Gartner:以数据为中心的审计和保护市场指南（节选）

 术语：以数据为中心的审计和保护（Data-Centric Audit and Protection）

安全和风险管理领导者必须使用以数据为中心的审计和保护产品，以应对对关键数据的威胁和合规性问题。 这些产品可以监控并响应恶意或不恰当的用户访问行为，数据广泛存储在本地或云井（cloud silos）中。

主要调查结果

• 跨越多个数据孤岛的数据生成和使用是指数级增长，这使得当前的数据安全方法已经过时，架构和产品选择方法需要改变。

• 大多数组织中的各个数据孤岛（data silo）由单独的团队负责，而缺少数据安全产品、策略，管理或执行层面的协调。

• 数据并不仅仅存储在各个孤岛，同时由数字业务流程和应用访问通过访问内部（ on-premises）或公有云中的结构化和非结构化孤岛而不断调整。

• 以数据为中心的审计和保护（DCAP）供应商正在迅速地通过收购来增加功能，特别是为了响应更多的数据泄露和快速变化的合规大环境（如2018年到期的欧洲新的通用数据保护条例[GDPR]）， 只有少数供应商已经在内部和云端实现了广泛的覆盖。

建议：

负责应用程序和数据安全的安全和风险管理负责人必须：

与主要业务利益相关方配合，建立组织范围的数据安全治理政策，制定适当的数据安全策略，以平衡业务目标。

为减小和应对风险和威胁，确定不同敏感数据所需的数据安全控制，然后与每个数据孤岛（data silo）的管理团队和数据所有者协调，以便在所有孤岛和应用程序中一致地应用。

确保数据安全策略考虑到了数据如何流动，如何由用户，业务流程，应用程序或大数据分析转换的。

实施DCAP战略，选择产品短名单，在存储敏感数据的所有孤岛之间协调数据安全控制。

战略规划假设

到2020年，以数据为中心的审计和保护产品将在40％的大型企业中替代不同的孤立的数据安全工具，而目前这一比例不到5％。

目前的Gartner研究涉及到了四个细分市场，这些产品正在向发展成具有关键的跨存储（cross-silo）的DCAP功能：数据库审计和保护（DAP）;数据访问治理（DAG）;云访问安全代理（CASB）;和数据保护（DP），其中包括加密，标记化（ tokenization），数据编写(Redaction) 和数据脱敏（data masking）。不同的发展轨迹意味着产品在其产品路线图中不可避免地具有不同的基本目标和功能。虽然没有单独的产品完全满足DCAP的要求，但是这些类别的产品都是跨越数据孤岛的不断发展的能力：

DAP - 这类产品已经开发了很多年，涵盖数据安全策略、数据分类和发现、特权访问管理、数据活动监测或行为分析、审计和数据保护的实施。以前，专注于RDBMS和数据仓库，少数产品开始支持Hadoop和非结构化文件共享以及DBaaS。

DAG - 有时被称为以文件为中心的审计和保护（FCAP）。通常，这类产品专注于实施数据安全访问策略、数据分类和发现，文件存储库和目录服务（如SharePoint）的活动监视和审计。这类产品与身份和访问管理（IAM）方法密切相关。一些产品也开始包含云SaaS应用的功能。

CASB -在 SaaS应用程序或云存储环境（如Microsoft Office 365，Salesforce，ServiceNow，Box和Dropbox）中保护数据的能力正在迅速增长。这类产品包含了一套不断演变的数据安全控制，跨越DCAP，数据丢失防护（DLP）和用户实体行为分析（UEBA）。 CASB通过阻止、数据编写(Redaction)、密、标记化（ tokenization）、隔离，不断发展出各种各样的数据分类和发现，访问控制，活动监控，审计和保护。这些产品通常是独立的，有些CASB可以从企业DLP产品导入策略，但其管理不与本地DLP集成（请参阅“云接入安全代理商市场指南”）。

DP - 这些产品传统上主要通过在多个数据孤岛（RDBMS，数据仓库，非结构化大数据以及一些基于云的企业文件同步和共享工具）上使用加密，标记化（ tokenization）或数据脱敏（data masking）来保护数据。但少数产品通过增加实时警报，活动监控和审计功能进行了创新。鉴于DAP和DAG产品可提供对文件或数据库内所有数据访问的监视和审计，这些DP产品通常只针对敏感数据类型。

大多数供应商已开发了通用的功能来分类和发现数据，管理和监控访问，提供可审计的报告，并提供某种形式的保护（见图1）。但是，这些功能不是同等生产的，应始终小心，以确保所选产品正确地满足您的数据安全治理策略和控制要求。

供应商跨多个孤岛整合这些功能的能力因产品而异，以下是要调查的一些关键功能的总结：

数据分类和发现 - 许多产品都配有内置的字典或搜索算法，适用于PCI，HIPAA或GDPR等合规性体系。但是不同产品的搜索能力会有所不同，例如速度和误报性能。

数据安全策略管理 - 提供单个管理控制台来管理和控制每个孤岛中的策略是期望的目标，并且随着供应商的发展而变化。

用户权限和数据访问活动的监测 - 针对所有应用程序用户和管理员访问特定数据集的权限，制定安全策略来管理和监视。

审计和报告 - 随着数据分析需求的不断增长，报告功能的需求也将随之增长。

行为分析，告警和阻断 - 根据预先选定的监测标准创建安全告警的能力至关重要，这可能会导致不同级别的警报，从违反策略到涉及访问数据的可疑行为。告警机制包括控制台显示和自动消息传递给关键安全人员，数据所有者或业务人员。可以启用其他功能，例如自动阻止进程，访问或删除权限。

数据保护 - 某些供应商提供使用加密，标记化（ tokenization）或数据脱敏（data masking）的独立数据保护工具，而另一些供应商则不提供任何工具，并且需要购买单独的供应商产品。无论是哪种情况，这些保护产品都可能不会集成到单个管理控制台中，并需要与数据安全策略进行仔细的协调。

一些供参考的收购行为：

• Forcepoint acquires Skyfence from Imperva (January 2017)

• Huawei acquired HexaTier (December 2016)

【注：华为收购了以色列的云数据库安全公司，4200万】

• Elliott Management and Francisco Partners acquired Dell Software Group business and renamed it Quest (November 2016)

• Symantec acquired Blue Coat (June 2016), which had previously acquired Elastica and Perspecsys

• Cisco acquired CloudLock (June 2016)

• Oracle acquired Palerra (September 2016)

• Imperva announces CounterBreach — an integrated DCAP behavior analytics product integrating its Skyfence CASB and on-premises SecureSphere products (March 2016)

• Blue Coat acquired Elastica (November 2015)

• Symantec sold Veritas to an investment group led by The Carlisle Group with DLP remaining with Symantec and DCAP moving to Veritas (August 2015)

• SailPoint acquired Whitebox Security (July 2015)

• Blue Coat acquired Perspecsys (July 2015)

• Imperva acquired Skyfence (February 2014)

本“市场指南”中列出的供应商并不意味着完整清单。