保證數(shù)據(jù)安全至關(guān)重要,無論是客戶數(shù)據(jù)還是企業(yè)自己的知識產(chǎn)權(quán),都具有非常深刻的教育意義。數(shù)據(jù)保護(hù)本身涵蓋了廣泛的范圍:
•物理數(shù)據(jù)保護(hù)
•防止設(shè)備故障
•防止數(shù)據(jù)丟失和違規(guī)
數(shù)據(jù)安全對企業(yè)的成功和聲譽(yù)非常重要,但也可能是在安全事件發(fā)生時的IT團(tuán)隊(duì)所面臨的挑戰(zhàn),這意味著工作人員的職業(yè)生涯處在關(guān)鍵時期。因此,企業(yè)需要其存儲架構(gòu)可以更好地完成維護(hù)數(shù)據(jù)存儲完整性的任務(wù)。
混合云架構(gòu)提供了保護(hù)存儲數(shù)據(jù)的安全手段
混合云存儲架構(gòu)是中小型企業(yè)(SME)在安全性至關(guān)重要時可以利用的最佳潛在解決方案之一。它提供了一種安全的端到端體系結(jié)構(gòu),該體系結(jié)構(gòu)可提供云計(jì)算的靈活性以及內(nèi)部部署解決方案的性能,同時仍可將數(shù)據(jù)流從一個站點(diǎn)加密傳輸?shù)搅硪粋€站點(diǎn)。
人們可能會問這個問題:為什么企業(yè)的數(shù)據(jù)中心不能像云平臺一樣安全和容錯?顯然是可能的,但是這樣做成本很高,雖然對于大型企業(yè)來說是可以承受的,但這個選擇已經(jīng)超出了中小企業(yè)的承受能力。憑借其規(guī)模,云計(jì)算提供商可以負(fù)擔(dān)數(shù)據(jù)中心設(shè)施的冗余設(shè)計(jì)、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)運(yùn)營方面的專家費(fèi)用,并開發(fā)優(yōu)化的產(chǎn)品和流程。公共云數(shù)據(jù)中心通常遵循SOC-2,ISO 27001和PCI-DSS合規(guī)性,并遵循美國的聯(lián)邦合規(guī)標(biāo)準(zhǔn)。
公共云提供商開始應(yīng)用大數(shù)據(jù)和人工智能技術(shù)來監(jiān)控他們的云操作、尋找泄漏和配置錯誤。只有規(guī)模龐大的組織才能負(fù)擔(dān)得起或獲得這種專業(yè)知識。公共云提供商依靠自己的資源和能力保護(hù)自己的業(yè)務(wù),并進(jìn)行相應(yīng)的投資,而許多企業(yè)的首席信息官和IT管理人員只會將數(shù)據(jù)中心的IT運(yùn)營視為一個成本中心?;旌显拼鎯κ怪行⌒推髽I(yè)能夠獲得云計(jì)算規(guī)模和效率的好處,包括專業(yè)技術(shù)的優(yōu)勢和卓越運(yùn)營。
物理數(shù)據(jù)的保護(hù)
云計(jì)算的防護(hù)始于物理安全,需要防止盜竊、丟失、意外事故、電力故障和自然災(zāi)害。云計(jì)算數(shù)據(jù)中心更需要物理安全,其選址通常位于偏遠(yuǎn)地區(qū),具有冗余的備用電源和網(wǎng)絡(luò)連接,具有安全的建筑物物理安全和受控訪問,以及它們的大小規(guī)模和存儲管理性質(zhì)使得幾乎無法確定物理位置,或存儲任何組織數(shù)據(jù)的設(shè)備。相比之下,許多企業(yè)往往只有一個數(shù)據(jù)中心,而中小型企業(yè)可能只有一個服務(wù)器機(jī)房或小型數(shù)據(jù)中心。規(guī)模非常小的公司可能只有一個在現(xiàn)場不受保護(hù)的網(wǎng)絡(luò)附屬存儲(NAS)設(shè)備。
為防止物理數(shù)據(jù)丟失,必須擁有物理上獨(dú)立的非現(xiàn)場的備份副本。這并不奇怪,簡單的數(shù)據(jù)備份到云端是最基本的應(yīng)用程序,直到云計(jì)算大數(shù)據(jù)的出現(xiàn),成為了最大的云存儲消耗因素之一。
為了實(shí)施物理分離,云存儲分為冗余或可用區(qū)域。用戶可以從一個數(shù)據(jù)中心內(nèi)的多個區(qū)域進(jìn)行選擇(本地冗余),或者可以在區(qū)域內(nèi)不同位置(區(qū)域冗余)或不同區(qū)域(地理冗余)內(nèi)的不同數(shù)據(jù)中心復(fù)制數(shù)據(jù)。與傳統(tǒng)存儲分層或異地備份不同,基于云計(jì)算的存儲分布在冗余區(qū)域中,并由云存儲系統(tǒng)軟件透明地向用戶處理。
防止設(shè)備故障
下一階段是防止設(shè)備故障導(dǎo)致的數(shù)據(jù)丟失。其無論存儲介質(zhì)是什么,總是存在設(shè)備故障的風(fēng)險(xiǎn),并且隨著不可避免的使用機(jī)械硬盤,SSD硬盤中使用的閃存設(shè)備也會耗損。RAID技術(shù)是為防止硬盤驅(qū)動器故障而開發(fā)的,盡管可以使用容量非常大的硬盤,但RAID的效率越來越低。對于傳統(tǒng)存儲技術(shù)而言,業(yè)界采用的最佳實(shí)踐是遵循3-2-1備份策略,采用不同的存儲介質(zhì),備份到兩個以上存儲設(shè)備中,然后將一個數(shù)據(jù)備份運(yùn)送到異地存儲。這使得維護(hù)存儲硬件、IT時間,以及可能花費(fèi)在戰(zhàn)略業(yè)務(wù)計(jì)劃上的時間變得代價高昂。
數(shù)據(jù)丟失的另一種情況是無意或有意的數(shù)據(jù)刪除。隨著時間的推移,用戶甚至是IT經(jīng)理利用Dropbox和Office 365等文件托管和協(xié)作解決方案,并且已經(jīng)習(xí)慣了云端可靠性,他們認(rèn)為文件始終可用。但是,如果文件被刪除,它只能在短時間內(nèi)恢復(fù)。EMC公司在 2015年進(jìn)行的一項(xiàng)研究發(fā)現(xiàn),數(shù)據(jù)丟失的主要原因是意外刪除(41%),遷移錯誤(31%)和意外覆蓋(26%)。為防止這種情況發(fā)生,幾款提供云備份的新產(chǎn)品特別適用于Office 365。
數(shù)據(jù)也可能因病毒或勒索軟件的攻擊而丟失。根據(jù)威瑞森公司關(guān)于2018年的業(yè)務(wù)風(fēng)險(xiǎn)的調(diào)查研究,勒索軟件是當(dāng)今最流行的惡意軟件事件,這其中包括WannaCry大規(guī)模網(wǎng)絡(luò)攻擊。此外,最近亞特蘭大市政系統(tǒng)遭遇了大規(guī)模勒索軟件攻擊,此次攻擊嚴(yán)重影響了亞特蘭大市的市政運(yùn)營,其影響范圍從工資單到公共交通。
企業(yè)可以通過使用混合云架構(gòu),將關(guān)鍵數(shù)據(jù)存儲位于云中,并且獲得云存儲的所有優(yōu)勢,同時仍然提供了傳統(tǒng)的本地文件管理器界面,將會獲得額外的優(yōu)勢,即文件管理器現(xiàn)在不再是關(guān)鍵部分。由于文件管理器僅僅是云數(shù)據(jù)的緩存,如果它被替換,它只會補(bǔ)充簡單訪問過的大多數(shù)活動文件。
云存儲中的數(shù)據(jù)分布在多個硬盤驅(qū)動器上,云計(jì)算服務(wù)提供商在其整個生命周期中管理數(shù)據(jù),以防止數(shù)據(jù)丟失,并使用戶更換故障驅(qū)動器。如上所述,也可以將數(shù)據(jù)保存在地理位置冗余的位置以獲得最大程度的保護(hù)。
為了獲得額外的保護(hù),云對象存儲可以配置版本控制并且不可更改,這意味著數(shù)據(jù)只能寫入而不被擦除,盡管實(shí)際上可以在啟用擦除時設(shè)置時間限制。這可以確保任何保存的文件版本都可用于恢復(fù)。
災(zāi)難恢復(fù)/文件級恢復(fù)
使用基于硬盤的傳統(tǒng)網(wǎng)絡(luò)附屬存儲(NAS)設(shè)備,人們知道這些硬盤驅(qū)動器將不可避免地出現(xiàn)故障,數(shù)據(jù)恢復(fù)只是時間問題。作為可用的最基本的保護(hù)機(jī)制之一,災(zāi)難恢復(fù)是一項(xiàng)存儲功能,每個人都認(rèn)為它是實(shí)施的重要基準(zhǔn)。但是,如今許多企業(yè)正在利用兩種不同的存儲備份和災(zāi)難恢復(fù)(DR)策略。他們有一個用作主存儲的系統(tǒng),另一個用于備份和恢復(fù)。
利用混合云模型顯著簡化了這一過程,因?yàn)橹行⌒推髽I(yè)對主存儲和備份/災(zāi)難恢復(fù)都使用相同的云存儲服務(wù)?;旌显拼鎯軜?gòu)將文件整合到單個存儲中。這對于具有多個站點(diǎn)的組織尤其有利,因?yàn)樗苊饬藢⒍鄠€副本存儲在單獨(dú)的文件服務(wù)器上,用于隨之而來的復(fù)制成本、活動版本問題和開銷的訪問。隨著云存儲的可擴(kuò)展性和成本下降,結(jié)合完整的命名空間可見性和緩存云文件管理器,在任何時候保持云中可用的文件都是有意義的。
混合云存儲服務(wù)支持文件級恢復(fù)與版本控制相結(jié)合,使用戶可以找到其文件的先前版本,這意味著企業(yè)可以在不必處理整個數(shù)據(jù)存儲的情況下恢復(fù)/備份單個文件。所有這些都具有高性能網(wǎng)絡(luò)連接,以作為加速內(nèi)部部署的一部分。
防止數(shù)據(jù)丟失和泄露
數(shù)據(jù)保護(hù)的第三部分是通過人類行為而引起的數(shù)據(jù)泄露防護(hù)。許多數(shù)據(jù)違規(guī),甚至勒索事件都是通過社交工程釣魚攻擊開始的。文件托管解決方案的另一個問題是影子IT,其中員工將受限數(shù)據(jù)上傳到未經(jīng)授權(quán)的個人云文件托管應(yīng)用程序,例如Google Drive,OneDrive或Dropbox。
其中很多不提供加密的端到端流量,盡管這可能來自更多面向消費(fèi)者的服務(wù)。更大的問題是所有這些服務(wù)都可以方便地進(jìn)行文件共享,而現(xiàn)在IT人員不知道哪些文件已經(jīng)共享,以及與誰共享。這很容易違反CJIS(美國刑事司法信息服務(wù)),F(xiàn)ERPA(美國家庭教育權(quán)利和隱私法),HIPAA(美國健康保險(xiǎn)便攜性和責(zé)任法),MPAA(美國電影協(xié)會)和GDPR(歐盟通用數(shù)據(jù)保護(hù)條例)等行業(yè)規(guī)范和法規(guī)。
數(shù)據(jù)泄露仍然是一個重大的IT問題,主要是人為錯誤的結(jié)果。雖然最好的預(yù)防是培訓(xùn)、系統(tǒng)和流程,但一個持續(xù)的挑戰(zhàn)是人們意識到違規(guī)已經(jīng)發(fā)生。企業(yè)可以通過避免采用影子IT,投資審計(jì)工具,使用Azure AD等身份管理與設(shè)備管理相結(jié)合,以及在空閑和傳輸時加密文件,更好地避免和確定何時發(fā)生違規(guī)。
直到最近還沒有規(guī)定要求企業(yè)舉報(bào)違規(guī)行為,而且通常只是在新聞曝光后才對外公開。歐盟的GDPR(通用數(shù)據(jù)保護(hù)條例)對此規(guī)則進(jìn)行了修改,并使違規(guī)報(bào)告成為企業(yè)的強(qiáng)制性要求。2018年5月25日生效的GDPR法規(guī)不僅適用于歐盟境內(nèi)的組織,而且還適用于歐盟境外的組織,如果它們向歐盟境外提供商品或服務(wù),或者監(jiān)測歐盟數(shù)據(jù)主體的行為的話。GDPR法規(guī)適用于所有處理和持有居住在歐盟的數(shù)據(jù)主體的個人數(shù)據(jù)的公司,無論其位置在哪里。
盡管大多數(shù)主要云計(jì)算供應(yīng)商(AWS、Azure等)表示完全遵循GDPR法規(guī),但企業(yè)的IT組織必須確保其本地和全局文件系統(tǒng)共同構(gòu)成一個兼容的存儲架構(gòu)。
通過采用具有用于訪問的安全本地文件服務(wù)器的混合云架構(gòu),利用身份和設(shè)備管理和審核功能,防止影子IT和限制誰共享文件以及如何共享文件,可以將違規(guī)問題降到最低程序。而如果發(fā)生違規(guī)事件,所具備的準(zhǔn)確的日志文件,不可變數(shù)據(jù)和版本控制將加速取證和恢復(fù)。
持續(xù)保持安全 - 審計(jì)/審查
當(dāng)然,一旦企業(yè)最終確保了混合云存儲架構(gòu)的安全,就不能保證它會保持這種狀態(tài)。企業(yè)需要時刻保持警惕,并定期檢查其存儲平臺,以確保它仍然處于需要的位置。因此,企業(yè)應(yīng)該定期執(zhí)行云合規(guī)審計(jì),以確保所有事情都應(yīng)該屬實(shí)。這些審計(jì)可以跨越企業(yè)的云存儲提供商(或提供商)以及企業(yè)自己的內(nèi)部部署架構(gòu)。
在很多方面,保護(hù)企業(yè)業(yè)務(wù)的數(shù)據(jù)已成為其IT組織最關(guān)鍵的角色。隨著這個充滿活力的市場將會產(chǎn)生更復(fù)雜的攻擊和明顯的漏洞,IT部門有責(zé)任保持技術(shù)領(lǐng)先?;旌显拼鎯w系結(jié)構(gòu)這條路徑應(yīng)該更加通暢。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。