(yè)在選型時往往缺乏足夠參考和指導(dǎo)，以下，我們將點(diǎn)評海外市場最具代表性的十二個DSPM產(chǎn)品，并總結(jié)了DSPM產(chǎn)品的五大核心能力。

十二個頂級DSPM產(chǎn)品（排名不分先后）

1、Concentric Semantic Intelligence

該平臺將DSPM與威脅檢測相結(jié)合，可集成各種安全工具，涵蓋非結(jié)構(gòu)化和結(jié)構(gòu)化數(shù)據(jù)，并提供深入的AWS服務(wù)數(shù)據(jù)覆蓋。

2、Cyera Data Security Platform

Cyera平臺擁有用于掃描本地文件的網(wǎng)絡(luò)模塊，并可以與Netskope、各種專業(yè)數(shù)據(jù)目錄（例如Collibra、Secoda、DataHub）、Wiz、Splunk和Tines集成。它還提供一系列可操作的儀表盤。

3、Eureka Security

Eureka將DSPM與威脅檢測相結(jié)合，并可與數(shù)據(jù)湖和數(shù)據(jù)倉庫（例如Snowflake、Atlas、Salesforce、ServiceNow和基于Jira的工單系統(tǒng)）集成。默認(rèn)情況下，新數(shù)據(jù)會在24小時內(nèi)掃描，現(xiàn)有數(shù)據(jù)每14天會掃描一次以查找更改。

4、IBM Security Guardium Insights SaaS DSPM

IBM去年收購了Polar Security，目前正將其納入其完整的Guardium安全產(chǎn)品中。它僅掃描云數(shù)據(jù)，并預(yù)置了敏感數(shù)據(jù)定義。

5、Normalyze Cloud Platform

Normalyze可以掃描云端和本地數(shù)據(jù)源，并在識別配置錯誤時進(jìn)行自動修復(fù)。它開箱即用地與SOAR、第三方工單、通知和自動化平臺集成，例如ServiceNow、Slack、Jira等。

6、One Trust Privacy and Data Governance Cloud

OneTrust可以跨云端和本地環(huán)境掃描200多個不同的數(shù)據(jù)源，但無法識別用戶帳戶級別的訪問權(quán)限?？梢灾苯优cSnowflake和Databricks集成，以協(xié)調(diào)動態(tài)訪問控制以及其他安全工具，例如ITSM、DLP和數(shù)據(jù)目錄。

7、Palo Alto Networks Prisma Cloud DSPM

Prisma可以與SIEM、工作流和工單解決方案、SSO集成，并提供超過100個預(yù)構(gòu)建的數(shù)據(jù)分類器。支持Snowflake、Office365和本地文件共享。

8、Securit iData Command Center DSPM

Data Command Center在其工具中添加了各種漏洞管理和合規(guī)性管理功能，并且支持?jǐn)?shù)據(jù)流傳輸技術(shù)，例如Confluent、Kafka、Kinesis和Google PubSub。提供350個內(nèi)容分類器，支持多種語言以及超過一千條預(yù)定義檢測規(guī)則。它可以與各種云原生安全服務(wù)、CASB、CNAPP、CSPM、CIEM、KSPM、SIEM、DLP、IDS和合規(guī)性工具集成。

9、Sentra Cloud-Native Data Security Platform

Sentra深度支持各種云計算服務(wù)，以及容器和虛擬機(jī)。它擁有自己的數(shù)據(jù)檢測和響應(yīng)工具，可實(shí)現(xiàn)近實(shí)時檢測，并提供一系列可操作的儀表盤。可以與數(shù)據(jù)管理(DataDog、DataHub、Coralogix)、電子郵件、ITSM(Jira、PagerDuty、ServiceNow)、CNAPP(Wiz)、協(xié)作(Atlan、AzureBoards、Slack、Teams、Monday.com)、IAM(Okta、AD)、IR(Seemplicity)、SIEM(Splunk)和本地文件共享集成。

10、Symmetry Systems Data Guard DSPM

DataGuard提供文本豐富的儀表盤以及附加的策略實(shí)施模塊。可以與各種安全工具集成，包括SIEM(Splunk、Chronicle SIEM、SumoLogic、LogRhythm、Securonix)、SOAR(Prisma CortexX SOAR、Google Chronicle、Microsof tSentinel、Tines)、工單系統(tǒng)(Jira和ServiceNow)和通知系統(tǒng)(Slack和PagerDuty)。

11、Varonis Data Security

Varonis在數(shù)據(jù)安全領(lǐng)域擁有十多年的經(jīng)驗(yàn)，可與SIEM(例如Splunk)、SOAR(例如Palo Alto XSOAR)、防火墻、VPN、Web代理、DNS服務(wù)、ActiveDirectory、EntraID、MicrosoftPurview信息保護(hù)和Okta集成。

12、Wiz for DSPM

Wiz添加了一個名為Runtime Sensor的輕量級代理，用于檢測和響應(yīng)。除了常見的云數(shù)據(jù)源之外，它還可以掃描各種本地數(shù)據(jù)庫，例如MySQL、PostgreSQL、MongoDB及其云版本，并與超過60種不同的安全產(chǎn)品集成。但只有高級許可計劃才能享受完整的DSPM功能集。

數(shù)據(jù)安全態(tài)勢管理(DSPM)工具的五大核心能力

DSPM工具通常由以下組件構(gòu)成：

• 用于跟蹤本地數(shù)據(jù)的代理和無代理收集器
• 用于檢測和排序數(shù)據(jù)集合的集中式管理儀表盤
• 數(shù)據(jù)來源和使用情況映射
• 合規(guī)性評估模塊

企業(yè)在考察和評估DSPM產(chǎn)品時，需要重點(diǎn)關(guān)注其五大核心能力：

核心能力一：數(shù)據(jù)發(fā)現(xiàn)

DSPM產(chǎn)品的核心功能之一是幫助企業(yè)全面識別其數(shù)據(jù)資產(chǎn)，涵蓋各種類型的數(shù)據(jù)存儲庫，包括云端和本地部署的數(shù)據(jù)庫、結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，甚至是最初由IT部門以外的部門創(chuàng)建的、可能被忽視或遺忘的“影子數(shù)據(jù)存儲庫”。

不同廠商的DSPM產(chǎn)品在數(shù)據(jù)發(fā)現(xiàn)層面各有側(cè)重。例如，所有廠商均支持一定程度的云存儲庫可視性，涵蓋亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)、谷歌云平臺(GCP)和微軟Azure等主流云服務(wù)商的部分存儲空間。然而，這并不意味著DSPM產(chǎn)品可以覆蓋所有與數(shù)據(jù)相關(guān)的服務(wù)。例如，AWS提供種類繁多的數(shù)據(jù)處理服務(wù)，如S3存儲、關(guān)系數(shù)據(jù)庫服務(wù)、Redshift云數(shù)據(jù)倉庫、Athena無服務(wù)器SQL查詢和Elasticsearch托管數(shù)據(jù)服務(wù)等，但并非所有DSPM工具都能完美識別這些服務(wù)中的全部數(shù)據(jù)。Securiti公司在這方面做得比較細(xì)致，會明確列出每個云平臺支持的服務(wù)，但其他廠商的產(chǎn)品透明度則稍遜一籌。Varonis公司則采用了另一種方法，使用“通用數(shù)據(jù)連接器”來搜索更廣泛的云端和本地結(jié)構(gòu)化數(shù)據(jù)源。

值得注意的是，并非所有云服務(wù)都得到所有DSPM工具的支持。例如，Sentra不支持Azure Synapse Analytics存儲的數(shù)據(jù)，Symmetry不支持大型機(jī)數(shù)據(jù)庫以及ServiceNow和Salesforce中存儲的數(shù)據(jù)，Wiz也無法識別Databricks、啟用客戶管理密鑰的透明數(shù)據(jù)加密的AWS Redshift或Azure SQL服務(wù)器中的數(shù)據(jù)存儲。不過，隨著客戶需求的不斷增長，廠商也在持續(xù)擴(kuò)展其覆蓋范圍。

核心能力二：數(shù)據(jù)分類評估

找到數(shù)據(jù)只是第一步，后續(xù)的數(shù)據(jù)分類、評估和匯總同樣重要。如果沒有嚴(yán)格的安全控制措施，此過程可能會帶來安全風(fēng)險。因此，大多數(shù)DSPM廠商強(qiáng)調(diào)“客戶數(shù)據(jù)始終駐留在客戶的環(huán)境中”。這通常意味著使用只讀訪問權(quán)限來收集應(yīng)用程序、服務(wù)和數(shù)據(jù)庫結(jié)構(gòu)的元數(shù)據(jù)，而非實(shí)際數(shù)據(jù)本身。廠商將此稱為“無代理”或“API訪問”。這種方法的優(yōu)勢在于能夠快速掃描大量數(shù)據(jù)，從而理解其使用性質(zhì)和潛在風(fēng)險因素。

在發(fā)現(xiàn)數(shù)據(jù)并收集元數(shù)據(jù)之后，DSPM工具會定期掃描數(shù)據(jù)，查看是否發(fā)生變化，例如數(shù)據(jù)是否被復(fù)制到云端的某個未知角落，或者是否有用戶更改了訪問權(quán)限，導(dǎo)致數(shù)據(jù)暴露于更大風(fēng)險之中。這些工具可以提供跨所有云端和本地數(shù)據(jù)位置的統(tǒng)一視圖?！岸ㄆ凇笔顷P(guān)鍵所在，掃描任務(wù)可以設(shè)置為默認(rèn)周期（例如每天或每周），也可以在發(fā)現(xiàn)新的數(shù)據(jù)存儲庫時觸發(fā)。

數(shù)據(jù)在生產(chǎn)環(huán)境中的使用方式也是數(shù)據(jù)安全需要關(guān)注的方面，這包括數(shù)據(jù)管道、數(shù)據(jù)湖和數(shù)據(jù)倉庫。DSPM工具可以通過創(chuàng)建數(shù)據(jù)映射來梳理此類環(huán)境，并協(xié)助審計，以枚舉誰可以訪問哪些數(shù)據(jù)資源，以及在哪些特定情況下數(shù)據(jù)會在企業(yè)內(nèi)部共享。數(shù)據(jù)映射不僅可以起到可視化效果，更能幫助識別諸如“影子數(shù)據(jù)”被遺棄等關(guān)鍵問題。

核心能力三：數(shù)據(jù)治理與安全生態(tài)的融合

數(shù)據(jù)治理是數(shù)據(jù)安全的重要一環(huán)。DSPM工具可幫助企業(yè)分配風(fēng)險并應(yīng)用一致的安全策略來管理其所有數(shù)據(jù)集合，并與其他安全工具協(xié)作以實(shí)施這些策略并修復(fù)安全漏洞。

核心能力四：全方位的產(chǎn)品架構(gòu)

在企業(yè)網(wǎng)絡(luò)安全和數(shù)據(jù)安全防御體系中，DSPM的主要功能定位是“定位器”，負(fù)責(zé)發(fā)現(xiàn)問題，修復(fù)問題則需要一整套安全工具，例如SOAR、SIEM、CNAPP等。此外，DSPM往往與CSPM（云安全態(tài)勢管理）組合使用，前者負(fù)責(zé)找到數(shù)據(jù)，后者負(fù)責(zé)保護(hù)云基礎(chǔ)設(shè)施。

一些DSPM供應(yīng)商開始將上述“修復(fù)”工具也集成或合并到他們的DSPM產(chǎn)品中，這可能導(dǎo)致整體方案定價較高（10萬美元/年）。

值得注意的是，DSPM市場正在快速發(fā)展中，廠商正在不斷為DSPM產(chǎn)品添加新功能，或與其他安全工具集成，并相互形成各種聯(lián)盟。該領(lǐng)域的收購熱潮也已經(jīng)開始：去年P(guān)alo Alto Networks收購了Dig，Rubrik收購了Laminar Security，IBM收購了Polar Security。

核心能力五：集成與部署

大多數(shù)廠商提供兩種部署方式，既可以將DSPM產(chǎn)品作為獨(dú)立工具使用，也可以將其與第三方安全服務(wù)集成（例如Wiz和Securiti提供的服務(wù)），或作為其自身安全產(chǎn)品組合的一部分，與其他附加模塊（例如身份管理、云管理、檢測和響應(yīng)以及日志分析工具）協(xié)同工作（例如Cyera、Varonis、Wiz和Palo Alto Networks）。

不同廠商的集成能力存在差異。Varonis和Palo Alto Networks等廠商擁有更廣泛的集成支持，而IBM和Normalyze等廠商的集成能力則相對有限，甚至仍處于開發(fā)階段。企業(yè)在選擇DSPM工具時，需要仔細(xì)評估集成范圍、集成級別、包含的其他保護(hù)功能，以及哪些功能需要額外付費(fèi)都需要花一些功夫調(diào)查清楚。

DSPM產(chǎn)品的部署方式可以是完全基于SaaS的云解決方案、內(nèi)部部署服務(wù)器或?qū)Ｓ锰摂M機(jī)，或者以上幾種方式的組合。