一直想把自己对于PC沙箱的理解表达出来,但拖延症加上写的过程中发现这个话题可以讨论的内容很多,需要分篇文章发出来,这一篇先说说PC沙箱本身,接下来的几篇从PC沙箱的设计、技术逻辑等进行细致探讨。
1、 PC沙箱的定义
不同公司对安全工作空间的定义和产品形态是不一样的,甚至当大家在讨论安全工作空间的时候,可能说的也不是同一款产品,所以很有必要明确本文探讨的安全工作空间的定位和主要价值。本文探讨的“安全工作空间”,也会被叫做PC沙箱, 和“网络安全沙箱”、“数据交易沙箱”是不同的概念,“网络安全沙箱”是一种用于检测和分析潜在威胁的工具,它通过模拟真实环境,将可疑文件或链接隔离在一个安全的环境中进行测试和分析,沙箱会模拟用户的操作,运行文件或链接,分析是否是恶意文件,这也是大多数人印象中的沙箱,“数据交易沙箱”是为了解决数据流通交易过程中的隐私安全问题。
全球区域的法律和巨额处罚以及国内密集颁布的数据安全的法规条例固然是数据安全的重要推手,但不在今天的讨论范围内,此次白话主要从应用场景和解决的问题来引出PC沙箱产生的背景。
本文讨论的PC沙箱是近几年随着零信任概念的发展衍生出来的一个技术需求,根据GW0015-2021《政务外网终端一机两用安全管控技术指南》中沙箱sandbox的描述:沙箱(Sandbox),通过驱动层或应用层重定向技术在终端上创建一个与个人环境完全逻辑隔离的环境,实现对沙箱中运行的软件(应用程序)所有系统操作的管控,并能对沙箱中运行的软件(应用程序)实施通信加密、落地文件加密、内外网络访问隔离、剪切板控制、外设管控、程序管控、文件外发管控等数据保护功能。
2、为什么会出现这个技术或产品?
天下苦数据安全久矣。
去年在北京参加ISC网络安全大会的时候在电梯里偶遇谭校长,谭校长几乎每年都是创新沙盒的评委,我好奇的问:校长,今年创新沙盒10强里就有两家公司做PC沙箱,会有哪些考虑因素?(在我看来如果不是热门技术,一般只会有一家代表企业是比较合适的)
谭校长说:“数据防泄漏是一个长久的命题,但是业内一直都没有很好的方案,PC沙箱的出现虽不一定会解得很好,但是会给大家带来一些新的视角和期待,大家都想看看到底PC沙箱能做到什么程度”
当时我大胆猜测,冠军应该其中一家,结果侥幸猜中。
当甲乙方在讨论数据安全的时候无论懂不懂的人,都会提到“数据安全生命周期管理”这个词,好像是你能说出这个概念,你就懂得数据安全防护以及具体的做法。但事实上大家都会认为数据安全全生命周期的建设费时费力,还不见得就能解决问题。
-
数据安全的第一步就非常艰难
业内一谈到数据安全的建设公认的第一步就是做数据的分类分级,传统的数据防泄漏建立数据在分类分级的基础上,不同行业的数据敏感等级、数据分类都不一致,且由于数据规范问题,数据表里对数据的定义和描述差异也很大,想通过一套工具来实现数据分类分级几乎是不可能的,更别提要人工参与,耗时耗力还不一定能做的好,那么后续的监控、管控、告警等闭环动作都无法有效的开展。
-
数据流动场景变得复杂,管理通道无法全闭环
当前哪怕是一个10几人团队的小电商公司,数据的流传场景都非常多,涉及到客服人员可以查询订单、物流信息、客户信息的同时防止更多的用户隐私数据泄露,仓储人员可以查询仓储数据,与客服共享上述信息等,财务税务报税访问各种互联网上的税务应用等数据交换共享场景非常多。个人电脑没有限制,既能上内网,也能访问云上的saas应用,同时还可以访问互联网,数据几乎都是裸奔的状态。同时还要防着各种数据可能泄露的通道,其中github、云盘、云笔记等影子IT对数据防泄露工作基本是个噩梦,更加难以防范。
-
有意或无意泄露数据的“内鬼”
对于企业的内部人员来说很容易拿到一些敏感数据(往往员工不知道哪些算是敏感数据),更别说这些数据对于有心者是如何发挥作用产生“价值”的,比如物流公司的客服可以拿到客户信息要和厂家沟通物流进度,管理订单状态;律所工作人员可以轻易拿到案件相关的文件与合作的律所共享等等,这类人员的工作属性每天都在接触一些敏感数据,而且有需要与外部共享。
-
传统的方式表现不尽人意
说起数据防泄露就不得提DLP这个产品,从诞生开始就被寄予厚望,但实际的效果是网络DLP识别率低,终端DLP误报、使用体验问题都导致项目难以推动和实践,邮件DLP的表现中规中矩,但对于当下丰富的数据泄露场景和方式,显得性价比很低。
3、PC沙箱的独特之处
PC沙箱在物理PC上创造了一个虚拟的、独立的、安全的办公环境,企业IT管理员期望员工无论是企业派发的电脑或是自己的电脑在互联网或是在企业内网访问企业数据的时候都能是一个独立的纯净环境,这个环境能让限制数据与宿主机的交互,也无需安装EDR、VPN、DLP等工具,能够让普通平员继续访问业务,访问数据,同时也起到的数据的防护作用。
同时在国内PC沙箱的厂家往往与零信任访问控制产品相结合,从终端安全、链路加密、数据使用、最小权限等多维度提供了一种综合性的解决方案。
从市场的情况来看,PC沙箱这两年是越来越火,但从各个厂家的产品来看,产品稳定性和功能丰富度上还处于起步阶段。同时PC沙箱的使用一定要贴合业务流程,所以也会有一定的行业属性在里面,就考验产品经理的洞察能力和对行业的理解能力。总之在接下来的几篇文章,从产品规划设计、技术原理以及市场推广几个方面都谈谈自己的想法,也欢迎大家批评指正。
原文始发于微信公众号(零信任安全前哨站):PC沙箱能解决数据安全难题吗?
