數據安全形勢日益嚴峻，企業如何有效管理海量數據（尤其是“影子數據”）成為一大挑戰。數據安全姿勢管理(DSPM)工具應運而生，旨在幫助企業發現、追蹤并保護所有數據，無論這些數據位于何處，處于何種狀態。

數據安全態勢管理（DSPM）是一個相對較新的市場，正處于快速增長階段，2022年DSPM的市場滲透率不到1%。但是根據Gartner的預測，2026年DSPM市場滲透率將激增到20%以上。

由于DSPM是數據安全領域的新興產品，企業在選型時往往缺乏足夠參考和指導，以下，我們將點評海外市場最具代表性的十二個DSPM產品，并總結了DSPM產品的五大核心能力。

十二個頂級DSPM產品（排名不分先后）

1、Concentric Semantic Intelligence

該平臺將DSPM與威脅檢測相結合，可集成各種安全工具，涵蓋非結構化和結構化數據，并提供深入的AWS服務數據覆蓋。

2、Cyera Data Security Platform

Cyera平臺擁有用于掃描本地文件的網絡模塊，并可以與Netskope、各種專業數據目錄（例如Collibra、Secoda、DataHub）、Wiz、Splunk和Tines集成。它還提供一系列可操作的儀表盤。

3、Eureka Security

Eureka將DSPM與威脅檢測相結合，并可與數據湖和數據倉庫（例如Snowflake、Atlas、Salesforce、ServiceNow和基于Jira的工單系統）集成。默認情況下，新數據會在24小時內掃描，現有數據每14天會掃描一次以查找更改。

4、IBM Security Guardium Insights SaaS DSPM

IBM去年收購了Polar Security，目前正將其納入其完整的Guardium安全產品中。它僅掃描云數據，并預置了敏感數據定義。

5、Normalyze Cloud Platform

Normalyze可以掃描云端和本地數據源，并在識別配置錯誤時進行自動修復。它開箱即用地與SOAR、第三方工單、通知和自動化平臺集成，例如ServiceNow、Slack、Jira等。

6、One Trust Privacy and Data Governance Cloud

OneTrust可以跨云端和本地環境掃描200多個不同的數據源，但無法識別用戶帳戶級別的訪問權限。可以直接與Snowflake和Databricks集成，以協調動態訪問控制以及其他安全工具，例如ITSM、DLP和數據目錄。

7、Palo Alto Networks Prisma Cloud DSPM

Prisma可以與SIEM、工作流和工單解決方案、SSO集成，并提供超過100個預構建的數據分類器。支持Snowflake、Office365和本地文件共享。

8、Securit iData Command Center DSPM

Data Command Center在其工具中添加了各種漏洞管理和合規性管理功能，并且支持數據流傳輸技術，例如Confluent、Kafka、Kinesis和Google PubSub。提供350個內容分類器，支持多種語言以及超過一千條預定義檢測規則。它可以與各種云原生安全服務、CASB、CNAPP、CSPM、CIEM、KSPM、SIEM、DLP、IDS和合規性工具集成。

9、Sentra Cloud-Native Data Security Platform

Sentra深度支持各種云計算服務，以及容器和虛擬機。它擁有自己的數據檢測和響應工具，可實現近實時檢測，并提供一系列可操作的儀表盤。可以與數據管理(DataDog、DataHub、Coralogix)、電子郵件、ITSM(Jira、PagerDuty、ServiceNow)、CNAPP(Wiz)、協作(Atlan、AzureBoards、Slack、Teams、Monday.com)、IAM(Okta、AD)、IR(Seemplicity)、SIEM(Splunk)和本地文件共享集成。

10、Symmetry Systems Data Guard DSPM

DataGuard提供文本豐富的儀表盤以及附加的策略實施模塊。可以與各種安全工具集成，包括SIEM(Splunk、Chronicle SIEM、SumoLogic、LogRhythm、Securonix)、SOAR(Prisma CortexX SOAR、Google Chronicle、Microsof tSentinel、Tines)、工單系統(Jira和ServiceNow)和通知系統(Slack和PagerDuty)。

11、Varonis Data Security

Varonis在數據安全領域擁有十多年的經驗，可與SIEM(例如Splunk)、SOAR(例如Palo Alto XSOAR)、防火墻、VPN、Web代理、DNS服務、ActiveDirectory、EntraID、MicrosoftPurview信息保護和Okta集成。

12、Wiz for DSPM

Wiz添加了一個名為Runtime Sensor的輕量級代理，用于檢測和響應。除了常見的云數據源之外，它還可以掃描各種本地數據庫，例如MySQL、PostgreSQL、MongoDB及其云版本，并與超過60種不同的安全產品集成。但只有高級許可計劃才能享受完整的DSPM功能集。

數據安全態勢管理(DSPM)工具的五大核心能力

DSPM工具通常由以下組件構成：

• 用于跟蹤本地數據的代理和無代理收集器
• 用于檢測和排序數據集合的集中式管理儀表盤
• 數據來源和使用情況映射
• 合規性評估模塊

企業在考察和評估DSPM產品時，需要重點關注其五大核心能力：

核心能力一：數據發現

DSPM產品的核心功能之一是幫助企業全面識別其數據資產，涵蓋各種類型的數據存儲庫，包括云端和本地部署的數據庫、結構化數據和非結構化數據，甚至是最初由IT部門以外的部門創建的、可能被忽視或遺忘的“影子數據存儲庫”。

不同廠商的DSPM產品在數據發現層面各有側重。例如，所有廠商均支持一定程度的云存儲庫可視性，涵蓋亞馬遜網絡服務(AWS)、谷歌云平臺(GCP)和微軟Azure等主流云服務商的部分存儲空間。然而，這并不意味著DSPM產品可以覆蓋所有與數據相關的服務。例如，AWS提供種類繁多的數據處理服務，如S3存儲、關系數據庫服務、Redshift云數據倉庫、Athena無服務器SQL查詢和Elasticsearch托管數據服務等，但并非所有DSPM工具都能完美識別這些服務中的全部數據。Securiti公司在這方面做得比較細致，會明確列出每個云平臺支持的服務，但其他廠商的產品透明度則稍遜一籌。Varonis公司則采用了另一種方法，使用“通用數據連接器”來搜索更廣泛的云端和本地結構化數據源。

值得注意的是，并非所有云服務都得到所有DSPM工具的支持。例如，Sentra不支持Azure Synapse Analytics存儲的數據，Symmetry不支持大型機數據庫以及ServiceNow和Salesforce中存儲的數據，Wiz也無法識別Databricks、啟用客戶管理密鑰的透明數據加密的AWS Redshift或Azure SQL服務器中的數據存儲。不過，隨著客戶需求的不斷增長，廠商也在持續擴展其覆蓋范圍。

核心能力二：數據分類評估

找到數據只是第一步，后續的數據分類、評估和匯總同樣重要。如果沒有嚴格的安全控制措施，此過程可能會帶來安全風險。因此，大多數DSPM廠商強調“客戶數據始終駐留在客戶的環境中”。這通常意味著使用只讀訪問權限來收集應用程序、服務和數據庫結構的元數據，而非實際數據本身。廠商將此稱為“無代理”或“API訪問”。這種方法的優勢在于能夠快速掃描大量數據，從而理解其使用性質和潛在風險因素。

在發現數據并收集元數據之后，DSPM工具會定期掃描數據，查看是否發生變化，例如數據是否被復制到云端的某個未知角落，或者是否有用戶更改了訪問權限，導致數據暴露于更大風險之中。這些工具可以提供跨所有云端和本地數據位置的統一視圖。“定期”是關鍵所在，掃描任務可以設置為默認周期（例如每天或每周），也可以在發現新的數據存儲庫時觸發。

數據在生產環境中的使用方式也是數據安全需要關注的方面，這包括數據管道、數據湖和數據倉庫。DSPM工具可以通過創建數據映射來梳理此類環境，并協助審計，以枚舉誰可以訪問哪些數據資源，以及在哪些特定情況下數據會在企業內部共享。數據映射不僅可以起到可視化效果，更能幫助識別諸如“影子數據”被遺棄等關鍵問題。

核心能力三：數據治理與安全生態的融合

數據治理是數據安全的重要一環。DSPM工具可幫助企業分配風險并應用一致的安全策略來管理其所有數據集合，并與其他安全工具協作以實施這些策略并修復安全漏洞。

核心能力四：全方位的產品架構

在企業網絡安全和數據安全防御體系中，DSPM的主要功能定位是“定位器”，負責發現問題，修復問題則需要一整套安全工具，例如SOAR、SIEM、CNAPP等。此外，DSPM往往與CSPM（云安全態勢管理）組合使用，前者負責找到數據，后者負責保護云基礎設施。

一些DSPM供應商開始將上述“修復”工具也集成或合并到他們的DSPM產品中，這可能導致整體方案定價較高（10萬美元/年）。

值得注意的是，DSPM市場正在快速發展中，廠商正在不斷為DSPM產品添加新功能，或與其他安全工具集成，并相互形成各種聯盟。該領域的收購熱潮也已經開始：去年Palo Alto Networks收購了Dig，Rubrik收購了Laminar Security，IBM收購了Polar Security。

核心能力五：集成與部署

大多數廠商提供兩種部署方式，既可以將DSPM產品作為獨立工具使用，也可以將其與第三方安全服務集成（例如Wiz和Securiti提供的服務），或作為其自身安全產品組合的一部分，與其他附加模塊（例如身份管理、云管理、檢測和響應以及日志分析工具）協同工作（例如Cyera、Varonis、Wiz和Palo Alto Networks）。

不同廠商的集成能力存在差異。Varonis和Palo Alto Networks等廠商擁有更廣泛的集成支持，而IBM和Normalyze等廠商的集成能力則相對有限，甚至仍處于開發階段。企業在選擇DSPM工具時，需要仔細評估集成范圍、集成級別、包含的其他保護功能，以及哪些功能需要額外付費都需要花一些功夫調查清楚。

DSPM產品的部署方式可以是完全基于SaaS的云解決方案、內部部署服務器或專用虛擬機，或者以上幾種方式的組合。