随着数字化转型进入深水区，几乎所有企业的数据管理方式都在发生转变，从基于网络的数据中心管理数据转向将其存储在云中，也因此建立起云数据安全策略来保护云环境中的这些数据。随着越来越多的数据迁移到云端，安全策略必须要能够适应广泛的数据存储、位置、用途和环境，包括公共云、私有云、混合基础架构和多云环境。

(资料图片仅供参考)

可以理解，企业内部的安全团队希望在实施这些安全策略时检查所有相关的复选框，以确保全面的覆盖。然而，在这个过程中，非常容易滋生企业管理者对安全团队最常见的不满——安全在限制和阻碍业务创新。

以下是安全团队在定义和实施云数据安全策略时应注意和避免的几个陷阱：

赶不上趟的手动文档流程

开发团队利用云中数据的优势来生成越来越多的云数据存储和工具，他们会通过不断地试错来保持这种创新的步调，与此同时，这使得安全性很难同步跟上这些新的或经过重大修改的数据存储的过时的手动文档。

如果安全团队试图限制这些尝试过程，开发团队就不太可能顺畅地探索最前沿的新兴技术，那么企业的业务创新就会受阻。更令人担忧的情况是，开发团队可以通过使用非标准和未经批准的解决方案，就像刷信用卡一样轻松地绕过安全性。现有的手动流程只会记录既定的内容，这是一个日益严峻的挑战。

缺失的数据跟踪

一些安全人员可能认为这第一个坑与自家企业无关，因为很多企业都允许数据在云环境中不受限制地自由移动或修改。

虽然有利于业务开展，但这种方式忽略了数据的指数级增长态势，以及高频的数据跨域存储和传播趋势，这就导致几乎无法定位数据所在的位置。这种缺乏可见性和跟踪控制性的局面将不可避免地导致在此过程中丢失或滥用敏感的个人或客户数据。数据已经成为重要的生产资料，数据变形、越权使用、数据泄露将导致严重的后果。

数据访问边界枷锁

管理不同人员对数据的访问对于确保数据不被滥用或丢失至关重要，负责业务实施和业务创新的团队都需要经常访问数据，如果围绕数据使用创建严格的访问控制策略和边界在本质上会形成数据孤岛，再次限制创新。

安全团队应该将这些访问策略视为支持协作业务创新的机会，而不是因为害怕失去对数据的控制而阻碍创新。如果访问管理不是高度自动化、自适应，并且能够根据需要快速调整的，那么避免阻碍业务流程的唯一方法是广泛授予访问权限，从而将企业置于风险之中。换句话说，发展和安全必须同步抓，不能顾此失彼。

没有存储足够的数据

试图过度控制数据访问和使用的企业不仅不愿意提供对现有数据的访问权限，而且如果没有他们认为的新数据，还会限制他们认为是新的“不必要”数据的存储。正当的理由。同样，这种限制性的数据安全策略会把业务创新机会和安全风险一起抛弃。

安全团队必须考虑到，对企业有益的新趋势、最佳实践或创新想法可能“隐藏”在他们禁止的数据中。如果有适当的流程在需要时删除此类数据，则无需进行此类限制。安全团队需要摆脱传统的 IT 安全管控思维，因为有价值的安全团队应该与开发团队合作起来，成为业务的推手和赋能方。

没有使用正确的数据存储技术

随着每一项新技术投入使用，数据存储技术可能需要特定的熟练程度。过多的安全解决方案可能会导致运营混乱，并难以确定存储在其中的数据是否安全，从而导致安全团队放弃添加新技术。这种保守的方法可能会再次阻碍创新，或者更糟——导致团队使用错误的方法和流程。

随着数据存储技术与业务用例一起不断发展，安全团队必须跟上他们在企业内部的发展进度，能够可靠地洞察组织安全状况的工具与存储无关，可提供控制符合策略和标准的安全保证。

无故删除数据

尽快从云基础设施中删除数据已成为安全团队的一种常见做法，因为他们越来越担心失去对数据的跟踪或控制权。这是另一种短视的创新方法，因为新兴技术可能需要这些已删除的数据。

如果对在不删除现有数据的情况下控制现有数据的能力没有足够的信心，包括确保数据没有超过允许的保留期，安全团队将继续限制创新进展。使用正确的、适合的工具，安全团队将深入了解数据的位置和使用情况，并能够就其保留做出明智的决策。

探索新的数据安全策略

可以看到，要解决这些陷阱和差距，需要安全团队在业务发展和安全管理之间找到适当的平衡。“创新和安全是矛盾的”的论调已经过时，企业既需要保持创新以在数字化转型中完成业务升级，增强竞争力，同时也需要保障数据的安全访问、安全使用、安全共享。

总结而言，以上多条安全策略的陷阱都在于两点，一是传统的安全边界防护思维不适应云环境中数据快速产生、传播的特性，二是访问、使用、存储的管理机制缺乏对数据的完整可见和持续跟踪，因此无法制定有效且恰如其分的安全措施。

因此，就如同DevOps流行之后，将安全嵌入其中形成DevSecOps，为开发闭环创造了良好的安全性——在数字化时代的DataOps流程中，将安全视为DataOps的一部分，以敏捷、整体的方式在其嵌入安全属性，DataSecOps将用于控制和协调不断变化的数据及其用户，让数据能够更快捷、更安全地创造提供价值。

DataSecOps的核心是数据安全的左移，在数据运营的第一现场持续地对数据处理和使用全流程进行追踪，这样才能监测到数据经变形处理流转的整个过程，直面数据的多态性和多副本性，发掘数据风险的真正源头。

目前，国内外已有DataSecOps的相关应用实践。国际上，诸如BigID、Satori等厂商已推出相关产品，并获得了成功市场验证。国内而言，数据安全厂商数安行作为国内DataSecOps的首倡者，建立有数据运营安全平台，以零信任数据安全架构为基础，以人工智能技术为核心驱动，对数据业务全流程进行无改造映射，以数据为中心，向频繁接受数据的业务和用户靠近，对数据运营过程中的数据进行自动的梳理，全流程跟踪数据的形态变化和运行轨迹，持续评估数据在业务系统计算终端、服务器接口等处的运行风险。基于风险评估结果，对不同数据角色和风险接受程度进行自适应的细粒度的防护策略。

在未来，云数据的产生量与使用量只会继续增加，数据的应用场景也会变得更加复杂。数据安全与数据开发利用是同步建设、同步发展的伴生关系，现阶段的数据安全更多将会向平台型发展，将数据进行完整统一的映射，形成统一的梳理识别、统一的数据身份、统一的管控策略，在自动化的监测下，实现数据安全的最佳保障。

责任编辑：