【数据安全】云数据保护网关

云数据保护网关

• 分析人：Brian Lowans，Joerg Fritsch
• 收益评级：中等
• 市场渗透率：目标受众的5%至20%
• 成熟：青少年

定义：

云数据保护网关（CDPG）将前向/反向代理和API适配器的组合部署到公共云SaaS提供商。他们可以在结构化或非结构化数据流到SaaS提供商时对其应用加密或标记化，以减少对可能导致漏洞的数据的不当访问。这有助于满足数据保护和隐私方面的数据驻留要求。CDPG功能也由一些安全服务边缘（SSE）产品提供。

为什么这很重要

越来越多的敏感数据存储在多个公共SaaS中，这增加了控制数据驻留和数据访问的需求，以减轻安全和隐私风险。CDPG通过限制特定员工对数据的访问，以及可能阻止CSP访问，对帮助降低这些风险非常重要。

业务影响

CDPG使组织能够继续使用SaaS，同时减轻与世界各地的数据驻留和隐私法规相关的日益增长的业务风险。限制对各种SaaS中数据的访问是一项重要的数据安全控制。

驱动力

• 组织继续部署越来越多的SaaS，为了实现一致的数据安全，他们需要使用多个特定适配器部署CDPG。这包括但不限于：；Salesforce、ServiceNow、Box、Dropbox、G Suite、Office 365和Workday。
• CDPG提供加密以保护存储的文件，还提供加密或标记化以保护结构化数据存储中的字段。
• 提供密钥管理选项也很重要，这些选项可以通过密钥管理即服务（KMaaS）独立于SaaS来保护数据，也可以通过持有自己的密钥（HYOK）或携带自己的密钥来提供与本地SaaS保护的集成（BYOK）。
• 日益复杂的国际数据居留权和隐私法要求对SaaS内数据的访问权限进行更严格的控制。
• 与SaaS原生BYOK集成或对关键管理保持外部控制的能力是降低业务风险的重要选择。

障碍

• 只有少数SaaS提供可与KMaaS或BYOK集成的结构化或非结构化数据的本机加密。这增加了选择CDPG时的复杂性，该CDPG需要在一系列具有不同数据保护功能的SaaS中保护数据。
• 需要特定的适配器或API来加密每个SaaS应用程序的数据，并且CDPG软件更新可能会延迟，在某些情况下，这可能会降低本地设备的效率。
• 一些定制的CDPG加密算法可以保留搜索和排序功能；然而，如果加密不符合适当的标准，这对于试图实现充分的数据保护或隐私的组织来说是一个问题。

用户建议

• 审查CDPG产品是否足够，或者是否需要额外的安全功能或集成作为SSE或与KMaaS的集成。
• 确保通过KMaaS或EKM提供足够的密钥管理生命周期，以便以适当的安全性处理密钥并备份所有密钥。
• 作为数据安全治理（DSG）评估的一部分，通过审查任何CDPG实施，审查更广泛的组织对数据保护和隐私的需求。
• 计划持续支持CDPG连接器到各种SaaS，因为SaaS提供商需要更新其应用程序，并且可能需要更新CDPG代理数据保护映射。
• 审查由于加密和标记化对搜索、排序、数学运算等处理能力造成的业务和安全需求之间的权衡。

供应商示例

Eperi; Forcepoint; Lookout; McAfee; Micro Focus; Netskope; Protegrity; Rohde & Schwarz

Gartner推荐阅读

• 安全服务边缘幻方图
• 使用数据安全治理框架平衡业务需求和风险
• 制定企业范围的加密密钥管理策略或丢失数据
• 选择正确的密钥管理作为服务，以减轻云中的数据安全和隐私风险