某大型企业数据安全建设实践：数据安全从“零信任”访问控制开始

科技 08-11 来源：芯盾时代

数字化时代，数据就是新的石油，其价值正日益凸显。最近T-Mobile和IBM两个巨头用不同的方式给数据“定价”：针对2021年大规模数据泄露事件，美国T-Mobile达成3.5亿美元和解协议；IBM发布了《2021年数据泄露调查报告》，指出2022年全球数据泄露事件的平均成本高达435万美元，可见数据安全关乎企业命脉绝非危言耸听。

数据安全很重要，但想做好数据安全并不容易。随着业务应用越来越多，应用中数据的访问量越来越大，企业普遍需要面对一系列的问题：如何保证数据访问者的身份可信？如何对重要数据进行精细的访问管控？如何对风险访问快速做出响应？如何实现数据的脱敏和追溯……某大型企业（以下简称A公司）也在寻找这些问题的解决方案。

案例背景

A公司近年来加速数字化转型，大量的业务从线下转移至线上，业务应用由原来的十余个增加至近100个，在推动企业快速发展的同时，也带来了一系列的安全问题：

1.敏感数据无法动态脱敏：A公司的各种业务应用中存在大量用户的敏感信息，如身份证号、手机号等，A公司希望对这些数据进行动态脱敏，只允许有权限的访问者查看完整数据，其他人访问这些数据需提前申请权限。

2.数据泄露后无法溯源：针对业务应用各自孤立、数据泄露后难以溯源的问题，A公司需要对多个业务应用的访问日志进行统一管理，定期进行合规审计，同时要求业务应用可以自定义添加水印，粒度越细越好。

3.身份认证安全性不足：A公司的业务应用多采用“工号+密码”的认证方式，少数核心应用增加了短信验证码进行二次认证，认证的安全性不足，面临着账号密码被恶意窃取的风险，A公司迫切需要实现多因素认证功能。

4.无法监控用户环境风险和访问行为：A公司原有的业务应用多为B/S架构，无法检测终端用户的登录设备和网络环境是否安全，无法持续监控用户的访问行为是否存在风险，不具备自适应访问控制能力。

5.测试环境暴露在互联网上：A公司的测试环境完全对互联网开放，很多业务应用在其中进行测试，多家软件供应商需要远程访问测试环境，A公司需要对测试环境进行改造，缩小其在互联网上的暴露面。

方案设计

芯盾时代零信任访问控制网关（ZCG），打破传统以网络边界为信任的条件，从身份、设备、行为等维度展开全方位防护。ZCG运用SPA单包授权及应用代理技术，在人员、设备及业务之间构建软件定义的虚拟安全边界，对业务和数据等资源的访问授予细粒度的最小权限，进行动态访问控制，提升企业持续性安全管控能力。

针对A公司在数据访问控制上的痛点，芯盾时代采用零信任访问控制网关（ZCG）对其进行了网络改造，实现了覆盖事前、事中、事后的全流程闭环访问控制。

1.事前：核查终端设备安全基线，保证用户环境安全；实施多因素认证，保证身份安全；应用反向代理，缩小资源暴露面；

2.事中：数据动态脱敏，提升数据访问安全性；页面级细粒度访问控制，动态调整访问权限；

3.事后：页面级自定义水印，精准追溯数据源；全局访问日志信息，全面审计访问行为。

客户价值

使用芯盾时代零信任访问控制网关（ZCG）后，A公司一站式实现了数据脱敏、页面级水印、多因素认证、动态访问控制、应用资源隐藏等功能，对业务数据访问行为的管控能力明显提升：

1.数据动态脱敏，实现敏感数据精细管控：芯盾时代ZCG内置多种脱敏模板，支持对脱敏页面、脱敏用户、脱敏内容、脱敏字段长度的自定义。借助ZCG，A公司按照数据重要程度灵活设置脱敏策略，重点应用实现页面级动态脱敏，缩小了敏感数据的访问范围；建立了脱敏白名单，对访问者进行精准的权限管控，有效降低了数据泄露的风险。