信息化觀察網(wǎng)

為了應(yīng)對(duì)云存儲(chǔ)安全性的挑戰(zhàn)，IT經(jīng)理必須解決一些完全不同的問題、挑戰(zhàn)和云安全風(fēng)險(xiǎn)。

隨著云存儲(chǔ)變得越來(lái)越流行，云存儲(chǔ)安全性對(duì)人們來(lái)說(shuō)已成為一個(gè)迫切的話題。這也是企業(yè)意識(shí)到的一個(gè)具有挑戰(zhàn)性的話題。對(duì)于一系列廣泛的問題和風(fēng)險(xiǎn)，需要?jiǎng)?chuàng)建確保數(shù)據(jù)安全的最佳實(shí)踐。

這是因?yàn)樵拼鎯?chǔ)涉及在任何地方、任何時(shí)間訪問數(shù)據(jù)，并且包含更廣泛的用戶信息、應(yīng)用程序和數(shù)據(jù)源。即使沒有破壞云平臺(tái)，黑客也有可能訪問和獲取Google Drive、Dropbox、Box、Microsoft OneDrive和其他云存儲(chǔ)提供商的個(gè)人賬戶。

以下對(duì)如何解決云存儲(chǔ)安全問題并更好地保護(hù)云平臺(tái)中的數(shù)據(jù)進(jìn)行闡述：

云存儲(chǔ)保護(hù)基礎(chǔ)知識(shí)

任何云存儲(chǔ)安全計(jì)劃的出發(fā)點(diǎn)都是了解數(shù)據(jù)在云平臺(tái)中的存儲(chǔ)方式。在最基本的層面上，云平臺(tái)依靠邏輯池來(lái)跨越多個(gè)服務(wù)器存儲(chǔ)數(shù)據(jù)。存儲(chǔ)服務(wù)提供商在場(chǎng)外操作這些系統(tǒng)，并通過(guò)控制節(jié)點(diǎn)連接整個(gè)環(huán)境。

此控件使具有全球互聯(lián)網(wǎng)連接的組織可以按需訪問文件。隨著組織變得更加敏捷和靈活，這種靈活性變得越來(lái)越重要。

云計(jì)算數(shù)據(jù)安全通常涉及許多工具、技術(shù)和方法。云計(jì)算的一個(gè)主要優(yōu)點(diǎn)是許多安全元素已經(jīng)內(nèi)置到系統(tǒng)中。這通常包括靜止和移動(dòng)數(shù)據(jù)進(jìn)行的強(qiáng)加密。它還可能包括：

地理圍欄。使用IP地址和其他地理位置數(shù)據(jù)來(lái)創(chuàng)建地理邊界并識(shí)別可疑活動(dòng)。

基于策略的生命周期保留。系統(tǒng)使用數(shù)據(jù)分類策略來(lái)管理和自動(dòng)化數(shù)據(jù)的存儲(chǔ)、保留、存檔和刪除方式。

數(shù)據(jù)感知過(guò)濾。這個(gè)功能允許組織監(jiān)視特定條件和事件。例如，誰(shuí)訪問了信息以及何時(shí)訪問信息。它可以與基于角色的授權(quán)和權(quán)限相關(guān)聯(lián)。

•詳細(xì)日志和完整用戶/工作負(fù)載審計(jì)跟蹤報(bào)告。查看日志和審計(jì)工作負(fù)載的能力可以提供對(duì)安全問題和漏洞風(fēng)險(xiǎn)的深入了解。

•備份和恢復(fù)功能。這些基本功能允許組織處理停機(jī)，但也可以處理安全風(fēng)險(xiǎn)，例如勒索軟件攻擊和惡意刪除的數(shù)據(jù)。強(qiáng)大的基于云計(jì)算的災(zāi)難恢復(fù)解決方案可在各種條件下提供可用性。

云存儲(chǔ)安全風(fēng)險(xiǎn)

云數(shù)據(jù)安全不僅僅是簡(jiǎn)單地備份文件。同樣重要的是要認(rèn)識(shí)到同步文件無(wú)法確保安全保護(hù)，因?yàn)榭赡軣o(wú)法備份密鑰文件。而且，商業(yè)服務(wù)提供商具有不同的存儲(chǔ)和管理文件的方式，他們可能會(huì)也可能不會(huì)提供修訂歷史記錄，并且可能只在特定時(shí)間段內(nèi)存儲(chǔ)先前版本。

Varonis公司發(fā)布的2017年全球數(shù)據(jù)風(fēng)險(xiǎn)報(bào)告發(fā)現(xiàn)，71%的文件夾都包含過(guò)期數(shù)據(jù)。

很多時(shí)候，組織會(huì)在云平臺(tái)中沒有必要駐留有價(jià)值的數(shù)據(jù)，或者可能會(huì)錯(cuò)誤地認(rèn)為文件已經(jīng)在云平臺(tái)中備份。如果不清楚數(shù)據(jù)所在的位置以及數(shù)據(jù)提供者如何管理數(shù)據(jù)，那么就無(wú)法制定有效的云數(shù)據(jù)保護(hù)計(jì)劃。

如果發(fā)生違規(guī)行為，這種缺乏洞察力的行為可能會(huì)造成嚴(yán)重破壞。組織可能會(huì)發(fā)現(xiàn)關(guān)鍵文件突然無(wú)法訪問，或者它們可能不再存在。另一方面，IT經(jīng)理可能會(huì)發(fā)現(xiàn)那些本不應(yīng)該存放在云中的關(guān)鍵數(shù)據(jù)被盜。而在更糟糕的情況下，數(shù)據(jù)可能會(huì)被黑客和網(wǎng)絡(luò)攻擊者所掌握。

云計(jì)算數(shù)據(jù)保護(hù)的關(guān)鍵領(lǐng)域涉及Web應(yīng)用程序安全性。根據(jù)Alert Logic公司發(fā)布的2017年云安全報(bào)告，在18個(gè)月的評(píng)估期內(nèi)，Web應(yīng)用程序占到所有事件的75%。此外，Web應(yīng)用程序安全廠商Veracode公司報(bào)告稱，有56%的PHP應(yīng)用程序至少有一個(gè)SQLi漏洞。這些漏洞會(huì)引發(fā)暴力攻擊、惡意軟件感染、不受歡迎的外部偵測(cè)以及拒絕服務(wù)攻擊。

另一個(gè)問題是無(wú)意中將原有的、未使用的和流氓設(shè)備和應(yīng)用程序連接到云平臺(tái)。影子IT(Shadow IT)增加了曝光點(diǎn)，同時(shí)增加了大量的數(shù)據(jù)來(lái)監(jiān)督和保護(hù)。設(shè)備或密碼泄露可能允許黑客訪問系統(tǒng)。

云存儲(chǔ)的安全性如何?

人們?cè)絹?lái)越認(rèn)識(shí)到，主要的云計(jì)算提供商的云服務(wù)通常比內(nèi)部部署系統(tǒng)提供更強(qiáng)大的安全性。Alert Logic公司發(fā)布的調(diào)查報(bào)告表明，企業(yè)數(shù)據(jù)中心與公共云的安全事件相比要高出51%。云存儲(chǔ)具有以下主要優(yōu)勢(shì)：

云平臺(tái)為數(shù)據(jù)和安全實(shí)踐提供更好的端到端可見性。

云平臺(tái)為加密密鑰提供單點(diǎn)管理。

供應(yīng)商經(jīng)常提供集中的云存儲(chǔ)控制來(lái)管理用戶和數(shù)據(jù)。

云平臺(tái)減少并且有時(shí)消除了對(duì)可能配置不一致或不正確的本地安全體系結(jié)構(gòu)的需求。

云存儲(chǔ)提供商通常會(huì)快速更新系統(tǒng)，以反映新出現(xiàn)或不斷變化的安全威脅。

顯然，云存儲(chǔ)為數(shù)據(jù)安全策略增加了額外的關(guān)注點(diǎn)，并且常常增加了復(fù)雜性。它要求企業(yè)重新考慮云存儲(chǔ)安全標(biāo)準(zhǔn)。但它最終可以降低成本，并提高整體數(shù)據(jù)保護(hù)能力。

云存儲(chǔ)安全最佳實(shí)踐

建立云存儲(chǔ)框架和云存儲(chǔ)安全標(biāo)準(zhǔn)至關(guān)重要。以下是五種云存儲(chǔ)最佳實(shí)踐：

(1)評(píng)估企業(yè)的云計(jì)算架構(gòu)

安全云存儲(chǔ)要求組織識(shí)別連接到云平臺(tái)的所有設(shè)備和應(yīng)用程序。了解企業(yè)中存在哪些云存儲(chǔ)系統(tǒng)、誰(shuí)使用它們，以及如何使用它們也是至關(guān)重要的。

組織可以通過(guò)映射數(shù)據(jù)如何在系統(tǒng)、設(shè)備、應(yīng)用程序、APIS和云平臺(tái)之間流動(dòng)來(lái)實(shí)現(xiàn)高安全性云存儲(chǔ)。幸運(yùn)的是，許多云存儲(chǔ)應(yīng)用程序顯示了他們連接的其他應(yīng)用程序和服務(wù)。這可以極大地簡(jiǎn)化映射任務(wù)，并在必要時(shí)斷開與其他應(yīng)用程序或服務(wù)的連接。

(2)確定云存儲(chǔ)提供商如何解決隱私和安全問題

服務(wù)條款協(xié)議是識(shí)別云計(jì)算提供商提供的一般保護(hù)的良好起點(diǎn)。但這還不足以確保安全的文件存儲(chǔ)。云計(jì)算供應(yīng)商經(jīng)常更新服務(wù)條款和用戶協(xié)議。這使得人們很容易忽視一個(gè)看似微小的改變，而這個(gè)改變可能對(duì)隱私和安全產(chǎn)生重大影響。

此外，大多數(shù)協(xié)議未涵蓋云存儲(chǔ)提供商如何實(shí)施安全性，其使用的具體保護(hù)以及發(fā)生故障或破壞時(shí)會(huì)發(fā)生什么等細(xì)節(jié)。因此，仔細(xì)定義政策和程序非常重要。這可能需要進(jìn)一步討論和談判。

(3)需要知道有哪些保護(hù)措施

云安全加密是一項(xiàng)基本要求。了解云存儲(chǔ)提供商如何使用加密非常重要，其中包括數(shù)據(jù)中心、服務(wù)器和存儲(chǔ)設(shè)備之間的傳輸，、誰(shuí)控制加密密鑰，以及如何將其應(yīng)用于特定數(shù)據(jù)集。

同樣，使用云計(jì)算提供商的組織應(yīng)該知道誰(shuí)可以訪問系統(tǒng)，以及它具有哪些其他保護(hù)措施來(lái)防范從分布式拒絕服務(wù)(DDoS)攻擊到應(yīng)用程序安全漏洞的所有問題。

(4)將數(shù)據(jù)分類方法付諸實(shí)踐。

并非所有數(shù)據(jù)都是相同的。對(duì)它進(jìn)行處理也是保障云計(jì)算環(huán)境內(nèi)外安全的一個(gè)方法。更重要的是，隨著組織積累大量非結(jié)構(gòu)化數(shù)據(jù)，數(shù)據(jù)安全性變得越來(lái)越復(fù)雜。

因此，了解數(shù)據(jù)的價(jià)值非常重要，無(wú)論是存儲(chǔ)在云平臺(tái)中還是存檔在磁盤或磁帶等媒體上，以及所有這些都轉(zhuǎn)化為企業(yè)的風(fēng)險(xiǎn)承受能力。另一個(gè)因素是政府法規(guī)的數(shù)據(jù)合規(guī)性，例如Sarbanes-Oxley或歐盟的通用數(shù)據(jù)隱私法規(guī)(GDPR)。一些云存儲(chǔ)服務(wù)提供了內(nèi)置工具來(lái)促進(jìn)這些流程。

(5)在所有設(shè)備和系統(tǒng)中使用多重身份驗(yàn)證

多因素身份驗(yàn)證的廣泛使用可以降低未經(jīng)授權(quán)的人訪問系統(tǒng)或應(yīng)用程序，并使用它來(lái)降低惡意軟件或獲取其他數(shù)據(jù)后門的風(fēng)險(xiǎn)。雖然管理員賬戶的風(fēng)險(xiǎn)可能更大，但標(biāo)準(zhǔn)應(yīng)用程序和工具不會(huì)消失。多因素身份驗(yàn)證可以幫助保護(hù)敏感數(shù)據(jù)免受黑客、心懷不滿的員工和其他可能故意或無(wú)意中將數(shù)據(jù)置于風(fēng)險(xiǎn)中的內(nèi)部人員的攻擊。

最后，企業(yè)可以通過(guò)專注于跨供應(yīng)商的計(jì)算和數(shù)據(jù)框架，以及學(xué)習(xí)如何使用和管理新工具和技術(shù)來(lái)實(shí)現(xiàn)強(qiáng)大的云數(shù)據(jù)安全性。與云計(jì)算提供商密切合作以確保數(shù)據(jù)存儲(chǔ)安全方法滿足其要求也很重要，而最佳實(shí)踐方法可以幫助企業(yè)實(shí)現(xiàn)最安全的云存儲(chǔ)。

天下數(shù)據(jù)是國(guó)內(nèi)屈指可數(shù)的擁有多處海外自建機(jī)房的新型IDC服務(wù)商，被業(yè)界公認(rèn)為“中國(guó)IDC行業(yè)首選品牌”。天下數(shù)據(jù)與全球近120多個(gè)國(guó)家頂級(jí)機(jī)房直接合作，除提供傳統(tǒng)的IDC產(chǎn)品外，天下數(shù)據(jù)的主要職責(zé)是為大中型企業(yè)提供更精細(xì)、安全、滿足個(gè)性需求的定制化大數(shù)據(jù)解決方案，特別是在直銷、金融、視頻、流媒體、游戲、電子商務(wù)、區(qū)塊鏈、快消等諸多行業(yè)，為廣大客戶解決海外服務(wù)器租用中遇到的各種問題。