RSAC 2024创新沙盒|Antimatter:全方位数据安全管理利器

5月6日

RSA Conference 2024

将正式启幕

作为“安全圈的奥斯卡”

RSAC 创新沙盒(Innovation Sandbox

已成为网络安全业界的创新标杆

创新之下

与绿盟君一道

聚焦网络安全新热点

洞悉安全发展新趋势

走进Antimatter

*RSAC 2024 创新沙盒十强

公司简介

Antimatter[1]是一家数据安全公司,致力于为SaaS服务供应商提供加密基础设施,为数据在静态存储、传输过程中提供加密能力,并且在数据使用过程中提供访问控制、日志记录、隐私保护等能力。该公司的愿景是“无论数据处于何处,每个人都能控制自己的数据”。

Antimatter公司成立于2021年,总部位于美国旧金山。公司联合创始人分别为Andrew Krioukov(CEO)、Michael Andersen(CTO)和Beau Trincia(设计副总裁)。其中Krioukov与Andersen均从加州伯克利分校RISELab获得博士学位,Krioukov曾是工作场所管理服务公司Comfy的创始人兼CEO,后来Comfy被西门子收购;Andersen则是该团队的密码学专家;Trincia也是Comfy创始成员之一,并在著名设计公司IDEO担任过长达七年之久的设计主管。

2022年3月31日,Antimatter获1200万美元的A轮融资[2],该投资由投资公司New Enterprise Associates领投,General Catalyst和UNION Labs参与投资。

图1 Antimatter创始人Andrew Krioukov、Michael Andersen和Beau Trincia

背景介绍

随着云计算技术的不断发展与云服务的普及,SaaS模式成为越来越多企业和个人的选择。然而伴随着SaaS软件增多与用户的增长,对SaaS服务供应商的安全要求也在不断提高。在这种模式下,用户可能会将大量包含敏感信息和个人隐私的数据托管给SaaS服务提供商进行处理和存储,这种依赖性加大了数据被非法访问或泄露的风险。在CSA发布的《2023年SaaS安全调查报告》[3]中可以看出,有58%的SaaS公司发生过数据渗透事件、有41%的SaaS公司发生过数据泄露事件。

图2 《2023年SaaS安全调查报告》数据安全事件数据

此外,数据存储与处理的合法合规性需求也成为SaaS服务供应商所要面对的问题。为应对部分地区的合法合规性需求,SaaS服务供应商或需要对部分用户的数据与其他用户数据做隔离,或将部分用户数据存储在特定地区。这些安全需求大大增加了SaaS服务提供商开发团队与安全团队的工作量。

创始人Krioukov表示[4],他们在创立Antimatter前遇到最多的需求如下:

  • 数据驻留:将数据存放在特定国家或地区;
  • 数据隔离:将数据与其他客户数据分开存储;
  • 数据治理:限制数据访问权限。

因此,在云上用户数据不断增多的今天,SaaS服务供应商如何保证用户数据安全,并满足合法合规性要求,成为了关键问题。

Antimatter如何保护数据

Antimatter有哪些组件

Antimatter提供了一个全面而强大的数据管理工具,其设计理念为:无论数据存储在何处,无论使用哪种系统,用户都可以用统一的去中心化数据控制平面来管理自己的数据。该数据控制平面由以下三部分组成:

  • 一组管理服务
  • 为用户提供数据管理、密钥管理、策略以及其它设置等后台管理能力。默认情况下用户可以使用Antimatter提供的SaaS控制平面,在浏览器上轻松管理自身数据;
  • 一种加密的对象格式
  • Antimatter将这种对象格式命名为“胶囊”(Capsule),用户数据与相应元数据都存储在胶囊中,胶囊中支持存储表格数据、字典、地图数据以及简单的unicode文本等多种数据格式。胶囊本身也可被存储在多种存储类型中,如文件、S3存储桶、SQL数据、矢量数据库等;
  • 一组通用的编程语言库与通用工具插件
  • 目前Antimatter已支持的工具库包括命令行工具、Python、Rust、TypeScript以及提供REST API,用户可自行开发程序来使用Antimatter。

Antimatter使用“域”(Domain)作为账户的基本单元,一般情况下用户可在浏览器上登录进自己的域中使用管理服务,创建一个或多个数据胶囊。大多数API调用都在一个域内进行,调用时需要根据域中配置的身份进行认证。一个胶囊总与一个域关联,对于胶囊中数据的读写策略需要在域中进行配置。

图3 通过Web服务在域中管理数据访问策略

Antimatter如何管理数据

Antimatter将域中丰富的数据管理能力称为“数据控制”,其主要能力如下:

  • 数据分类
  • 在向胶囊中写入数据时,Antimatter支持提供AI分类器来检测和标记数据中包含的个人身份信息等内容;
  • 访问控制
  • 用户在域中可以配置数据访问策略与多种访问身份,确保数据只能由被授权的身份访问;
  • 数据转换
  • 当数据被访问时,可能需要根据访问控制策略向不同的访问身份提供不同的数据子集或数据格式,因此Antimatter提供数据转换能力,将存储的数据根据不同策略做相应转换处理;
  • 加密
  • 胶囊中的数据使用三层密钥方案进行加密,涉及密钥分别为根加密密钥(REK)、密钥加密密钥(KEK)和数据加密密钥(DEK)。其中胶囊由DEK进行加密,DEK则被KEK加密,生成ENC_DEK,并将ENC_DEK与胶囊一起存储。KEK则被REK加密,而REK一般保存在外部,可由数据所有者或数据处理者(如使用Antimatter管理数据的SaaS供应商)持有。
  • 日志审计
  • Antimatter提供丰富的日志系统,用户可以在域中管理平面上轻松查询哪些主体访问了哪些数据、哪些主体更改了哪些策略等记录。
  • 数据清单
  • Antimatter提供所有胶囊的清单列表,用户可通过Web服务或编程语言库来查看自己的域中有哪些数据胶囊以及其对应信息(如大小、标签、创建时间等)。

Antimatter特点分析

通过上述介绍不难看出,Antimatter的核心在于提供了胶囊这一特殊的对象结构,对用户数据做了一层封装,便于提供加密、访问控制等能力。在数据封装这一过程中,Antimatter的主要特点在于,在与胶囊交互进行数据写入与读取过程中,增加了丰富的数据处理能力。

当用户向胶囊写入数据时,可增加数据处理hook,其中较有代表性的为使用大语言模型来提取数据中的个人身份信息并做标记处理的hook。在读取数据时,Antimatter可根据访问控制策略与标记信息,仅展示数据的部分内容,对非授权内容进行匿名化处理。对于个人身份信息数据处理效果如图4所示,但Antimatter能做到的不止这点,针对同一数据,有两种不同访问权限,Antimatter可展示这一数据的不同子集,如对权限A仅展示姓名与信用卡号,而对权限B展示姓名与密码。在模型训练场景中,若要使用同一数据的不同内容来训练不同的模型,通过这种机制可以大大提升数据隐私性。

图4 数据中个人身份信息处理效果

此外,Antimatter宣称他们花费了大量精力设计了其特有的加密与密钥管理方案。在3.2章节中我们提到了Antimatter使用三层密钥方案,用户可自行持有与管理自身根密钥REK,满足用户对自带密钥的需求(Bring Your Own Key,BYOK)。创始人Andersen提出他们使用机密计算技术所提供的enclave环境来存储密钥加密密钥KEK[5],因此SaaS服务供应商与Antimatter均无法看到KEK,减小了密钥暴露风险。

在这种密钥管理架构下,攻击者需要同时从数据拥有者处窃取到REK,从Antimatter处窃取到加密的KEK,以及从数据存储处窃取到该KEK对应的密文,才能实现数据窃取。该架构使得数据攻击面得以减小,增加了攻击者的攻击难度。

总结

随着业务上云需求的增长,SaaS服务供应商要托管的用户数据也随之增多,由此带来的数据安全问题也逐渐成为SaaS服务供应商所面临的巨大挑战。云上数据的存储、传输、使用过程中均需要相应防护手段来防止敏感信息泄露。Antimatter所做的并不仅仅是简单的数据安全防护,其更主要的目的是为SaaS服务供应商提供简单、统一、快捷的数据安全管理基础设施,SaaS服务供应商可以不再需要访问用户全部数据明文,由用户自行决定其哪部分数据可以对哪些访问者开放。这将大大降低SaaS服务供应商在数据安全部分的工作量,降低其服务成本。

目前Antimatter已有成功案例,它为美国顶级合同管理企业软件开发商Ironclad公司提供了数据安全解决方案[6],使得Ironclad的用户可以轻松地使用简单的界面实现配置BYOK以及管理自身数据的能力。相信随着Antimatter的不断完善,它将成为越来越多SaaS公司的数据安全保障选择。

参考链接

[1] https://www.antimatter.io/

[2] https://www.crunchbase.com/organization/antimatter-d7f1/company_financials

[3] https://cloudsecurityalliance.org/artifacts/state-of-saas-security-2023-survey-report

[4] https://www.antimatter.io/blog/the-founding-of-antimatter

[5] https://www.antimatter.io/blog/what-byok-really-means

[6] https://www.antimatter.io/blog/case-study-how-antimatter-helps-ironclad-meet-the-data-security-requirements-of-fortune-50-companies

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。

上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author