全球云端数据看护者
在持续的数字化转型的推动下,越来越多的中国企业和组织为其未来业务发展拥抱云优先战略,毕竟可扩展性、灵活性、可预测的成本和大量减少的资本支出的优势促使公司将越来越多的应用程序、计算工作负载和数据迁移到公有云。而持续的 COVID 后疫情时代也迫使很多企业员工采用在家与办公室的混合办公模式,进一步增加全球云的采用率。数据正迅速成为每个组织最有价值的资产。尽管云技术平台在全球取得了快速发展,但许多用户—尤其是在高度监管的行业中的用户仍然对将他们的数据放在公有云中持谨慎态度。在企业使用云平台技术时,安全和数据保护已经成为重中之重。SAP 全球云端数据看护者 (SAP Data Custodian) 是一个支持全球多云的 SaaS 服务,确保企业可以管理掌握自己全球跨多个云平台云端的数据安全、隐私控制权和透明度,以确保遵守外部越来越多和复杂的数据保护与传输法规。
对于在全球运营的公司而言,一方面既要面对类似欧盟 GDPR 、美国联邦数据保护法 (FDPA) 、加利福尼亚的 CCPA 等立法挑战要求IT领导者满足更高的数据治理标准,另一方面,在现代商业环境中,数据传输已成为全球许多不同公司的核心流程。因此,全球化企业还要面对类似 Schrems II 的判决案(1)阻止跨国的数据传输的阻断所导致的业务停顿的风险。最近,某著名全球社交媒体T企业由于面临美国政府监管的压力已将“美国用户数据的默认存储位置”更改在美国,旨在解决企业的美国员工掌握美国用户数据是如何流动的,并得到合适的许可知道如何处理自己访问数据就是一个例证。破解 Schrems II 的困局之一就是帮助企业实现数据加密。通过加密数据,企业可以确保第三方无法访问在区域之间传输的敏感信息。这与有效的加密密钥管理系统相结合,可以在很大程度上确保组织遵守法规。企业破解困局首先要明确与云服务方如【图一】所示的“共享责任”。
【图一】企业与云服务方的共享数据保护责任
借助 SAP 云端数据看护者 (SAP Data Custodian),(2) SAP 提供了一个原生多云、完全托管的 SaaS 解决方案【图二】,帮助企业的 IT团队能够监控其数据的位置和处理位置以及访问或修改数据的人员,获悉他们的数据不会受到未经授权的访问。SAP Data Custodian 旨在为用户在公有云场景中提供透明度和控制权,第三方可以控制数据存储和处理。它使用户能够管理其数据的存储和处理位置,报告数据的访问和移动,并获得主动警报以识别潜在的安全漏洞或策略违规行为。
【图二】跨公有云平台上的 SAP 数据看护者
SAP Data Custodian 方案概要介绍
SAP Data Custodian 是一种多云软件即服务 (SaaS) 解决方案,可保护公共、私有、混合或多云环境中的客户数据。它由两个主要服务组成:透明度和控制服务 (SAP Data Custodian Transparency and Control Service) 与密钥管理服务 (SAP Data Custodian Key Management Service)(3)。透明度和控制服务 TCS 为客户提供增强的云数据和资源监控功能,包括策略定义、活动监控、上下文访问控制和合规性管理,以在全球范围内实施数据安全和数据保护要求。密钥管理服务 KMS 则提供简化的加密密钥配置、控制和监控服务,以保护存储在公共、私有、混合和多云环境中的敏感数据。
1 透明度和控制服务TCS
传统意义的访问控制是基于角色分配创建用户,并设定用户访问权限级别规则。对于 ECC 升级到 S/4 HANA OP 本地部署的权责分离风险的再设计与防范可以参照笔者之前的文章《SAP GRC 如何帮助企业管理迁移升级S/4时的职责分离风险》。
云时代的访问控制的策略设计是多方面的,根据许多因素做出授予或拒绝访问的决定,而不仅仅是用户的角色。我们关心的新的权责分离风险更多来自于上下文语境,比如用户所在的位置、国籍、设备、请求类型和请求时间等因素也会被综合考虑。例如,如果员工在早上六点尝试通过陌生的 wifi 从咖啡店访问敏感数据,则该请求的风险等级远高于工作时间从办公室桌面发出的访问请求。
SAP Data Custodian 凭借独特的“Union”概念 (Union 是一组特定地区、国家或地区的政策,可以是一组支持 GDPR 合规性或特定国家或地区特定数据保护法规的政策。SAP Data Custodian 的用户可以指定 Union 时间范围和随时启用或禁用 Union)。企业可以将他们的数据限制在特定地理位置或全球云中的一组地理位置。例如,这些地理位置可以是一组国家/地区,这些国家/地区提供了由欧盟委员会确定的足够水平的数据保护。
SAP Data Custodian 策略引擎使企业能够灵活地为Union配置定义的数据放置、移动、处理和访问策略。策略是 Union 内的一组包括管理系统与外部法规在内很多参数在内的一组规则,这些规则确定可以对云资源执行哪些操作,是高度可定制的,并且在进行更改时会自动进行版本控制【图三】。创建策略时,企业将定义字段和值的组合,例如您可以选择应用策略的位置是国家、公共地理区域(即亚洲、美洲)或云服务提供商预定义的区域。每个云提供商都有不同的区域,这些区域代表某个地理位置的数据中心集。例如,GCP 区域 asia-east-1表示台湾彰化县的位置,相比之下,Azure 区域东亚代表了香港的位置,并结合某个数据保护法规与对应管理的 S/4 cloud 系统。这些规则确定您的策略如何响应数据操作以及生成的警报、异常和通知的类型。配置策略后,SAP Data Custodian 会持续监控并提醒用户有关违反策略的警告。
【图三】SAP Data Custodian 的 Union 与管理策略
SAP Data Custodian 主控屏幕【图四】提供了所有已创建联合的全面概览,以及总体合规百分比和警报。客户可以导航到各个 Union 以查看 Union 列表、特定合规性和警报级别,并分析和解决警报。同时还提供了云端数据移动、处理、访问和修改事件的强大可视化使我们的客户能够完全透明地了解他们的云环境,并快速分析和解决警报。单击警报则可提供有关警报的大量信息,包括访问数据的地理位置、访问者的身份和地理位置、访问原因、访问期间执行的操作、违反的策略、时间戳等信息。
【图四】SAP Data Custodian 数据看护者主控屏
SAP Data Custodian 进一步支持根据不断变化的业务需求或各国数据保护法规快速调整策略。例如,客户可以快速调整数据放置策略,以允许将其数据存储在欧盟委员会最近确定具有足够数据保护水平的国家/地区。另一个例子是需要更新访问策略,以拒绝来自例如受联合国制裁禁运国家的所有类型的访问,实现数据主权治理,支持 GDPR、CCSL、CCRF、印度隐私法案和中国网络法立法合规性,并防止数据外泄到禁运国家。【图五】这种软件定义的策略执行比传统的建立本地化数据中心的方式灵活得多。
【图五】SAP Data Custodian 支持不同国家数据保护与出口管制要求
针对云端系统的异常行为,SAP Data Custodian TCS 监控系统活动并对可疑行为发出警报,而无需设置策略。页面显示系统中识别的所有异常数据操作,以便您查看和解决潜在的数据保护威胁。授权用户可以调查异常、创建任务并验证任何问题。【图六】异常活动可以通过分析用户过去行为模式的机器学习 (ML) 模型来识别。可以识别可疑资源实例、操作、主体、请求位置、资源区域和位置的异常。每个异常事件都被分类为正常、异常或未知,并且还分配了一个异常分数。异常分数由 ML 模型计算,取值范围为 0- 1。分数代表标准化的异常水平,分数越高表示异常行为程度越高。
【图六】云端数据异常活动监控
2 密钥管理服务 KMS
无论是本地还是云端部署,作为保护企业敏感数据的一部分企业都需要对静态和传输中的数据进行加密以满足全球各国数据安全与隐私保护的强制性要求。过去,在应用程序代码中定义加密密钥或在数据库文件中创建加密密钥是一种常见的方法。现在许多组织正在寻找强大的符合 FIPS 140-2 (联邦信息处理标准加密模块) 行业标准的独立密钥管理系统,通过单独的硬件或虚拟服务器将加密密钥存储在单独的服务器上,客户可以访问安全存储和管理的主密钥。SAP Data Custodian KMS 使得客户拥有一个独立的密钥管理系统来管理主密钥和其他组件,而不是由 AWS、Azure 和 GCP 云服务方控制密钥。【图七】KMS 满足客户控制的密钥管理服务的合规性要求,这些服务已通过 KMS 独立的 FIPS 140-2 3 级兼容硬件安全模块认证,提供了防篡改功能可满足最严格的数据保护、隐私以及云服务提供商无法访问客户数据的保证。
【图七】SAP Data Custodian KMS 密钥管理
客户可以使用 SAP Data Custodian KMS 创建加密密钥“主密钥或密钥加密密钥 (KEK)”。客户管理加密密钥的生命周期管理—创建、激活、备份、轮换、归档、删除和其他加密操作。客户可以明确区分每个应用程序的密钥,并在软件和数据库级别划分职责,并且 SAP 无法访问客户密钥。可以根据职责分离严格提供对这些密钥的访问,密钥管理员只能管理密钥,但无权访问加密数据。【图八】在典型部署中,客户在 KMS 之外创建数据加密密钥 (DEK)。此密钥用于加密和解密实际的有效负载数据。数据加密密钥 (DEK) 本身使用由客户在 KMS 中管理的密钥加密密钥 (KEK) 进行加密。
【图八】SAP Data Custodian 密钥管理服务概览
SAP Data Custodian 在云时代的安全创新服务增强了企业的安全意识、提高数据资产安全管理的敏捷性,为企业云时代增长提供了有力的保驾护航。SAP Data Custodian 解决方案在2019年被国际隐私专家协会 (IAPP)(4)宣布为隐私创新奖的获得者,对SAP 在全球隐私和数据保护方面的独特计划和服务给予了充分认可。
参考信息:
(1) 麦肯锡
(2) SAP Data Custodian
(3) SAP 信任中心
(4) IAPP
相关资源推荐
