這并不意味著企業(yè)可以將其數(shù)據(jù)安全的責(zé)任轉(zhuǎn)移給云計(jì)算提供商。企業(yè)需要采取許多基本的安全措施,從身份驗(yàn)證開始。雖然這適用于所有用戶,但它對(duì)于系統(tǒng)管理員來說尤其重要。他們的密碼泄露可能等同于交出企業(yè)業(yè)務(wù)的主密鑰。對(duì)于管理人員來說,多因素身份驗(yàn)證實(shí)踐對(duì)于安全操作至關(guān)重要。使用智能手機(jī)添加生物識(shí)別技術(shù)是該認(rèn)證的第二或第三部分中的最新潮流,具有很多創(chuàng)造性的策略。
除了保護(hù)訪問云計(jì)算數(shù)據(jù)之外,又如何保護(hù)數(shù)據(jù)本身呢?人們已經(jīng)聽說過當(dāng)一組實(shí)例被刪除時(shí)發(fā)生的主數(shù)據(jù)泄露,但是相應(yīng)的數(shù)據(jù)卻沒有泄露,而過了一段時(shí)間,這些文件變得松散,并可能導(dǎo)致出現(xiàn)一些問題。這是因?yàn)閿?shù)據(jù)所有者的粗心大意而引起的。
這個(gè)問題有兩個(gè)答案:對(duì)于規(guī)模較大的云端設(shè)置,建議使用云計(jì)算數(shù)據(jù)管理器來跟蹤所有數(shù)據(jù)和孤立點(diǎn)文件。這應(yīng)該能夠阻止游蕩的數(shù)據(jù),但是當(dāng)黑客以任何方式進(jìn)入,并能夠獲得有用的當(dāng)前數(shù)據(jù)時(shí),情況如何呢?答案很簡單,就是良好的加密。
采用加密措施比在目錄上使用壓縮軟件PKZIP更有意義。AES-256加密或更好的加密措施是必不可少的。密鑰管理至關(guān)重要,而讓管理員擁有密鑰相當(dāng)于等待一場災(zāi)難的發(fā)生,而工作人員在便條上寫下密碼更是一種極端。云計(jì)算提供商提供的一種選擇是基于驅(qū)動(dòng)器的加密,但是這種方式失敗了。首先,基于驅(qū)動(dòng)器的加密通常只有幾個(gè)可供選擇的密鑰,并且黑客通過猜測,可以輕松訪問互聯(lián)網(wǎng)上的數(shù)據(jù)。其次,數(shù)據(jù)必須由驅(qū)動(dòng)器所連接的網(wǎng)絡(luò)存儲(chǔ)設(shè)備解密。然后在發(fā)送到請(qǐng)求服務(wù)器時(shí)重新加密(或不加密)。在這個(gè)過程中有很多安全漏洞。
端到端加密要好得多,使用服務(wù)器中保存的密鑰進(jìn)行加密。這阻止了下游安全漏洞轉(zhuǎn)化成問題,同時(shí)也增加了對(duì)數(shù)據(jù)包嗅探的保護(hù)。
數(shù)據(jù)蔓延很容易通過云計(jì)算創(chuàng)建,但又會(huì)帶來另一種安全風(fēng)險(xiǎn),特別是當(dāng)大量的云管理分散到部門計(jì)算,甚至用戶時(shí)。云計(jì)算數(shù)據(jù)管理工具比書面的政策更能解決這個(gè)問題。它也考慮增加全局重復(fù)數(shù)據(jù)刪除的存儲(chǔ)管理和價(jià)值,這將顯著減少數(shù)據(jù)曝光量。
最后,關(guān)于如何備份數(shù)據(jù)的這個(gè)問題如今正在發(fā)生變化。傳統(tǒng)備份和災(zāi)難恢復(fù)已經(jīng)從采用磁帶和磁盤存儲(chǔ)轉(zhuǎn)變?yōu)閷⒃朴?jì)算作為首選存儲(chǔ)介質(zhì)?,F(xiàn)在的問題是,其備份過程是否是合適的策略,而不是快照或連續(xù)備份系統(tǒng)。而快照方法正在增長,由于小型恢復(fù)窗口和有限的數(shù)據(jù)丟失可能具有風(fēng)險(xiǎn),但是由于沒有單獨(dú)的備份副本(可能存儲(chǔ)在不同的云中)可能會(huì)帶來風(fēng)險(xiǎn)。
以下,將詳細(xì)介紹企業(yè)在使用公共云時(shí)可以保護(hù)其數(shù)據(jù)的方式:
(1)多因素認(rèn)證
企業(yè)應(yīng)該為訪問云計(jì)算數(shù)據(jù)的用戶強(qiáng)制實(shí)施強(qiáng)密碼,并且許多企業(yè)希望超越密碼保護(hù),能夠提供更好的安全措施,以實(shí)現(xiàn)多因素認(rèn)證。要求超越密碼保護(hù)意味著采用多因素認(rèn)證。第二種選擇可能是指紋、聲紋或視網(wǎng)膜掃描。另一種選擇是設(shè)置幾個(gè)只有用戶才知道該如何回答的具有挑戰(zhàn)性的問題。
然而,即使擁有強(qiáng)大的身份驗(yàn)證,仍然存在內(nèi)部風(fēng)險(xiǎn),通常是心懷不滿的內(nèi)部管理人員或編碼人員。企業(yè)可以應(yīng)用數(shù)據(jù)分析來發(fā)現(xiàn)一些奇怪的訪問模式,例如下載關(guān)鍵文件或窺探與工作任務(wù)無關(guān)的區(qū)域。就個(gè)人而言,需要鎖定服務(wù)器上的USB端口,但這并不能阻止移動(dòng)設(shè)備或基于瀏覽器的操作。確保管理人員和編碼人員訪問的唯一答案是嚴(yán)格限制區(qū)域訪問,將其知識(shí)此限制在只需知道的基礎(chǔ)上。
(2)VPN管理
云計(jì)算中的VPN是“免費(fèi)”設(shè)置和管理的,因此請(qǐng)使用它們來保護(hù)數(shù)據(jù)。將用戶限制在他們自己的區(qū)域,并將其鎖定在其他區(qū)域的可見性之外。這對(duì)于防止命令和控制僵尸網(wǎng)絡(luò)來說尤其重要,因?yàn)檫@些攻擊允許攻擊者毫不費(fèi)力地造成大量傷害。企業(yè)盡可能多地訪問層,以使得給定數(shù)據(jù)集的清除路徑根本不存在。流量監(jiān)控在這里很有用,因?yàn)椴粚こ5南螺d或上傳可以標(biāo)記為可疑活動(dòng)。
(3)數(shù)據(jù)管理工具
人們經(jīng)常聽到數(shù)據(jù)對(duì)象被泄露。這些往往是由于某些管理員的粗心大意造成的,但沒有人是完美的,復(fù)雜性正在快速增長。然而,它們通常都是純文本的,完全可讀,有時(shí)其內(nèi)容遍布整個(gè)網(wǎng)絡(luò)。
其解決方案是部署數(shù)據(jù)管理軟件工具,搜索和定位數(shù)據(jù)并監(jiān)控使用情況。這是一個(gè)熱門的IT領(lǐng)域,將擁有越來越多的優(yōu)秀解決方案。
另外,在虛擬機(jī)中,臨時(shí)本地實(shí)例驅(qū)動(dòng)器也可以讓數(shù)據(jù)曝光泄露。例如,如果實(shí)例崩潰,工作人員是否知道數(shù)據(jù)會(huì)發(fā)生什么變化?如果找不到它,但服務(wù)器可能已經(jīng)死機(jī),可以采用自己的可移動(dòng)驅(qū)動(dòng)器(例如加密密鑰)。如果服務(wù)器的崩潰只是暫時(shí)的,云計(jì)算服務(wù)提供商如何防止數(shù)據(jù)被讀取?采用SSD硬盤尤其是一個(gè)問題。他們的備用塊池很大,只能在后臺(tái)刪除。云計(jì)算服務(wù)商(CSP)需要注意防止新租戶進(jìn)入備用空間。
(4)重復(fù)數(shù)據(jù)刪除
數(shù)據(jù)蔓延可能是廉價(jià)租用云存儲(chǔ)的后果。為什么要?jiǎng)h除它只需花費(fèi)幾美分的成本?重復(fù)數(shù)據(jù)刪除對(duì)象可以提供幫助。這不是壓縮技術(shù),而是查看對(duì)象內(nèi)部的數(shù)據(jù)重復(fù)以查找可能的縮減。重復(fù)數(shù)據(jù)刪除最終會(huì)得到任何給定對(duì)象的適當(dāng)保護(hù)的單個(gè)副本。對(duì)該對(duì)象的所有其他用途或引用只是元數(shù)據(jù)文件中的指針。
重復(fù)數(shù)據(jù)刪除有兩件事:它節(jié)省了驅(qū)動(dòng)器空間,并簡化了管理。簡化管理實(shí)際上更重要,尤其是在人們將分析和索引工具添加到存儲(chǔ)系統(tǒng)時(shí)。任何花費(fèi)時(shí)間搜索具有相同名稱的文件目錄的管理員都需要了解這個(gè)價(jià)值主張。
復(fù)制管理也允許數(shù)據(jù)得到充分保護(hù)。使用相同的ID保護(hù)單個(gè)副本比數(shù)十個(gè)要容易得多。
(5)加密
你經(jīng)常加密自己的文件嗎?根據(jù)研究,人們對(duì)數(shù)據(jù)加密的意識(shí)仍然不強(qiáng),這是這些災(zāi)難性數(shù)據(jù)泄漏的根源。而沒有對(duì)公共云中的數(shù)據(jù)進(jìn)行加密對(duì)于工作人員來說是一種失職,以下是一些工作人員應(yīng)該或不該做的事情:
·使用AES或更好的加密
·加密文件或?qū)ο竺Q,或者至少將它們放在加密的元數(shù)據(jù)文件中
·不要為所有對(duì)象使用一個(gè)密鑰
·限制知道密鑰的管理員人數(shù)
·在源處加密,因此黑客嗅探傳輸數(shù)據(jù)包將會(huì)失敗
·不要使用基于驅(qū)動(dòng)器的加密,因?yàn)榇蠖鄶?shù)驅(qū)動(dòng)器都可以在網(wǎng)絡(luò)上使用(短)密鑰列表。
工作人員需要仔細(xì)查看云計(jì)算服務(wù)提供商的加密選項(xiàng)。
(6)備份和災(zāi)難恢復(fù)(DR)
業(yè)內(nèi)人士對(duì)于連續(xù)備份或快照是否是數(shù)據(jù)與傳統(tǒng)的單獨(dú)備份復(fù)制軟件的一種更好的保護(hù)方式存在爭議??煺沼捎谔峁┝撕芎玫亩攘繕?biāo)準(zhǔn)而具有吸引力,但是有哪些區(qū)域可用于將快照合并到災(zāi)難恢復(fù)(DR)中?存儲(chǔ)主數(shù)據(jù)的同一云服務(wù)提供商內(nèi)的備份是否明智?是否存在潛在的附加問題?這些問題需要企業(yè)認(rèn)真思考。
如果做得好,采用多區(qū)域或多云復(fù)制的快照永久存儲(chǔ)策略看起來非常有前景,無論從經(jīng)濟(jì)角度還是從數(shù)據(jù)保護(hù)角度來看都是如此。不過,在此建議企業(yè)對(duì)這個(gè)問題進(jìn)行一些研究,因?yàn)椴⒎撬械慕鉀Q方案都是平等一致的。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)