信息化觀察網(wǎng)

在2016年，Dropbox公司的6800萬(wàn)個(gè)用戶賬戶被泄露。網(wǎng)絡(luò)攻擊者利用了一個(gè)保管不善的員工密碼，從該公司在2012年及更早創(chuàng)建的賬戶中獲取電子郵件地址和密碼。這些數(shù)據(jù)被網(wǎng)絡(luò)攻擊者在暗網(wǎng)上出售。

盡管云存儲(chǔ)很方便，并且無(wú)論用戶使用什么設(shè)備都可以隨時(shí)隨地訪問(wèn)數(shù)據(jù)，但云存儲(chǔ)的安全性都是組織非常關(guān)心的問(wèn)題。

將數(shù)據(jù)存儲(chǔ)在云中意味著組織的機(jī)密文件和敏感數(shù)據(jù)面臨新的風(fēng)險(xiǎn)。存儲(chǔ)在云中的數(shù)據(jù)超出了用于保護(hù)組織數(shù)據(jù)中心中敏感數(shù)據(jù)的安全保護(hù)措施的限制。

因此在云存儲(chǔ)方面，除了Dropbox、AWS、微軟和谷歌等云存儲(chǔ)提供商提供的基本安全措施之外，組織還必須采取其他措施來(lái)保護(hù)云存儲(chǔ)數(shù)據(jù)的安全性。

保證云存儲(chǔ)安全是共同的責(zé)任

云存儲(chǔ)提供商和用戶共同負(fù)責(zé)云存儲(chǔ)安全。云存儲(chǔ)提供商保護(hù)用戶的數(shù)據(jù)免受入侵和數(shù)據(jù)竊取。組織應(yīng)該采用更多的安全措施以加強(qiáng)云存儲(chǔ)中的數(shù)據(jù)保護(hù)，并限制對(duì)云中敏感信息的訪問(wèn)。

如果組織的員工沒(méi)有采取必要的安全措施，云存儲(chǔ)提供商幾乎無(wú)法保護(hù)其敏感數(shù)據(jù)免受未經(jīng)授權(quán)的訪問(wèn)。因此，組織必須讓其員工了解組織的數(shù)據(jù)可能面臨泄露的潛在風(fēng)險(xiǎn)。

云存儲(chǔ)提供商向組織提供數(shù)據(jù)保護(hù)解決方案。這些解決方案為如何將數(shù)據(jù)移入和移出云平臺(tái)提供了完全的可見(jiàn)性和基于策略的控制。這種做法可以確保只有經(jīng)過(guò)授權(quán)的數(shù)據(jù)才能對(duì)外輸出，并且只有得到執(zhí)行方的批準(zhǔn)才能傳輸。

歸根結(jié)底，這取決于組織是否希望在云存儲(chǔ)提供商已經(jīng)提供安全保護(hù)的基礎(chǔ)上對(duì)重要數(shù)據(jù)采用更可靠的防護(hù)措施。盡管如此，如果云存儲(chǔ)提供商沒(méi)有發(fā)現(xiàn)安全漏洞，組織需要采用更多的安全措施保證其數(shù)據(jù)安全。

選擇云存儲(chǔ)安全解決方案

在選擇云存儲(chǔ)安全解決方案時(shí)，組織應(yīng)確保為與云存儲(chǔ)所有形式的數(shù)據(jù)交互提供連續(xù)的監(jiān)視和可見(jiàn)性。它應(yīng)該提供對(duì)過(guò)濾到用戶代理和操作系統(tǒng)事件的文件移動(dòng)的精細(xì)控制。

行業(yè)領(lǐng)先的云存儲(chǔ)提供商還將數(shù)據(jù)保護(hù)措施擴(kuò)展到通過(guò)加密存儲(chǔ)的數(shù)據(jù)。加密的數(shù)據(jù)以密碼方式鎖定到私鑰，除非私鑰可用，否則無(wú)法解密。

數(shù)據(jù)加密的重要性

云存儲(chǔ)提供商不僅確保數(shù)據(jù)的完整性和可用性，還確保其機(jī)密性。也就是說(shuō)，即使在網(wǎng)絡(luò)攻擊者獲得組織憑據(jù)的訪問(wèn)權(quán)限的情況下，其數(shù)據(jù)仍然被加密，因此網(wǎng)絡(luò)攻擊者無(wú)法破解這些數(shù)據(jù)。網(wǎng)絡(luò)攻擊者也希望通過(guò)登錄這些憑據(jù)之一來(lái)獲取對(duì)組織數(shù)據(jù)的訪問(wèn)權(quán)，或者想在暗網(wǎng)上出售這些數(shù)據(jù)，但加密方法使他們難以得逞，

數(shù)據(jù)加密使組織的數(shù)據(jù)無(wú)法讓沒(méi)有密鑰的人員破解，從而保護(hù)了數(shù)據(jù)的隱私，其加密的數(shù)據(jù)看起來(lái)像一長(zhǎng)串隨機(jī)字符。

加密對(duì)數(shù)據(jù)的隱私至關(guān)重要，但它并不能解決所有的安全問(wèn)題。最佳安全實(shí)踐采用多層方法。數(shù)據(jù)必須是端到端安全的，因此數(shù)據(jù)加密是用戶身份驗(yàn)證、數(shù)據(jù)完整性、數(shù)字簽名和不可否認(rèn)性的關(guān)鍵措施。

數(shù)據(jù)必須在傳輸和靜態(tài)存儲(chǔ)時(shí)加密。傳輸過(guò)程中的數(shù)據(jù)加密是保證雙方通信安全的基礎(chǔ)。靜態(tài)數(shù)據(jù)加密就是為了維護(hù)存儲(chǔ)數(shù)據(jù)的機(jī)密性。

安全性不再是一種奢侈品而是必需品，這不僅成為組織的首席信息安全官(CISO)關(guān)心的問(wèn)題，也已經(jīng)成為每位IT專業(yè)人員的責(zé)任。以下了解一下數(shù)據(jù)加密如何與云存儲(chǔ)提供商的安全措施相結(jié)合。

云中的數(shù)據(jù)加密

當(dāng)人們談?wù)撊绾螌?shù)據(jù)從內(nèi)部部署數(shù)據(jù)中心存儲(chǔ)到云存儲(chǔ)庫(kù)(例如Amazon S3、Google Cloud Storage和Azure Blob Storage)時(shí)，必須了解他們只負(fù)責(zé)保護(hù)其云存儲(chǔ)基礎(chǔ)設(shè)施免受入侵和數(shù)據(jù)盜竊。主要的云存儲(chǔ)供應(yīng)商采用的是企業(yè)級(jí)安全措施，因此實(shí)際上是很安全的。

偽裝成組織員工的網(wǎng)絡(luò)攻擊者仍然可以訪問(wèn)組織的數(shù)據(jù)，對(duì)其進(jìn)行解密并將其推送到他的服務(wù)器，而無(wú)需云存儲(chǔ)供應(yīng)商提供任何標(biāo)記。為了解決這個(gè)問(wèn)題，云存儲(chǔ)供應(yīng)商提供了一些工具來(lái)限制訪問(wèn)，并監(jiān)視從組織的存儲(chǔ)帳戶中傳輸出來(lái)的數(shù)據(jù)。組織有責(zé)任使用大多數(shù)這些工具在細(xì)粒度級(jí)別保護(hù)數(shù)據(jù)的權(quán)限。

在本文中僅限于靜態(tài)數(shù)據(jù)加密。云計(jì)算服務(wù)提供商使用傳輸層安全(TLS)對(duì)傳輸中的數(shù)據(jù)進(jìn)行加密。TLS是一個(gè)開(kāi)放的協(xié)議，因此不同的云存儲(chǔ)提供商之間的差別不大。

對(duì)于靜態(tài)數(shù)據(jù)加密，每個(gè)云存儲(chǔ)提供商都有自己的加密方法，其中包括加密、私鑰管理和密碼登陸。總之，加密有兩個(gè)方面：服務(wù)器端和客戶端。

服務(wù)器端加密vs.客戶端加密

使用服務(wù)器端加密，只有在將數(shù)據(jù)傳輸?shù)浇邮照?在這種情況下為對(duì)象存儲(chǔ)服務(wù))之前，數(shù)據(jù)才會(huì)被加密。幸運(yùn)的是，所有主要的云存儲(chǔ)提供商都提供服務(wù)器端加密服務(wù)，并在實(shí)現(xiàn)細(xì)節(jié)上有一些不同之處，特別是在私鑰存儲(chǔ)方面。

通過(guò)客戶端加密，數(shù)據(jù)在發(fā)送者端進(jìn)行加密，然后再傳輸?shù)浇邮照?在這種情況下也是對(duì)象存儲(chǔ)服務(wù))。同樣，所有主要的云存儲(chǔ)提供商都允許客戶端加密，但有所不同。

云中數(shù)據(jù)加密的優(yōu)缺點(diǎn)

在當(dāng)今世界，網(wǎng)絡(luò)攻擊和盜竊事件日益增多，數(shù)據(jù)加密至關(guān)重要。從安全的觀點(diǎn)來(lái)看，數(shù)據(jù)加密也至關(guān)重要。如果不希望自己的個(gè)人信息可供組織外部的任何人使用，則最佳方法是通過(guò)組織之間的端到端加密來(lái)保護(hù)數(shù)據(jù)。

此外，醫(yī)療和財(cái)務(wù)記錄等高風(fēng)險(xiǎn)數(shù)據(jù)必須始終加密，只有組織的授權(quán)人員才能訪問(wèn)，

1.數(shù)據(jù)加密的優(yōu)點(diǎn)

(1)改善數(shù)據(jù)安全性

將數(shù)據(jù)從一個(gè)地方遷移到另一個(gè)地方時(shí)，將處于較高的風(fēng)險(xiǎn)中。那就是最需要加密的時(shí)候。加密既可以在傳輸層面工作，也可以在靜態(tài)層面上工作，從而降低了受到中間人攻擊的風(fēng)險(xiǎn)。

(2)保密性

保密性是數(shù)據(jù)加密用于鎖定人員的安全性，隱私和敏感信息的主要原因。與此同時(shí)，它提供了隱私保護(hù)，并降低了欺詐的機(jī)會(huì)。

(3)可靠性

數(shù)據(jù)加密可以保護(hù)數(shù)據(jù)資源，使其免受網(wǎng)絡(luò)攻擊者的侵害。盡管加密的數(shù)據(jù)不能完全抵御網(wǎng)絡(luò)欺詐和攻擊，但數(shù)據(jù)所有者可以隨時(shí)識(shí)別其數(shù)據(jù)中是否存在惡意事件，這為他們采取主要行動(dòng)提供了更好的機(jī)會(huì)。

(4)合規(guī)性

加密是存儲(chǔ)和移動(dòng)數(shù)據(jù)的最安全技術(shù)之一，因?yàn)樗蠈?duì)組織強(qiáng)制的法規(guī)要求和限制，例如遵循FIPS、FISMA、HIPAA或PCI/DSS等法規(guī)。

2.數(shù)據(jù)加密的缺點(diǎn)

雖然云計(jì)算安全和數(shù)據(jù)加密已被證實(shí)是保護(hù)組織具有價(jià)值信息的最有效方法，但它們也有其局限性。

(1)繁瑣的數(shù)據(jù)恢復(fù)

數(shù)據(jù)加密是保護(hù)敏感數(shù)據(jù)的一種非常有效的方法。但是有時(shí)候由于受到數(shù)據(jù)訪問(wèn)工具控制，組織在聲明自己擁有的數(shù)據(jù)時(shí)變得更加困難。

(2)安全漏洞

數(shù)據(jù)加密的一個(gè)主要障礙是，它僅對(duì)已經(jīng)傳輸?shù)臄?shù)據(jù)提供部分安全性。

(3)數(shù)據(jù)傳輸費(fèi)用

數(shù)據(jù)加密措施可能會(huì)變得很昂貴，因?yàn)樗枰叨葟?fù)雜的安全存儲(chǔ)系統(tǒng)來(lái)保存加密的數(shù)據(jù)。其系統(tǒng)還必須具有足夠的可擴(kuò)展性以進(jìn)行升級(jí)，從而增加了相關(guān)成本。

這些是數(shù)據(jù)加密的主要的優(yōu)點(diǎn)和缺點(diǎn)。組織是否希望使用云計(jì)算加密保護(hù)其業(yè)務(wù)數(shù)據(jù)完全取決于自己的判斷。盡管存在種種限制，但確實(shí)需要在云存儲(chǔ)中進(jìn)行數(shù)據(jù)加密。

數(shù)據(jù)加密和公共云供應(yīng)商

AWS S3、Microsoft Azure Blob Storage和Google Cloud Storage等主要云存儲(chǔ)提供商都采用一套通用的對(duì)稱和非對(duì)稱加密技術(shù)來(lái)保護(hù)數(shù)據(jù)和密鑰，并提供服務(wù)器端和客戶端加密。當(dāng)采用現(xiàn)代公共云存儲(chǔ)解決方案中常見(jiàn)的對(duì)稱和非對(duì)稱加密技術(shù)時(shí)，AES-256和RSA將成主要的標(biāo)準(zhǔn)。

適合采用云存儲(chǔ)嗎?組織有什么選擇?

如果組織在不同的地點(diǎn)經(jīng)營(yíng)以數(shù)據(jù)為中心的業(yè)務(wù)，那么隨時(shí)隨地的可訪問(wèn)性對(duì)組織而言比什么都重要。在這種情況下，將數(shù)據(jù)存儲(chǔ)在組織的內(nèi)部部署存儲(chǔ)中是不可行的，必須選擇可靠的云存儲(chǔ)解決方案。

幸運(yùn)的是，所有云計(jì)算供應(yīng)商都提供了內(nèi)置了頂級(jí)安全措施很好的選擇。他們采用業(yè)界標(biāo)準(zhǔn)的加密技術(shù)來(lái)保護(hù)客戶端和服務(wù)器端的數(shù)據(jù)。

對(duì)于云存儲(chǔ)解決方案中的數(shù)據(jù)安全性，漏洞和數(shù)據(jù)盜竊通常是管理組織的存儲(chǔ)帳戶的管理員的疏忽或不知道將解密數(shù)據(jù)發(fā)送給誰(shuí)的員工的過(guò)錯(cuò)。

通過(guò)強(qiáng)大的權(quán)限管理、監(jiān)視支持和訪問(wèn)控制，組織可以通過(guò)限制對(duì)云存儲(chǔ)中敏感信息的訪問(wèn)來(lái)避免這些風(fēng)險(xiǎn)。

AWS S3存儲(chǔ)桶使得使用AWS身份和訪問(wèn)管理(IAM)進(jìn)行訪問(wèn)控制變得非常容易。使用AWS IAM，組織的管理員可以獨(dú)立管理用戶權(quán)限，并向組織員工授予Amazon S3存儲(chǔ)桶及其文件夾和文件的詳細(xì)權(quán)限。

Google Cloud IAM和Microsoft Azure IAM分別將相同的功能擴(kuò)展到Azure Blob Storage和Google Cloud Storage。

亞馬遜公司的AWS S3和IAM在行業(yè)領(lǐng)域的應(yīng)用時(shí)間更長(zhǎng)，因此在可用的調(diào)整方面趨于成熟，從而為組織提供了無(wú)與倫比的方式來(lái)根據(jù)自己的安全策略自定義最佳設(shè)置。

如果組織已經(jīng)訂閱了其他Microsoft Enterprise服務(wù)(例如Microsoft 365 Enterprise)，則微軟公司的Azure Blob Storage也是一個(gè)明智的選擇。微軟公司提供的集成水平仍然是市場(chǎng)上其他云存儲(chǔ)解決方案無(wú)法比擬的。如果組織是一家中小型企業(yè)，那么Google Cloud Storage也是一個(gè)很好的選擇。