大部分数据泄密事件都是内部员工有意或无意造成的。例如,员工把机密的规划设计图纸、核心源代码拿出去卖,或者涉密设备、U盘的丢失,员工中了病毒木马后导致的数据泄露等等。
怎样解决员工泄密问题呢?常见的终端数据防泄密技术包括:DLP、云桌面、终端数据隔离(终端沙箱)、远程浏览器隔离(RBI)等等。
一个完整的零信任解决方案应该包括终端数据安全,将数据防泄密技术融入零信任架构,根据零信任的细粒度安全策略,执行敏感数据的访问控制。
下面就来梳理一下零信任的终端数据安全方案。
零信任终端的安全闭环
从获取数据的角度看,零信任的“动态访问控制”能力可以保证——只有合法的用户设备才能访问敏感数据。但下载到设备上的数据,仍有可能被用户故意泄露。
所以,一个完整的零信任方案必须具备“终端数据安全”能力,才能形成一个完整的闭环。不能让用户通过零信任下载的文件,随随便便就被外发、拷走了。
零信任与终端数据安全技术的融合
零信任可以分别与DLP、云桌面、终端沙箱、RBI等技术融合,以终端数据安全状态为准入条件,执行零信任访问控制。
零信任架构中,网关是数据的统一入口。零信任可以在入口处,要求用户必须使用某种安全软件,才能访问对应敏感级别的数据。
例如,用户访问敏感数据时,零信任客户端可以检查用户设备上是否装了DLP、终端沙箱等安全程序,检测访问请求是否是从云桌面或沙箱容器中发出的,零信任系统可以与数据安全后台对接,检查该用户的管控策略是否足够安全,是否满足访问敏感数据的要求……综合评估用户的可信等级之后,才允许访问。
而且,企业可以在建设零信任架构时,根据场景需求选择不同的技术。例如,零信任可以要求必须在终端沙箱中,才能编辑核心源代码;必须在云桌面里才能进行安全运维;第三方合作伙伴必须通过RBI访问供应商管理系统等等。
终端数据安全方案分类
在各类技术方案中,云桌面、DLP技术太旧、口碑差,RBI技术太新、不成熟,目前最受期待,我认为最适合大面积推广的就是“终端数据隔离”技术。
数据隔离技术的成本比云桌面更低,适用场景比RBI更多,体验和安全性比DLP更高。实际上,目前国内大部分安全厂商的零信任方案中,都已经带有终端数据隔离(终端沙箱)功能了。
数据隔离技术与零信任的关系如下图所示:
终端数据隔离技术分类
简单来说,数据隔离技术就是把企业敏感数据“加密存储”,与用户的个人数据隔离开,只有合法用户才能访问加了密的数据。
数据隔离技术一般都要靠客户端实现。
(1)装了数据隔离客户端后,用户下载文件时,客户端会将敏感文件加密存储在硬盘上。
(2)用户打开文件前,客户端会校验用户身份和权限。
(3)身份、权限合法时,客户端才会将文件解密,用户才能打开使用。
(4)非法用户无法打开文件。
终端数据隔离技术中最关键的就是“加密”。根据加密方式的不同,终端沙箱技术可以分为两类——文件加密、磁盘加密。
1、文件加密
客户端会在操作系统存储和读取文件的过程中做一些手脚(hook相关方法)。在用户下载文件时,检查该文件是否属于企业的敏感文件(根据后台配置),用户设备是否合法。是的话,就加密存储。在用户打开文件时,检查用户设备是否有权限打开。有的话,才进行解密。功能特点如下:
2、磁盘加密
客户端会在初次使用时,创建一块安全区(可能是一个虚拟盘)。然后对整个“区”进行加密。用户下载的敏感文件加密保存在安全区内。用户打开文件时,如果用户设备合法,则允许从安全区中解密、打开。
2.1 安全空间
用户在安装带有终端沙箱功能的零信任客户端之后,初次启动时需要创建一个“安全空间”。创建后,可以看到磁盘上多了一个虚拟镜像文件。用户下载的企业文件都会保存在安全空间,也就是存在这个镜像文件中。这个空间中的文件只能通过专门的客户端打开、访问。
2.2 两种客户端形态
常见的客户端有两种产品形态——双桌面形态、桌面插件形态。两种形态的主要区别在于访问空间内文件的方式是不同的。
双桌面形态的功能特点
桌面插件形态的功能特点
从云基于零信任的终端安全思路
源于零信任(先认证再连接、动态授权),补齐终端的安全短板(终端数据防泄露与威胁隔离),实现“端管云”都安全。
