What is data security posture management (DSPM)?

DSPM is a modern, data-centric security approach designed to protect distributed data. It automatically discovers, classifies, and evaluates the security posture of sensitive data across infrastructure-as-a-service (IaaS), platform-as-a-service (PaaS), and software-as-a-service (SaaS) environments.

What are the main security challenges that make DSPM necessary?

DSPM is critical for addressing several modern data security challenges, including data sprawl, shadow data (unapproved or forgotten datasets), permission creep, and limitations of legacy data-protection tools.

DSPM has four key phases: data discovery, data classification, risk and posture assessment, and remediation and continuous monitoring.

How does DSPM differ from CSPM?

DSPM is data-centric, whereas cloud security posture management (CSPM) secures infrastructure, such as the cloud buckets where data might reside.

How does DSPM differ from SSPM?

DSPM focuses on securing data while SaaS security posture management (SSPM) concentrates on the SaaS platform’s configuration posture, such as user roles and security settings.

What are some practical applications (use cases) for a DSPM tool?

Organizations can implement DSPM tools to address specific use cases, including discovering shadow data, enforcing least-privilege access, strengthening compliance, and governing AI and data workflows.

How can Cloudflare assist with an organization's DSPM strategy?

Cloudflare's data protection services apply DSPM principles by offering integrated visibility, control, and protection across SaaS, cloud, on-premises, and AI-driven workloads. Integrated data loss prevention (DLP), cloud access security broker (CASB), and zero trust capabilities enable the Cloudflare platform to automatically discover and safeguard sensitive data. The unified platform detects misconfigurations, enforces consistent security policies, and reduces risk with a data-centric zero trust approach.

什么是数据安全态势管理 (DSPM)？

了解这种现代的、以数据为中心的安全方法，该方法可以跨多个环境自动发现、分类和评估敏感数据的安全态势。

学习目标

阅读本文后，您将能够：

定义 DSPM
了解 DSPM 的工作原理
区分 DSPM 与其他工具

什么是数据安全态势管理 (DSPM)？

组织数据的分布范围比以往任何时候都更广泛。从云服务和软件即服务（SaaS）应用到生成式 AI（GenAI）工具和开发人员环境，无数系统正在创建、共享和存储敏感信息。虽然这种灵活性推动着创新，但也会带来复杂性和风险：当数据无处不在时，对其进行查看、管理和保护就会变得更加困难。

传统数据安全工具是为本地网络构建，并非为当今的实际情况而设计。这些工具缺乏对现代云环境的可见性，并且无法发现新兴的风险来源，例如影子数据（即数据存储在未经授权的系统中）以及未受监控的 AI 活动。

数据安全态势管理 (DSPM)旨在解决保护分布式数据的这一难题。这是一种现代化的、以数据为中心的安全方法，能够在基础设施即服务 (IaaS)、平台即服务 (PaaS) 以及 SaaS 环境中自动发现、分类和评估敏感数据的安全态势。DSPM 持续提供对敏感数据的可见性和控制能力（无论数据位于何处），从而帮助组织检测暴露风险、实施最低权限并在其整个数字生态系统中维持合规性。

与其他仅关注基础设施配置的工具不同，DSPM 专注于数据本身。DSPM 工具能够识别数据的性质、驻留位置、访问权限以及安全状况。

为何 DSPM 至关重要

DSPM 是一种保护数据的重要方法，原因如下：

数据蔓延导致难以获得可见性。如今，敏感数据分散在多个云工作负载、SaaS 工具、数据湖和第三方应用中。安全团队通常不知道这些信息驻留在哪里。
影子数据增加数据泄露风险。未经批准或遗忘的数据集，例如旧的 S3 存储桶、重复的导出或开发人员副本，可能会成为高风险盲点。
权限蔓延现象十分普遍。随着团队和应用程序的演变，用户通常会保留过多的访问权限，因此难以实施最小权限原则。
传统工具远不能满足需求。传统的数据丢失防护 (DLP)工具或边界防护无法覆盖现代分布式环境，也无法保护存储在云中的静态数据。
合规需要耗费大量资源。人工审计和分类流程缓慢、成本高昂且容易出错。DSPM 实现了该过程大部分的自动化。
AI 采用需要数据治理。采用 AI 大幅提升了数据治理的复杂度。必须严格控制敏感的训练和查询数据，以防止数据泄露和监管违规。
高管期待明确性。领导层和监管机构越来越要求对以下三个主要问题给出明确的答案：我们的敏感数据在哪里？谁有权访问？是否安全？

DSPM 的工作原理

DSPM 通过四个关键支柱运作，这些支柱共同构成了一个持续的可见性、评估和改进的生命周期。

1. 数据发现

DSPM 工具会自动扫描 IaaS、PaaS 和 SaaS 环境，以定位所有数据存储——包括“影子”数据源和非结构化数据源。
然后，它们会构建一个统一清单，记录整个组织内敏感数据所在的位置。

2. 数据分类

DSPM 工具使用自动化和机器学习来标记数据，例如个人可识别信息 (PII)、个人健康信息 (PHI)、财务记录或知识产权。
它们会添加上下文（例如来自客户账单记录或员工 HR 系统的信息），以帮助确定保护的优先级。

3. 风险与安全态势评估

DSPM 工具持续评估数据暴露风险，例如公开可访问的存储、配置错误或弱加密、权限过度以及跨区域数据传输。
然后，它们会根据风险的严重程度和对合规性的影响来确定风险的优先级。

4. 修复与持续监控

这些工具提供了可执行的建议，以便首先修复最关键的问题。
它们与工作流集成，以删除多余权限、强制加密或隔离暴露的数据。
它们监控数据访问模式，并标记异常或未经授权的使用。
然后，随着数据的移动和演变，DSPM 工具持续监控变更，以保持合规性。

DSPM 与其他工具的不同之处

DSPM 与 CSPM 的比较

云安全态势管理 (CSPM)保护基础设施的安全，例如云存储桶的配置是否正确。DSPM 保护存储桶内的数据——了解哪些数据是敏感数据，谁可以访问这些数据，以及这些数据是否存在风险。

DSPM 与 CSPM 的比较

SaaS 安全态势管理 (SSPM)专注于 SaaS 配置态势（例如，强大的多因素身份验证、正确的用户角色以及 SaaS 平台自身的安全设置）。DSPM 专注于存储于或通过这些 SaaS 应用共享的数据的敏感性与暴露程度。

DSPM 和数据丢失防护 (DLP)

数据丢失防护保护传输中的数据（例如，防止员工将敏感数据输入公共 AI 工具）。DSPM 保护静态数据，并通过在所有存储库中提供以数据为中心的关键可见性与风险上下文，对 DLP 形成补充。

请寻找一款能在单一平台中提供这些功能的工具。通过集成各项功能，组织可以实现真正以数据为中心的安全策略，从而保护其最敏感的资产，无论这些资产处于何种状态（静态或动态）。

DSPM 的主要使用场景

组织可以实施 DSPM 工具来解决特定用例。组织可以实施 DSPM 工具来解决特定的使用场景：

管理云和 SaaS 数据蔓延。您可以在 IaaS、PaaS 和 SaaS 环境中查找并清点敏感数据，从而消除重复、孤立或遗忘的数据集，并降低风险。
发现并缓解影子数据。DSPM 工具可以发现未经监控或未经授权的数据存储，例如过期的 S3 存储桶或未经许可的 SaaS 应用，并将其置于管控之下，以防止意外泄露。
执行最低权限访问。您可以识别过度授权的帐户和权限，并修复不必要的访问权限。
加强合规和审计就绪度。借助 DSPM 工具，您可以自动执行发现、分类和报告，以满足 GDPR、CCPA、PCI DSS 和 HIPAA 等法规的要求，从而减少人工审计工作并提高准确性。
治理 AI 和数据工作流程。保护 AI 和机器学习模型中使用的敏感数据，防止训练数据或输出泄露，并保持跨云环境的可见性。

如何开始使用 DSPM

当您的组织准备部署 DSPM 解决方案时，请考虑采取以下步骤：

评估您当前的数据环境。清点所有数据存储库，包括云、SaaS 和本地，并确定敏感或受监管数据的存储位置。
定义目标。设定可衡量的目标，例如将公共风险降低一定比例，或实现持续合规报告。
投资于培训和文化。对团队开展有关云数据分类、法规要求以及最小权限访问的重要性等的培训。
选择适当的 DSPM 工具。选择一款能够自动执行发现和分类，与云和 SaaS 平台集成，并提供持续监控和报告的 DSPM 解决方案。
与现有工作流程集成。将 DSPM 发现结果与身份与访问管理 (IAM)、云访问安全代理 (CASB)、DLP、安全信息与事件管理 (SIEM)、安全编排、自动化与响应 (SOAR) 以及 Zero Trust 架构进行关联。
实施持续监控。跟踪新数据创建、使用和共享模式，并定期审查风险态势。
试点并推广。您可以从一个业务部门或一种数据类型入手，衡量成效，待价值得到验证后，再向整个组织推广。

如何构建 DSPM 的业务论证

采用 DSPM 不仅仅是一个技术决策，而是一项战略决策，它必须与更广泛的业务成果相一致。以下是构建 DSPM 业务论证的一些最佳实践：

将 DSPM 定位为业务关键型系统。数据是您最重要的资产，数据泄露会直接影响收入、声誉和合规性。高管团队越来越期望获得数据风险指标和态势可见性
阐述风险场景。请使用具体示例来进行论证——例如公开存储桶暴露、未受监控的 AI 数据摄入或输出，以及存储受监管信息的 SaaS 应用配置错误。
突出运营效益。DSPM 减少了手动审计工作量，提高了报告准确性，并提供传统审计无法实现的实时洞察。

Cloudflare 如何帮助实现 DSPM？

Cloudflare 数据保护服务通过融合跨所有环境（包括 SaaS、云、本地及 AI 驱动型工作负载）的可见性、控制与保护，将 DSPM 原则付诸实践。借助集成的数据丢失防护、CASB 和 zero trust 功能，Cloudflare 能够自动发现并保护敏感数据，无论这些数据位于何处。

Cloudflare 还将态势管理从基础设施扩展到数据本身。其统一平台能够检测配置错误，实施一致的安全策略，并帮助确保敏感数据在上下文中保持安全，无论数据流向何处。通过提供以数据为中心的 zero trust 方法，Cloudflare 使组织能够在不牺牲性能或创新的情况下降低风险，即使在快速发展的 AI 和开发环境中也如此。

这些能力使安全和 IT 团队能够在简化运营的同时，实现数据安全态势的现代化。Cloudflare 帮助组织实现持续合规、降低暴露风险，并保护驻留在所有位置的数据——这一切都通过单一的全球分布式网络完成。

了解 Cloudflare 如何帮助保护敏感数据。

常见问题解答

什么是数据安全态势管理 (DSPM)？

DSPM 是一种以数据为中心的现代安全方法，旨在保护分布式数据。它可以自动发现、分类和评估基础设施即服务 (IaaS)、平台即服务 (PaaS) 和软件即服务 (SaaS) 环境中敏感数据的安全态势。

哪些主要安全挑战使得 DSPM 成为必要？

DSPM 对于应对多项现代数据安全挑战至关重要，包括数据蔓延、影子数据（未经批准或被遗忘的数据集）、权限蔓延以及传统数据保护工具的局限性。

DSPM 的工作原理是什么？

DSPM 包含四个关键阶段：数据发现、数据分类、风险与态势评估，以及修复和持续监控。

DSPM 与 CSPM 有何不同？

DSPM 以数据为中心，云安全态势管理 (CSPM) 则保护基础设施，例如数据可能驻留的数据存储云桶。

DSPM 与 CSPM 有何不同？

DSPM 侧重于保护数据，而 SaaS 安全态势管理 (SSPM) 则专注于 SaaS 平台的配置态势，例如用户角色和安全设置。

DSPM 工具的实际使用场景有哪些？

组织可以部署 DSPM 工具来应对特定用例，包括发现影子数据、实施最小权限原则、增强合规性以及管理 AI 和数据工作流程。

Cloudflare 如何协助组织的 DSPM 战略？

Cloudflare 的数据保护服务应用 DSPM 原则，通过 SaaS、云、本地部署和 AI 驱动的工作负载提供集成的可见性、控制和保护。通过集成数据丢失防护 (DLP)、云访问安全代理 (CASB) 和 Zero Trust 功能，Cloudflare 平台能够自动发现并保护敏感数据。该统一平台检测错误配置，执行一致的安全策略，并通过以数据为中心的 zero trust 方法来降低风险。

入门指南

关于云

云配置

云安全

学习中心导航