Dave Martin谈不同类型设备的数据访问策略

2011年11月2日RSA Conference 2011信息安全国际论坛在北京中国大饭店举行。EMC公司首席安全官Dave Martin介绍了EMC是如何管理企业中所有类型设备的数据访问,并制定安全策略。

Dave Martin谈不同类型设备的数据访问策略

EMC公司首席安全官Dave Martin

每当有人把Ipad和Android这类的设备带到工作环境,他们会问为什么会阻止相关访问,其实应该变换一下对话,如何用传统技术和技巧帮助我们处理一些问题,如何才可以帮助他们进行数据访问。管理中你会发现,这次可能是Android的设备,可能下次是另外一种应用,另外一种网络。所以每一种设备会有不同的访问,不同的控制,会有不同数据的访问。摆在我们面前的是多种多样的网络类型,包括蜂窝数据和网络数据等等,还有不同的平台,比如一分钟前他们用笔记本上网,之后使用移动手机上网,有不同的控制台,有不同的应用程序。

如何对这些类型进行分类,并制定合规的准入规则。我们希望数据所有方能有效或者说正确的应用程序,应用程序的提供方也要确保用户能访问正确的数据。

实际上我们能阻碍风险的可能性会越来越少,因为总是会出现新的平台,不的应用。Dave Martin提到,我们要知道他们都是什么样的应用开发程序,他们要保护什么样的数据。另外我们要看一下人们在每次访问数据的时候,需要不同的身份认证,我们要把这个和风险环境结合在一起,那也就是说,要考虑到企业的内部环境,在企业内部环境之中,哪些事情更加重要?有的时候事情太多,你必须进行自动化的监测,我们要尽全力列出哪些事件是最重要的。此外我们要把这些和企业应用,企业数据架构建立在一起,我们需要知道真正监测的数据是什么,并且作出相关反应。我们要证实合规方面我们的确是可控制环境当中,另外要微调,调整自己的策略获得成功。

“另外一点就是治理, EMC在过去12个月当中制订的治理结构,过去是传统单层的架构,传统而言,我们有一个安全团队,他们主要是进行风险分析,包括我自己,还有更高层的安全总裁。所以在我们的讨论当中,我会和我的高管在一起,告诉他们我所看到的安全风险,给我们一些资金,有的时候需要派出专门人才配合我们改动。如果在公开模式下,我必须确保秩序在合适情况下公开,所以我需要高管给我支持,我经常需要参加一些会议,这些会议上企业代表会告诉我们风险,以及他们需要我们进行的风险控制。” Dave Martin同时强调,有的时候,其他部门的经理也会提出一些质疑,为什么需要绕过安全控制,这实际上是一个很大的变化,这能确保我们并不是由高管执行相关策略,尽管这个很重要,但在不同架构,不同级别,我们也要执行相关策略。所以有业务经理的人向我提出质疑的时候,我可以给他看这个流程表。我觉得每一级业务和相关团队都应该获得支持,这一点很重要。

政策控制规划,我们已经制订了相关目标,我们需要向我们策略进行映射,而且我们还需要将他们做的可测量。所以今天我跟大家提到合规的时候,无论是内部合规机构,还是外部审计员,还是内部审计员,我们都需要确保我们安全项目是合规的,而且我们还需要对其进行测量,看看这些策略是不是有效,让我们效率更加客观。

在风险控制的时候,我们需要确保我们有服务的主线帮助我们提供服务,而且我们还需要对不同类型的数据部署不同类型的控制,还需要对这些数据进行维护。

Dave Martin介绍了传统上实施这些工作的方法,可能需要随着时间推移来变化。毫无疑问,我们需要不断建造起这样的架构,我们需要公共数据,还有不同类型的数据,包括敏感数据,我们还需要适应,比如应用层上,我们也可能有一些敏感数据,但是这些应用可能位于一个不可靠的平台上,谁有可能访问这些数据,我们也需要控制。还有对知识产权来说,我们也面临一些挑战,有可能访问会被阻拦。

传统的模式,对于终端用户来说,面临困扰是如何获得数据,面临海量数据,他们会选择合适的设备,获得数据之后,也需要了解他们遇到什么样的用户,他们如何访问这些信息呢?基于地理位置,以及基于网络使用种类,无论是内部还是外部的办公室,他们是不是使用虚拟化的桌面,还是使用物理机等等,都需要打造一个连贯的体验,这样随着时间推移,用户就会习惯,他就知道我要获得数据需要什么样的系统。所以一开始我们要让用户知道他们想要读取的不同数据。而且我们要帮助他们实现这个目标,这个实现方式跟我们今天做法是不一样的,我们不能把一个信息进行阻隔或者拦截就够了,我们需要提供安全访问的途径。

今天所拥有的控制,比如在VPN的网络中可能容易做到,但不同类型的设备我们需要考虑,比如IPAD和IPOD就需要做加密,数据加密,需要进行远程的读取,我们需要更多的可用性。这是从用户的角度来说这是未来的挑战,今天我们没有办法实现这一点,但是我们应该有能力管理Windows操作系统,IOS的操作系统等等,我们有这么多平台,每个平台都有不同的控制,那么不同平台是不是可以用同样的设置,我们需要一个地方来管理这么多的平台,而且我们也需要一个地方对员工进行管理教育。

在Dave Martin看来,这些应该是网络中越来越常见的威胁,比如CPU和电池寿命在不断增加,这是很好的事情,但是很多CPU的增长和电池寿命增加并不是做安全性能的,所以我们需要考虑网络层面上的安全控制。我们还需要在后台应用方面,还需要更多的考虑是不是能保持安全的连贯性,从而创造连贯一致的用户体验,如果我们能让用户简单的知道在哪里可以获得数据的话,而且他们进行访问的时候就做一次认证,对于认证来说,如果认证太复杂的话,他们使用我们的系统这种可能性就越小,因为我们觉得对于用户来说,我们所配置的环境是会越来越平缓,我听到很多人说,一切都已经成为服务,混合云,还有环境,现在都推出以应用和设备为导向的版本,这样可以更好的引导人们使用信息,我们必须推出简单的一致的用户体验。

最后,我们目前还需要进一步确保我们在不同平台上尽可能多的获得信息,以及尽可能多的日志,而且这些事件源越来越多样,这些会越来越智能,而且还有智能系统会对它映射,这样就可以控制检测,积极响应。所以今天,我们可以将日志放在中央平台上,但是我们加入到智能化的应用方面还不是特别顺畅,目前还没有办法很有效的对日志进行智能化的应用,我们需要更好的将这些信息映射到组织中,了解我们用户他们在哪里,过去一小时中有什么活动,过去一天,过去三天有什么活动?这样可以优秀排序,帮助我们了解哪些数据是最重要的,哪些基础架构是最重要的,然后映射到风险环境来应对措施和采取控制措施。

同时需要报告给企业领导人,让他们了解我们安全并不是没有作用的,有时候有一些公司高管对IT部门并不是特别感兴趣,但是通过这样的日志和报告可以证明IT部门工作是非常有价值的。Dave Martin强调,在日常管理工作中,需要了解每天每人都会需要的不同平台,使用不同的设备访问不同的数据,所以需要采取不同策略,让这些数据可以得到控制并正确作出决策。