This is the Trace Id: 40baafc07463bbd967a92bacb1a34b0c
跳到主要內容 Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel 檢視所有產品 AI 支援的網路安全性 雲端安全性 資料安全性與治理 身分識別和網路存取權 隱私權與風險管理 AI 的安全性 中小型企業 整合安全性作業 零信任 價格 服務 合作夥伴 為何選擇使用 Microsoft 安全性 網路安全性意識 客戶案例 安全說明資訊 產品試用 受業界認可 Microsoft Security Insider Microsoft 數位防禦報告 安全回應中心 Microsoft 安全性部落格 Microsoft 安全性事件 Microsoft 技術社群 文件 技術內容庫 訓練與認證 Microsoft Cloud 合規性計畫 Microsoft 信任中心 服務信任入口網站 Microsoft 安全未來倡議 Business Solutions Hub 連絡銷售人員 開始免費試用 Microsoft 安全性 Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space 混合實境 Microsoft HoloLens Microsoft Viva 量子運算 教育 汽車業 金融服務 政府機關 醫療保健 製造 零售 尋找合作夥伴 成為合作夥伴 合作夥伴網絡 Microsoft Marketplace 軟件公司 網誌 Microsoft 廣告 開發人員中心 文件 活動 授權 Microsoft 學習 Microsoft 研究 查看網站地圖
兩個人微笑著看著膝上型電腦螢幕

什麼是資料安全性態勢管理 (DSPM)?

了解資料安全性態勢管理 (DSPM),以及它如何協助保護敏感性資料、降低風險,並支援您的環境中的合規性。
隨著數位生態系統日益複雜,傳統安全性工具往往無法提供有效保護資料所需的可見度與控制能力。 這就是資料安全性態勢管理 (DSPM) 發揮作用的地方。DSPM 是一種現代化、以資料為核心的安全性規範,專注於協助組織識別、偵測並保護敏感性資料 (無論其儲存位置)。 

關鍵重點

  • DSPM 採用系統化方法來降低潛在的資料安全性風險。
  • 它會持續偵測資料存取與風險暴露,並透過主動補救來防止外洩。
  • 它也支援合規性工作與零信任架構。
  • 與傳統安全性工具相比,DSPM 更著重於探索與保護敏感性資料。

什麼是資料安全性態勢管理 (DSPM)?

資料安全性態勢管理 (DSPM) 是一種以資料為中心的安全性方法,可跨雲端與混合式環境探索、分類、偵測並保護敏感性資料,以協助降低風險並維持合規性。

DSPM 不再依賴保護邊界或基礎結構的舊方法,而是將焦點放在資料本身。它會持續追蹤敏感性資訊的移動與使用情況,找出隱藏風險,並讓組織能迅速回應潛在威脅。

這種主動式方法不僅能提升合規性與治理能力,也能確保安全性團隊擁有保護最重要數位資產所需的清晰可見度。

資料安全性態勢管理的運作方式為何

典型的 DSPM 工作流程會採用結構化、以資料為中心的方法來識別、管理與降低安全性威脅:
 
  1. 探索——自動找出雲端、混合式與內部部署環境中的敏感性資料。
  2. 分類——依據敏感性、類型與合規性需求將資料歸類。
  3. 評估——評估資料暴露程度、存取權限及相關風險。
  4. 偵測——持續追蹤資料活動、存取模式與原則違規情況。
  5. 補救——採取動作以降低風險,例如調整存取權、套用加密或通知安全性團隊。
DSPM 結合多種方法,來找出並分類各種環境中的敏感性資料,例如軟體即服務 (SaaS)、平台即服務 (PaaS)、基礎結構即服務 (IaaS) 和資料湖:
 
  • 自動化掃描 會持續爬取雲端與混合式環境,以偵測並盤點結構化與非結構化的資料資產——且不需要人工輸入。
  • API 可將 DSPM 工具與雲端平台和服務連接起來 (例如 AWS、Azure、GCP 或 Snowflake),讓系統能即時存取中繼資料、組態與資料流程。
  • 資訊保護資料外洩防護 (DLP) 等既有系統的 整合 可強化 DSPM 的意義與可見度,讓其能根據敏感性、使用方式與合規性需求來分類資料。
這種方法可確保組織持續且即時掌握敏感性資料所在位置,以及資料目前的存取或暴露情況。

必要的 DSPM 功能

DSPM 的核心功能包括:

資料探索與分類

資料探索 與分類是 DSPM 的基礎功能,可讓組織在雲端、混合式與內部部署環境中看見敏感性資料。 探索程序會使用自動掃描與整合功能,來找出 SaaS、PaaS、IaaS 和資料湖等平台中的資料資產——包括結構化與非結構化資料。這也包括識別可能造成安全性風險的「影子資料」或遭遺忘的雲端資產。

資料一經探索,DSPM 工具就會根據其敏感性、類型 (例如個人識別資訊、健康記錄、財務資料等) 以及合規性需求來分類。這項分類可協助安全性團隊了解資料性質、排定保護優先順序,並套用適當的原則。準確的分類也支援下游流程,例如風險評估、偵測與補救。

存取與風險分析

DSPM 著重於了解可以存取敏感性資料的人員,以及該存取權是否適當。DSPM 工具會評估雲端與混合式環境中的權限,以找出暴露過度的資料、設定錯誤與潛在弱點。風險分析 可協助安全性團隊找出高風險的存取模式,例如權限過多或未經授權的共用,並據此排定補救工作優先順序。

透過持續評估敏感性資料的暴露程度,DSPM 讓組織能強制執行最低權限存取原則,並縮小受攻擊面。它也能透過確保存取控制符合 法規合規性 要求與內部治理標準,來支援合規性。

持續偵測與警示

DSPM 可確保持續監控敏感性資料的存取、使用情況與暴露變化。這項功能提供即時追蹤,協助安全性團隊在異常、原則違規與新興威脅發生時立即偵測。DSPM 工具通常會與既有安全性系統整合,例如安全性資訊與事件管理 (SIEM) 和資料外洩防護 (DLP),以增強偵測能力並提供內容相關的警示。

透過持續掌握資料的存取與共用方式,DSPM 可協助組織快速回應潛在風險。DSPM 產生的警示可觸發自動或手動補救動作,例如撤銷存取權、套用加密,以及將事件升級以供調查。這種主動式方法可強化組織防止外洩的能力,並維持符合 資料保護 規範標準。

風險偵測

DSPM 工具可以識別並回應針對敏感性資料的潛在安全性風險。它們會持續分析資料存取模式、使用者行為與環境組態,以偵測可能代表惡意活動或原則違規的異常。這包括識別未經授權的存取、資料外洩企圖,以及因設定錯誤或權限過多而導致的敏感性資產暴露。

進階 DSPM 解決方案通常會與更廣泛的安全性生態系統整合,例如 SIEM、DLP 和 威脅偵測與回應 (TDR) 平台,以強化 威脅情報 並提供內容相關的警示。這些警示可協助安全性團隊快速調查事件,接著採取更正措施,例如撤銷存取權、套用加密,或升級為鑑識分析。

事件回應

DSPM 工具一旦識別出異常,就會觸發警示,並提供可採取行動的深入解析來引導補救。這些深入解析可能包括原則建議、資料風險評估與優先排序的威脅指標。

DSPM 平台也可以與 AI 支援的 事件回應 工具整合,以支援引導式調查。這可讓安全性團隊針對資料、使用者與活動進行深入分析,協助他們了解事件的範圍與影響。透過簡化回應流程並提供內容相關智慧,DSPM 更能協助組織迅速遏止威脅並將損害降到最低。

威脅與弱點管理

DSPM 著重於找出並修補敏感性資料在雲端與混合式環境中儲存、存取與保護方式上的弱點。DSPM 工具會持續掃描錯誤設定、過度權限,以及過時或高風險的存取控制,這些問題可能讓未授權使用者或惡意攻擊者存取資料。這些工具會根據風險層級和資料敏感度,優先排序並 管理弱點,協助安全性團隊先處理最關鍵的問題。

DSPM 也能提升對潛在威脅的可見度,並提供可執行的補救建議。這包括建議變更原則、撤銷不必要的存取權,或對高風險資料套用加密。DSPM 能強化組織主動降低受攻擊面,並維持具韌性的資料安全性態勢的能力。

DSPM 的優點和使用案例

DSPM 提供一系列策略性優勢,有助於組織強化資料保護工作。

防止資料外洩並降低風險暴露

DSPM 會持續識別並偵測雲端與混合式環境中的敏感性資料。它會使用自動化掃描和整合功能來找出敏感性資料所在位置,根據風險與合規性需求將其分類,並評估其暴露程度。

範例: 假設您的組織使用 Microsoft 365 和 AWS。DSPM 會掃描這兩種環境,並發現儲存在未加密、且已啟用公開存取的 S3 貯體中的試算表,而其中包含客戶信用卡資料。它會將這種暴露標示為可能的高風險 資料外洩,通知安全性團隊,並建議立即採取補救措施,例如限制存取和套用加密。

支援合規性工作

DSPM 會持續探索並分類敏感性資料、評估其暴露程度,並強制執行存取控制,協助組織符合法規要求。它可透過提供敏感性資料所在位置、可存取該資料的人員,以及資料保護方式的可見度,確保資料處理符合 一般資料保護規定 (GDPR)、HIPAA,以及中央消費者保護機構 (CCPA) 等標準。

範例: 一家受 HIPAA 規範的醫療服務提供者使用 DSPM 掃描其雲端基礎結構,並發現病患健康記錄儲存在設定錯誤且開放存取的資料庫中。DSPM 會標示這個問題、分類資料,並建議補救步驟,例如限制存取和套用加密。它也會記錄此事件並產生合規性報告,協助該提供者避免罰款,並維持與 HIPAA 的一致性。

強化最低權限存取

DSPM 會持續分析可存取敏感性資料的人員,以及這些存取是否有必要。它會找出暴露過度的資產、設定錯誤的權限,以及權限過大的使用者。

範例: 一家金融服務公司使用 DSPM 檢查其雲端環境。他們發現有幾位實習生可以存取含有客戶財務記錄的資料夾。它會將這項情況標示為違反最低權限原則,並建議撤銷這些使用者的存取權。安全性團隊依照建議執行,降低 資料外洩 的風險,並符合內部治理原則。

增強安全性態勢

DSPM 會提供敏感性資料所在位置、存取方式,以及存取者的可見度,進而強化組織的 安全性態勢。DSPM 會自動找出弱點、加以分類,並分析其風險。接著,它會使用即時偵測和引導式補救,來縮小受攻擊面。

範例: 一家大型企業擁有許多雲端平台,並使用 DSPM。他們發現重要的人力資源 (HR) 資料儲存在所有員工都看得到的共用資料夾中。DSPM 會將此情況標示為重大風險,建議限制存取,並提供補救工作流程。安全性團隊依照建議執行,降低暴露風險,並符合內部資料治理原則。

支援零信任

DSPM 透過強制嚴格的存取控制,並持續驗證資料互動中的信任,與 零信任架構 保持一致。它會確保敏感性資料只有經驗證且確有業務需求的使用者才能存取,並透過即時偵測與以風險為基礎的評估來發現並回應異常。

範例: 一家全球企業採用零信任模型,並使用 DSPM 稽核其雲端 HR 系統的存取。DSPM 發現有幾位承包商可存取超出其職責需求的員工薪酬資料。它會將此情況標示為違反最低權限存取原則,並建議撤銷權限。

DSPM 與 CSPM 的差異為何?

雖然 DSPM 和 雲端安全性態勢管理 (CSPM) 工具都旨在提升 雲端安全性,但它們著重的保護層級不同。DSPM 以資料為中心;CSPM 則以基礎結構為中心,著重於雲端服務和資源中的錯誤設定、合規性違規,以及安全性風險,例如虛擬機器、儲存體貯體,以及 識別與存取管理 (IAM) 原則。
 
功能DSPMCSPM
焦點領域敏感性資料的可見度與保護雲端基礎結構設定與合規性
主要目標降低資料外洩風險並維持合規性識別並修正雲端錯誤設定
重要功能資料探索、分類、存取分析與威脅偵測資源掃描、原則強制執行、IAM 設定錯誤偵測
安全性層級資料層級基礎結構層級
使用案例保護 PII、PHI 與財務資料;強制執行最低權限存取保護雲端服務,強制執行雲端原則
合規性支援GDPR、HIPAA、CCPACenter for Internet Security (CIS) 基準、國際標準化組織 (ISO)、國家標準暨技術研究院 (NIST)
整合目標SaaS、PaaS、IaaS、安全性資料湖AWS、Azure、GCP、Kubernetes
可見度範圍誰可存取哪些資料,以及如何存取雲端資源的設定方式與保護方式

選擇 DSPM 解決方案

在評估 DSPM 工具時,請依下列步驟進行,確保它們符合貴組織的目標:
 
  1. 評估雲端整合相容性。請確保 DSPM 解決方案可與現有的雲端堆疊順暢整合,包括 AWS、Azure、GCP 和 Snowflake 等平台。
  2. 評估可擴充性與部署模型。請尋找可隨資料量擴充,且提供彈性部署選項 (例如無代理程式或以代理程式為基礎的設定) 的工具,以符合您的環境。
  3. 檢查分類準確性。請優先選擇具備強大資料分類功能的解決方案,以便在多元來源中準確識別並歸類敏感性資料。
  4. 檢閱風險優先排序與補救功能。請選擇能提供清楚風險優先排序、可執行補救指引,以及自動化工作流程來降低暴露風險的廠商。
  5. 確認合規性報告功能。請確保該工具支援法規的合規性報告,協助您隨時保持稽核就緒。

部署

DSPM 部署需要採取策略性的分階段方法,並與貴組織的資料、雲端和合規性優先事項保持一致。目標是建立對敏感性資料的可見度、評估其風險暴露,並強制執行可降低威脅並支援治理的原則。

從資料探索和對應開始

識別敏感性資料在雲端、混合式和內部部署環境中的位置。這項基礎步驟有助於建立可見度,並為後續的分類與風險分析奠定基礎。

以跨功能方式定義原則與風險閾值

與安全性、資料、雲端和合規性團隊合作,為資料存取、分類和補救措施建立明確原則。將這些原則與法規要求和業務優先順序保持一致。

分階段部署

優先針對高風險環境或敏感性資料類型進行初始部署。這種分階段推出方式可先集中進行補救和原則強制執行,再將 DSPM 擴展到整個組織。這種結構化的方法可確保 DSPM 不僅能有效部署,也能整合到更廣泛的安全性和合規性工作流程中。

探索 Microsoft Purview

Microsoft Purview 是一個完整的 DSPM 平台,透過三大支柱協助組織:
 
  • 探索 資料風險的內容相關深入解析,以了解資料安全性計畫的成效。Microsoft Purview 提供詳細報告、趨勢分析,以及針對 AI 應用程式和代理程式的聚焦檢視。
  • 保護 資料,透過可採取行動的報告、原則建議和資料風險評估,協助安全性團隊降低弱點。
  • 調查 ,運用 AI 支援的深入分析,檢查資料、使用者和活動中的風險。
Microsoft Purview 讓組織能清楚掌握雲端和混合式環境中的資料風險。它透過詳細報告和趨勢分析提供內容相關深入解析,協助主管評估其 資料安全性 計畫的成效。
資源

透過 Microsoft 保護您組織的資料

辦公桌前,一男一女正看著膝上型電腦螢幕。
產品

使用 Microsoft Purview 保護並治理您的資料

透過整合式資料安全性、治理和合規性解決方案,降低您的風險。
一名男子在辦公室的桌上型電腦螢幕上工作。
解決方案

保護資料以促進 AI 創新
 

準備、保護並治理在預先建置和自訂建置的生成式 AI 應用程式中的資料。
在辦公室中使用膝上型電腦工作的人。
指南

DSPM 客戶指南: 防範資料安全性風險

探索 DSPM 解決方案的基礎與優點、部署步驟,以及進階功能。

常見問題集

  • 資料安全性態勢管理 (DSPM) 著重於在雲端和混合式環境中探索、分類並持續偵測敏感性資料,而資料外洩防護 (DLP) 則主要透過強制執行原則來防止資料外洩。DSPM 提供更廣泛的可見度與風險相關深入解析,而 DLP 則較偏向周邊式與被動反應式。
  • CASB 著重於偵測並控制對雲端應用程式的存取、強制執行安全性原則,以及偵測高風險的使用者行為。 另一方面,資料安全性態勢管理 (DSPM) 以資料為中心,透過探索、分類及保護雲端和混合式環境中的敏感性資料來降低風險並維持合規性。
  • 資料安全性態勢管理 (DSPM) 工具可以在雲端和混合式環境中探索並分類敏感性資料,包括結構化和非結構化資料、個人可識別資訊 (PII)、財務記錄、智慧財產權,以及病患健康資訊 (PHI) 和付款卡資訊 (PCI) 等受規範資料類型。
  • 不會,資料安全性態勢管理 (DSPM) 不會取代 CSPM。DSPM 著重於透過探索、分類和偵測各環境中的敏感性資料來保護它。同時,CSPM 會識別雲端基礎結構中的設定錯誤和合規性風險。 這兩者是互補的工具,分別處理雲端安全性的不同面向。
  • 資料安全性態勢管理 (DSPM) 解決方案通常支援 AWS、Azure、GCP 和 Snowflake 等主要雲端平台。它們也會與 SaaS、PaaS 和 IaaS 環境以及資料湖整合,以探索並分類跨多元雲端服務的敏感性資料。
  • 可以,資料安全性態勢管理 (DSPM) 能夠持續掃描雲端環境,探索並分類敏感性資料,即使資料位於容易被忽略或未被偵測到的位置,也能偵測影子資料和遺忘的雲端資產,進而降低隱藏風險並提升資料可見度。
  • 組織應尋找能提供廣泛雲端平台支援、準確資料分類、無代理程式部署、風險優先排序、補救指引和合規性報告的資料安全性態勢管理 (DSPM) 廠商。與 AWS、Azure、GCP 和 Snowflake 等既有雲端技術堆疊整合也很重要。

關注 Microsoft 安全性