This is the Trace Id: 82e7d1cee54731bc029b4371c7d3dc24
跳转至主内容 Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview 智能 Microsoft Security Copilot 副驾驶® Microsoft Sentinel 查看所有产品 AI 支持的网络安全 云安全 数据安全与治理 标识和网络访问 隐私和风险管理 AI 安全性 中小型企业 统一安全运营 零信任 价格 服务 合作伙伴 为什么选择 Microsoft 安全 网络安全意识 客户案例 安全性 101 产品试用 行业认可 安全响应中心 Microsoft 安全博客 Microsoft 安全活动 Microsoft 技术社区 文件 技术内容库 培训和认证 Microsoft Cloud 合规性计划 Microsoft 信任中心 服务信任门户 Microsoft 安全未来计划 业务解决方案中心 连络销售人员 开始免费试用 Microsoft 安全 Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space 混合现实 Microsoft HoloLens Microsoft Viva 量子计算 教育 汽车 金融服务 政府 医疗保健 制造业 零售业 查找合作伙伴 成为合作伙伴 合作伙伴网络 Microsoft Marketplace 软件公司 博客 Microsoft Advertising 开发人员中心 文档 活动 许可 Microsoft Learn Microsoft Research 查看站点地图
两个人微笑并看着笔记本电脑屏幕

什么是数据安全状况管理 (DSPM)?

了解数据安全状况管理 (DSPM),以及它如何在整个环境中帮助保护敏感数据、降低风险并支持合规。
随着数字生态系统日益复杂,传统安全工具通常无法提供有效保护数据所需的可见性和控制。 数据安全状况管理 (DSPM) 即为此而生。DSPM 是以数据为中心的现代安全体系,专注于帮助组织识别、检测和保护敏感数据(无论数据位于何处)。 

关键要点

  • DSPM 采用系统方法来缓解潜在的数据安全风险。
  • 它持续检测数据访问和风险暴露,并通过主动修正防止泄露。
  • 它还支持合规性工作和零信任框架。
  • 与传统安全工具相比,DSPM 更侧重于敏感数据的发现和保护。

什么是数据安全状况管理 (DSPM)?

数据安全状况管理 (DSPM) 是一种以数据为中心的安全方法,可跨云和混合环境发现、分类、检测和保护敏感数据,以帮助降低风险并保持合规。

DSPM 不依赖于保护外围或基础结构的过时方法,而是聚焦于数据本身。它持续跟踪敏感信息的移动和使用情况,发现隐藏的风险,从而支持组织应对潜在威胁。

这种主动方法不仅增强了合规性和治理,还可确保安全团队明确认识到自身在保护其最有价值的数字资产的需求。

数据安全状况管理的工作原理

典型的 DSPM 工作流遵循以数据为中心的结构化方法来识别、管理和缓解安全威胁:
 
  1. 发现 - 跨云、混合和本地环境自动查找敏感数据。
  2. 分类 - 根据敏感度、类型和合规要求对数据进行分类。
  3. 评估 - 评估数据泄露、访问权限和关联风险。
  4. 检测 - 持续跟踪数据活动、访问模式和策略冲突。
  5. 修正 - 采取措施降低风险,例如调整访问权限、应用加密或向安全团队发出警报。
DSPM 组合使用多种方法跨各种环境查找敏感数据并对敏感数据进行分类,例如软件即服务 (SaaS)、平台即服务 (PaaS)、基础结构即服务 (IaaS) 和数据湖:
 
  • 自动扫描可持续对云和混合环境进行爬网,以检测和清点结构化和非结构化数据资产,而无需手动输入。
  • API 可将 DSPM 工具与云平台和服务(例如 AWS、Azure、GCP 或 Snowflake)连接起来,从而支持实时访问元数据、配置和数据流。
  • 信息保护数据丢失防护 (DLP) 等现有系统的集成扩充了 DSPM 的价值和可见性,从而支持其根据敏感度、使用情况和合规需求对数据进行分类。
此方法可确保组织能够动态实时掌握敏感数据的驻留位置及其访问或暴露方式。

基本 DSPM 功能

DSPM 的核心功能包括:

数据发现和分类

数据发现和分类是 DSPM 的基础功能,支持组织跨云、混合和本地环境了解其敏感数据。 发现过程使用自动扫描和集成在 SaaS、PaaS、IaaS 和数据湖等平台中查找结构化和非结构化数据资产。这包括识别可能导致安全风险的“影子数据”或被遗忘的云资产。

发现数据后,DSPM 工具会根据其敏感度、类型(个人身份信息、健康记录、财务数据等)及合规要求对数据进行分类。此分类可帮助安全团队了解数据的性质、确定保护工作的优先级以及应用相应的策略。准确分类还支持风险评估、检测和修正等下游过程。

访问和风险分析

DSPM 侧重于了解谁有权访问敏感数据,以及该访问权限是否合适。DSPM 工具可跨云和混合环境评估权限,以确定过度暴露的数据、错误配置和潜在漏洞。风险分析可帮助安全团队确定风险访问模式(如权限过多或未经授权的共享),并相应地确定修正工作的优先级。

通过持续评估敏感数据的暴露级别,DSPM 助力组织强制实施最低特权访问策略并减少攻击面。它还通过确保访问控制符合法规合规性要求和内部治理标准来支持合规性。

持续检测和警报

DSPM 可确保持续观察敏感数据,以了解访问、使用情况和暴露方面的变化。此功能提供实时跟踪,可帮助安全团队在异常、策略冲突和新兴威胁出现时检测到它们。DSPM 工具通常与现有安全系统(如安全信息和事件管理 (SIEM) 和数据丢失防护 (DLP))集成,以扩充检测功能并提供上下文警报。

通过保持对数据访问和共享方式的持续可见性,DSPM 可帮助组织快速应对潜在风险。DSPM 生成的警报可以触发自动或手动修正操作,例如撤消访问权限、应用加密和上报事件以进行调查。此主动方法增强了组织防止违规和遵守数据保护标准的能力。

风险检测

DSPM 工具可以识别和响应针对敏感数据的潜在安全风险。它们持续分析数据访问模式、用户行为和环境配置,以检测可能指示存在恶意活动或策略冲突的异常情况。这包括识别未经授权的访问、数据外泄尝试以及由于配置错误或权限过多而公开敏感资产。

高级 DSPM 解决方案通常与更广泛的安全生态系统(例如 SIEM、DLP 以及威胁检测和响应 [TDR] 平台)集成,以扩充威胁智能并提供上下文警报。这些警报可帮助安全团队快速调查事件,然后采取纠正措施,例如撤消访问权限、应用加密或升级以开展取证分析。

事件响应

DSPM 工具识别异常后,将会立即触发警报并提供可操作的见解来指导修正。这些见解可能包括策略建议、数据风险评估和已确定优先级的威胁指示器。

DSPM 平台还可以与 AI 支持的事件响应工具集成,以支持引导式调查。借助此方法,安全团队可以跨数据、用户和活动进行深入分析,以帮助他们了解事件的范围和影响。简化响应过程并提供上下文智能可提升 DSPM 在助力组织能快速遏制威胁和在最大程度上减少损害方面的价值。

漏洞管理

DSPM 专注于跨云和混合环境识别和解决存储、访问和保护敏感数据方面的薄弱环节。DSPM 工具持续扫描可能向未经授权的用户或恶意行动者公开数据的错误配置、权限过多,以及过时或存在风险的访问控制。有风险的访问控制。这些工具根据风险级别和数据敏感度确定漏洞的优先级和管理漏洞,有助于帮助安全团队首先关注最严重的问题。

DSPM 还增强了对潜在威胁的可见性,并提供可操作的修正见解。这包括建议更改策略、撤消不必要的访问权限或对高风险数据应用加密。DSPM 增强了组织主动减少其攻击面并保持可复原数据安全状况的能力。

DSPM 优势和用例

DSPM 提供了一系列战略优势,可帮助组织加强其数据保护工作。

防止数据泄露并降低风险暴露

DSPM 可跨云和混合环境持续识别和检测敏感数据。它使用自动扫描和集成来发现敏感数据所在的位置,根据风险与合规要求对其进行分类,并评估其暴露程度。

示例:假设你的组织使用 Microsoft 365 和 AWS。DSPM 扫描了这两个环境,并发现一个电子表格,其中的客户信用卡数据存储在启用了公共访问的未加密 S3 存储桶中。它将此暴露标记为潜在的高风险数据泄露,向安全团队发出警报,并建议立即进行修正,例如限制访问和应用加密。

支持合规性工作

DSPM 通过持续发现和分类敏感数据、评估其暴露以及强制实施访问控制,帮助组织满足法规要求。它通过提供有关敏感数据驻留位置、访问者及其保护方式的可见性,确保数据处理符合一般数据保护条例 (GDPR)、HIPAA 和加州消费者隐私法案 (CCPA) 等标准。

示例:受 HIPAA 约束的医疗保健提供方使用 DSPM 扫描其云基础结构,并发现有患者记录存储在访问权限为开发的配置错误的数据库中。DSPM 会标记问题、对数据进行分类,并建议修正步骤,例如限制访问和应用加密。它还记录事件并生成合规报告,以帮助提供商避免惩罚并保持 HIPAA 一致性。

强制执行最小权限访问

DSPM 持续分析谁有权访问敏感数据以及是否需要该访问权限。它会表示过度暴露的资产、错误配置的权限以及具有过多权限的用户。

示例:一家金融服务公司使用 DSPM 检查其云环境。该公司发现部分实习生有权访问包含客户财务记录的文件夹。它将此标记为违反最低特权原则,并建议撤消这些用户的访问权限。安全团队遵循指导,从而降低了数据泄露的风险,并与内部治理策略保持一致。

增强安全状况

DSPM 通过提供敏感数据驻留位置、访问方式以及谁有权访问该数据的可见性,增强了组织的安全状况。DSPM 通过自动查找漏洞、对其进行分类并分析其风险来查找漏洞。然后,它使用实时检测和引导式修正来减少攻击面。

示例:具有许多云平台的大型公司使用 DSPM。公司发现重要的人力资源 (HR) 数据存储在所有员工都可以查看的共享文件夹中。DSPM 将此标记为严重风险,建议实施访问限制,并提供修正工作流。安全团队遵循指导,从而减少了暴露并遵守内部数据管理策略。

支持零信任

DSPM 通过跨数据交互强制实施严格的访问控制和验证信任,与零信任体系结构保持一致。通过使用实时监测和基于风险的评估来检测和响应异常情况,它确保只有具有合法需求的已验证用户才能访问敏感数据。

示例:一家全球性企业采用零信任模型,并使用 DSPM 审核对其基于云的 HR 系统的访问。DSPM 确定多个承包商有权访问超出其角色需求的员工薪资数据。它将此标记为违反最低特权访问,并建议撤消权限。

DSPM 和 CSPM 有什么区别?

虽然 DSPM 和云安全状况管理 (CSPM) 工具都旨在提高云安全性,但它们侧重于不同的保护层。DSPM 以数据为中心,而 CSPM 以基础结构为中心,侧重于云服务和资源(如虚拟机、存储桶以及标识和访问管理 [IAM] 策略)中的错误配置、合规冲突和安全风险。
 
功能DSPMCSPM
专注领域敏感数据可见性和保护云基础结构配置与合规性
主要目标减少数据暴露并保持合规识别并修复云配置错误
关键功能数据发现、分类、访问分析和威胁检测资源扫描、策略强制、IAM 错误配置检测
安全层数据层基础结构层
用例保护 PII、PHI、财务数据;强制执行最低权限访问保护云服务,强制实施云策略
合规性支持GDPR、HIPAA、CCPAInternet 安全中心 (CIS) 基准,国际标准化组织 (ISO),美国国家标准和技术协会 (NIST)
集成目标SaaS、PaaS、IaaS、安全数据湖AWS、Azure、GCP、Kubernetes
可见性范围谁访问哪些数据以及如何如何配置和保护云资源

选择 DSPM 解决方案

查看 DSPM 工具时,请执行以下步骤以确保它们符合组织的目标:
 
  1. 评估云集成兼容性。确保 DSPM 解决方案与现有云堆栈无缝集成,包括 AWS、Azure、GCP 和 Snowflake 等平台。
  2. 评估可伸缩性和部署模型。查找与数据占用情况一起缩放的工具,并提供灵活的部署选项(如无智能体或基于智能体的设置),以适应你的环境。
  3. 检查分类准确性。使用强大的数据分类功能确定解决方案的优先级,以准确识别不同源中的敏感数据并对其进行分类。
  4. 查看风险优先级和修正功能。选择提供明确风险优先级、可操作修正指导和自动化工作流的供应商,以减少风险。
  5. 确认合规报告功能。确保该工具支持适用于法规的合规性报告,以帮助你随时满足审核需求。

部署

DSPM 实现需要采用与组织的数据、云和合规优先级保持一致的分阶段战略方法。目标是实现敏感数据的可见性,评估其风险暴露,并强制实施可降低威胁和支持治理的策略。

从数据发现和映射入手

确定敏感数据驻留在云、混合和本地环境中的位置。此基础步骤有助于确定可见性,并设置分类和风险分析的阶段。

跨职能部门定义策略和风险阈值

跨安全、数据、云和合规性团队进行协作,以制定明确的数据访问、分类和修正策略。将这些策略与法规要求和业务优先级保持一致。

分阶段推出

确定高风险环境或敏感数据类型的优先级以实现初始部署。通过此分阶段推出,可以在整个组织中在缩放 DSPM 之前进行重点修正和策略实施。这种结构化方法可确保不仅有效地部署 DSPM,而且还可将其集成到更广泛的安全性和合规性工作流中。

探索 Microsoft Purview

Microsoft Purview 是一个全面的 DSPM 平台,旨在通过三大支柱方法帮助组织:
 
  • 发现有关数据风险的上下文见解,以了解数据安全计划的有效性。Microsoft Purview 提供有关 AI 应用程序和智能体的详细报告、趋势分析和重点视图。
  • 通过引导安全团队缓解漏洞的可操作报告、策略建议和数据风险评估来保护数据。
  • 记住 AI 支持的深入分析进行调查,以检查数据、用户和活动中的风险。
Microsoft Purview 助力组织跨云和混合环境战略性地了解数据风险。它通过详细的报告和趋势分析提供上下文见解,帮助领导者评估其数据安全计划的有效性。
资源

借助 Microsoft 保护组织的数据

一位女士和一位男士在办公室桌面上查看笔记本电脑屏幕。
产品

使用 Microsoft Purview 保护和治理数据

通过统一的数据安全性、治理和合规性解决方案降低风险。
一位男士在办公室的台式计算机屏幕上工作。
解决方案

保护数据以开展 AI 创新
 

跨预生成和自定义生成的生成式 AI 应用准备、保护和治理数据。
一位男士在办公室中的笔记本电脑上工作。
指南

DSPM 客户指南:防范数据安全风险

了解 DSPM 解决方案的基础和优势、部署步骤和高级功能。

常见问题解答

  • 数据安全状况管理 (DSPM) 侧重于跨云和混合环境发现、分类和持续检测敏感数据,而数据丢失防护 (DLP) 则主要强制实施策略以防止数据外泄。DSPM 提供更广泛的可见性和风险相关见解,而 DLP 则更侧重于外围和被动处理。
  • CASB 侧重于检测和控制对云应用的访问、强制实施安全策略和检测风险用户行为。 数据安全状况管理 (DSPM) 则以数据为中心 - 跨云和混合环境发现、分类和保护敏感数据,以降低风险并保持合规性。
  • 数据安全状况管理 (DSPM) 工具可以发现云和混合环境中的敏感数据并对其进行分类,其中包括结构化和非结构化数据、个人身份信息 (PII)、财务记录、知识产权和受监管数据类型,例如患者健康信息 (PHI) 和支付卡信息 (PCI)。
  • 否,数据安全状况管理 (DSPM) 不会取代 CSPM。DSPM 侧重于通过跨环境发现、分类和检测敏感数据来保护敏感数据。CSPM 则识别云基础结构中的错误配置和合规风险。 它们是互为补充的工具,可解决云安全不同方面的问题。
  • 数据安全状况管理 (DSPM) 解决方案通常支持主要云平台,例如 AWS、Azure、GCP 和 Snowflake。它们还与 SaaS、PaaS、IaaS 环境和数据湖集成,以发现不同云服务中的敏感数据并对其进行分类。
  • 是,数据安全状况管理 (DSPM) 可以通过持续扫描云环境来发现敏感数据并对敏感数据进行分类(即使是在忽略或未检测到的位置)来检测影子数据和被遗忘的云资产,从而帮助降低隐藏风险并提高数据可见性。
  • 组织应寻找可提供广泛云平台支持、准确的数据分类、无智能体部署、确定风险优先级、修正指导及合规性报告的数据安全状况管理 (DSPM) 供应商。与现有云堆栈(如 AWS、Azure、GCP 和 Snowflake)的集成也是一项关键因素。

关注 Microsoft 安全