江苏龙网

  1. 主页 > 生活百科 > >

CISA零信任成熟模型2.0完整解读( 八 )

CISA


数据  数据包括驻留或曾经驻留在系统、设备、网络、应用程序、数据库、基础设施和备份(包括本地和虚拟环境)以及相关元数据中的所有结构化和非结构化的文件和片段 。
按照联邦政府要求 , 各机构的数据应该在设备、应用程序和网络上得到保护 。各机构应清点、分类和标记数据;保护静止和传输中的数据;并部署检测和阻止数据外泄的相关机制 。各机构应仔细制定和审查数据治理策略 , 以确保在整个企业中适当地执行基于数据生命周期的安全管理 。
下表列出了零信任架构中“数据”的相关功能和能力 , 及其在可见性与分析、自动化与编排 , 以及治理方面的考虑 。
功能
传统阶段
初始阶段
高级阶段
最佳阶段
数据清单管理
人工识别部分数据(例如 , 关键业务数据) , 并为其建立清单 。
采用自动化的数据清单流程 , 覆盖本地和云环境中的大部分数据 , 并引入防数据丢失的保护措施 。
在企业范围内自动建立数据清单和跟踪 , 覆盖所有适用的机构数据 , 并采用基于静态属性和/或标签的数据防泄漏策略 。
持续维护所有适用数据的清单 , 并采用强大的数据防泄漏策略 , 动态阻止可疑的数据泄露 。
数据分类(新增)
采用了有限的、非正式的数据分类 。
实现数据分类策略 , 具备明确的标签定义和手动执行机制 。
以一致、分级、有针对性的方式自动化了一些数据分类和标记过程 , 并使用简单、结构化的格式和定期审查来管理 。
通过强大的技术和机制 , 在企业范围内采用细粒度、结构化格式自动对所有数据执行分类和标记 。
数据可用性(新增)
主要由本地数据库提供数据 , 同时提供了一些异地备份 。
可以从冗余、高可用的数据存储库(例如 , 云)中提供一些数据 , 并为本地数据维护了异地备份 。
主要从冗余、高可用的数据存储库中提供数据 , 并确保可以访问历史数据 。
使用动态方法根据用户和实体的需求调整优化数据可用性 , 包括历史数据 。
数据访问
通过静态访问控制 , 管理用户和实体的数据访问(例如 , 读取、写入、复制、授权他人访问等)权限 。
开始部署自动化的数据访问控制 , 在企业范围内引入最低特权原则 。
在自动化数据访问控制中 , 考虑采用各种属性 , 如身份、设备风险、应用程序、数据类别等 , 并在适当情况下进行时间限制 。
在企业范围内自动执行即时(JIT)和恰到好处的数据访问控制 , 并持续审查权限 。
数据加密
只对必要的数据进行最低限度的加密 , 包括数据存储和传输过程中的加密 , 并依赖手动或临时流程来管理和保护加密密钥 。
对所有传输中的数据进行了加密 , 可行的话 , 还对数据存储(例如 , 关键业务数据和存储在外部环境中的数据)进行了加密 , 并开始规范密钥管理策略和强化加密密钥 。
尽最大可能对企业范围内的所有存储、传输数据进行加密 , 开始采用密码敏捷性 , 并保护加密密钥(即 , 不使用硬编码密钥 , 并定期轮换) 。
在必要时 , 对使用中的数据进行加密 , 在企业范围内执行最小权限原则以进行安全密钥管理 , 并尽可能使用最新的NIST标准和密码敏捷性来应用加密技术 。
可见性和分析
对数据位置、访问和使用的可见性非常有限 , 主要依赖手动流程进行分析 。
通过数据清单管理、分类、加密和访问尝试来获得可见性 , 还结合了一些自动化分析和相关性分析 。
采用自动化分析和相关性分析 , 在企业范围内维护更全面的数据可见性 , 并开始采用预测分析 。
能够全面跟踪数据生命周期 , 具备强大的分析能力 , 包括预测分析 , 支持全面的数据视图和持续的安全状况评估 。


推荐阅读


上一篇:为什么从 MVC 到 DDD,架构的本质是什么?

下一篇:14个让你惊艳的JavaScript Web API!