《数据安全中台极简数据保护解决方案》由会员分享,可在线阅读,更多相关《数据安全中台极简数据保护解决方案(22页珍藏版)》请在金锄头文库上搜索。
1、数据安全中台极简数据保护解决方案,目录,01 于安全风险趋势与数据安全保护挑战 02 腾讯于数据安全中台解决方案 03 极简于数据安全保护方案最佳实践,01 于安全风险趋势与数据安全保护挑战,云安全风险趋势,数据来源: RightScale, Crowd Research,影响于计算产业发展和应用的最普遍、 最核心的制约因素就是于计算的安全性和数据私密性保护。 - 国务院发展研究中心 2019年10月12日,2019年全球重大数据安全事件,6月,10月,3813起 41亿 54%,Risk Based Security 7月:美国第七大银行美国Capital One数据泄露,涉及1亿用户 9月
2、:Facebook数据库未采取保护措施,涉及4.19亿用户数据 9月:全球医疗数据或遭大规模泄露,中国涉及近28万条患者记录 9月:厄瓜多尔国家级数据泄露事件发生,涉及2千万人,国际社会已有成熟的数据安全法规及监管条例,PCI DSS,HIPPACSA,SOX,SOC,GLBA,EU GDPR,HK CAP 486,Facebook,英国航空,2.3亿美元,万豪集团,1.24亿美元,50亿美元,数据安全领域,国家加快了密码立法步伐,2017年7月,18,2018,2018年3月,2019年6月,GM/T 0054 信息系统密码应 用基本要求,关键信息基础设施安全 保护条例(征求意见稿),密码法
3、进入人 大年度立法计划,网络安全等级保护条例 新国家标准正式发布, 明确密码评测重要性,密码法草案 首次提请审议,2019年10月,密码法二审 通过,正式发布,数据安全生命周期风险及防护关键难点,数据产生和获取,Data at Rest,Data in Transit,Data in Use,数据退役和销毁,数据访问监控和响应,数据合规和治理 难点1:分类、治理和策略难点2:DaR/DiT/DiU加密技术,难点4:事件监测分析,难点3:密钥管理,02 腾讯于数据安全中台解决方案,解决数据安全核心三难,云数据安全中台,数据安全 中台,HSM/SEM 数据加密软硬件服务,KMS 密钥管理系统,Se
4、crets Manager,凭据管理系统,数据获取,CKafka Redis CMQ Stream API,事务处理和检索,MongoDB ES Postgresql MYSQL TDSQL,分析与数据服务,API COS CFS VPN CBS CVM,数据访问与消费,原始数据归一,智能分析,决策与反馈,于数据安全中台服务,身 密 应 份 钥 用 认 管 加 证 理 密,网 计 凭 日 可 络 算 据 志 视 加 加 托 审 化,密 密 管 计 管,理,TDSQL,Sparkling Snova BI EMR TI,云数据安全中台架构,管控层,中间件层,于产品层,接入层,加密基础组件,专用密
5、码应用组件,CASB 客户侧加密组件,统一密码应用接入服务(加密应用API、SDK),运算层,CMQCOSCBSTDSQLMYSQL亏联网、政务、金融、行业业务系统,TLS/SSL 传输加密,KMS,Secrets Manager,SGX/TEE安全计算环境,数字签CA证书 名验签服务,物联网 加密,GVSMEVSMSVSM CloudHSM密码服务实例,SEM SEM 软件加密库SDK,SGX,SGX,密码资源统一监控,密码资源统一管理密码资源劢态调配 业务调用统计分析,告警策略配置日志审计管理,03 极简于数据安全保护方案最佳实践,典型场景概览,Client,本地数据,Server,配置文
6、件,Server,金融支付, ,如何保障网络通道的安全? 本地敏感数据如何加密保护? 数据加密和传输,密钥如何管理? 敏感配置文件、硬编码问题如何解决? 数据上于如何安全存储? 金融支付等敏感应用如何安全合规? 怎样实现国密化改进?,凭据管理,KMS,SSM,国密TLS,Encrypt,SDK,基亍KMS传输加密 数据分享、备份,存储存储透明加密 MYSQLCBS,基亍KMS加密,基亍KMS解密 ,VSMVSM CloudHSM,VPC,Client,KMS应用:敏感数据加密,场景 敏感信息本地加密,加解密频率低 痛点 密钥安全、授权管理、密钥存储 方案 KMS细粒度权限管控、子账号授权 基亍
7、硬件加密机的计算资源、多语言SDK,KMS应用:信封加密,场景 本地高性能加密 痛点 密钥安全、DataKey管理,国密算法 方案 KMS Encrypt SDK、国密、容灾、DataKey缓存 多级密钥管理、信封加密,KMS应用:云上数据安全存储,场景 于上数据加密存储 痛点 加密应用复杂,业务接入工作量大 方案 于产品和KMS集成提供透明加密 用户无感知,Secrets Manager应用:敏感信息托管,场景 敏感配置加密、硬编码敏感信息保护、权限控制 痛点 敏感信息泄露问题、权限职责难以控制 方案 Secrets Manager 结合KMS 提供安全凭据托管 全链路加密保护、细粒度权限管
8、控,SSM 敏感配置信息托管示例,配置文件: app.ini mysql connString=user:pwdtcp(10.x.x.x:1234)/db_a?charset=utf8 初始化: func DbInitDemo() dbConnect, _ := sql.Open(mysql, conf.MysqlConnStr) dbConnect.Ping() ,接入前,SSM 敏感配置信息托管示例,初始化: func DbInitDemoSsm(client *ssm.Client) request := ssm.NewGetSecretValueRequest() request.Se
9、cretName = conf.MysqlConnStrName request.VersionId = conf.MysqlConnVersion rsp, _ := client.GetSecretValue(request) dbConnect, _ := sql.Open(mysql, rsp.Response.SecretString) dbConnect.Ping() ,配 置 文 件 : app.ini mysql connStringName=DB_A versionId=V1.0,接入后,CloudHSM 云加密机的应用,场景 金融支付、电子票据、区块链等 痛点 硬件加密机成本高、管理复杂 方案 CloudHSM于加密机、弹性分配资源降低成本 虚拟化和VPC 网络绑定,谢谢聆听!,
