隨著員工對智能手機、平板電腦和其它移動設備使用的普及,基于云環境的文件共享及同步應用變得越來越流行。本文將討論在這種情況下如何保證企業數據安全。
BYOD以及移動辦公給企業帶來辦公便利的同時也為IT部門帶來了新的壓力,因為這改變了傳統員工訪問企業數據的方式。從某種角度說,IT部門不再負責員工使用的硬件或者軟件,員工們可以在任何時間任何地方使用任何設備訪問他們的辦公文件。
很多企業用戶開始使用基于消費者云環境的文件共享協調服務。這些服務使用起來并不復雜,但是卻又讓IT部門到了一個進退兩難的地步,因為既要滿足訪問業務數據的需求,還要平衡對企業數據的安全控制。
消費級文件同步共享服務的安全隱患
消費級云文件同步共享服務為用戶提供了免費的存儲和文件共享功能,還提供了較便利的安裝及使用體驗。用戶可以通過使用這樣的方式消除傳統方式下對文件訪問和共享所存在的壁壘,從而提高生產力。但需要注意的是,這種方式同樣存在安全隱患。具體來說,隱患存在于員工登陸的環境并非企業IT可控的環境,數據均存放在那里,這便帶來了潛在的數據泄露的風險。
即便IT部門知道有這樣的賬號,也無法得知賬號下存放了哪些數據,因此無法將企業安全策略應用到這些企業數據資產上。更為麻煩的是,許多員工會將這些數據同步到不同的設備上,例如家庭電腦、平板電腦或者智能手機上。如果一個離職的員工有個人在線文件訪問賬號,那么這位前公司員工仍然具有使用個人設備訪問企業數據的權限。很明顯,這將為企業帶來無法接受的安全、法律以及商業方面的風險。
IT部門正在尋求文件同步共享風險解決方案
大多數IT部門都意識到了這方面的安全風險。來自企業戰略集團(ESG)的調查顯示,70%的企業知道或者懷疑這樣的現象在他們的企業中發生,并正努力控制這方面的風險。
首先也是最重要的是,IT部門需要對員工個人賬號的使用進行嚴格控制。許多企業都有相關的正式策略或者不鼓勵員工有自己的賬號,但是盡管通過禁止使用消費級云文件同步服務可以暫時減輕安全風險,用戶還是會有辦法繞過公司防火墻。用不了多久他們就會知道可以去星巴克或者其它WIFI環境,再或者找一個熱點服務,就可以繞過防火墻,從而同步那些數據。對于IT部門最好的方式是部署一套公司允許的企業文件在線共享賬號。這將幫助確保數據存放在企業安全策略允許的應用里,同時IT部門也將對這些數據進行安全管控,然而分配給員工這些權限讓他們覺得他們必須努力。
IT部門甚至不知道賬號的存在,更無法得知它里面存放了哪些數據,因為沒有辦法將企業安全策略應用應用到該環境里。
值得高興的事情是,企業級在線文件共享市場正在蓬勃發展,大約已經有超過50家廠商都提供了一些安全的文件存儲、同步、共享、發送以及協同辦公組合服務。這些服務幾乎可以滿足所有的業務場景需求,但給IT部門帶來的挑戰是,目前它們沒有可以為企業提供定制化的文件共享解決方案,因為每個企業的安全和業務需求都是不同的。基于此,IT部門希望企業級文件共享服務能夠提供一些適合它們場景的文件在線共享解決方案。
公有云、私有云或混合云
首先需要考慮的也是最重要的一點就是部署模型的類型。在線文件共享服務可以以公有云、混合云或者內部部署的方式進行。在一個單純的服務或者混合部署模式下,軟件將作為服務部署,企業數據也隨之存放在云環境里供同步和共享,除此之外也存放在筆記本、臺式機和移動設備里。在內部環境部署里,IT部門將應用部署在自己的機房里,并提供對環境的支持,就像對其它應用和數據那樣,維護這些文件共享應用。
公有云解決方案通常相對容易配置和部署,然而企業就需要完全依賴服務提供商提供的安全服務。并且一旦數據中心宕機或者出現安全事故,企業IT部門將對情況完全失去控制,既無法知道故障修復時間,也無法得知哪些企業數據將會涉及到事故中。內部環境部署會花更多的時間,且成本相對更高,因為企業需要考慮到基礎架構所消耗的資源并且IT部門將對所有的應用有控制權。在傳統行業里,企業會更愿意采用內部環境搭建的方式因為這將更好的滿足企業法規遵從方面的需求。混合云解決方案兼顧了兩者:IT部門可以控制存放在企業防火墻后面的數據,但存放在云環境的控制平臺仍可能帶來數據丟失方面的危險。
產品特性及相關考慮因素
除了產品選型,用戶還需要向廠商了解有關產品特性和功能等相關問題,以確保產品滿足企業業務和安全方面的需求。以下是一些需要注意的產品特性:
首先也是必須要考慮的是產品能否與現有工具和流程整合,比如單點登錄(SSO)以及微軟的活動目錄(Active Directory)。SSO功能實現了設備及應用的統一登錄,并且為IT管理人員提供了用戶賬戶管理的最大便利。此外,SSO還允許企業將在線文件共享解決方案與現有身份管理,例如Active Directory、LDAP、Ping Identity、OneLogin、Centrify等集成,以繼承現有密碼及安全策略,從而允許實現單點的用戶賬號分配與回收。
細顆粒度管理員權限控制對IT部門尤為重要,特別是涉及企業數據的時候。大多數方案都允許IT部門為數據共享設置一些權限,在企業內部和外部數據分享之間,但是并不是所有的權限控制都定義了用戶、數據和設備之間的匹配關系。一些方案允許IT部門設置密碼安全級別,例如長度、復雜度、過期時間等,還有一些設置了數字權限管理的功能以幫助用戶保護內容、文件過期、打印權限等。
在移動世界里,一個重要的保護內容的管理特性就是能否支持遠程擦除丟失數據。這種控制權限不同廠商的實現程度也不盡相同,企業需要充分研究以確保管理控制滿足他們特定的需求以及企業法規遵從要求。
審計/報告方面的功能也是企業需要關注的。除了設定以防企業數據意外泄漏方面的策略,管理員還需要報表或者審計功能。此外,盡管不同廠商在這方面提供的功能不太一樣,但至少IT部門需要能夠看到存放在企業在線文件共享賬號里的數據量大小以及所有賬號里存放的數據。一些廠商提供了對單個用戶活動的詳細記錄,例如將文件共享給了誰,訪問了哪些文件,訪問的時間,訪問時所使用的設備。其它一些產品允許IT部門扮演用戶角色甚至通過文本進行全局內容搜索。這些功能將幫助管理員識別出可疑員工行為并及時采取措施。
部門不同 安全需求也不同
不是每個部門都需要嚴格的安全管控。一些企業發現他們的某些團隊需要較為嚴格的安全在線文件共享服務,而其他一些團隊僅需要實現在不同設備上的數據訪問即可。在不同的要求下,用戶體驗也不盡相同,當然,在有嚴格安全要求解決方案的環境下用戶體驗相對會差一些。
這給我們帶來一個問題:許多IT部門都反映,部署一套企業級文件同步共享解決方案所面臨的最大挑戰是員工將繼續使用個人賬號,因為他們會覺得更為方便。終端使用的便利性的確是決定是否采用的一個核心因素,但不要過度放大它。企業可能會發現當他們實際部署了多套文件共享應用在多個場景里,為用戶提供了便于使用、類似消費級的解決方案,并提供了通用的訪問及鎖定功能,極大程度上保證了企業敏感數據的安全。
值得提出的是,數據聚合服務正幫助用戶和IT部門實現多個個人賬號的管理。這些服務可以幫助用戶從一個控制臺訪問多個存儲賬號里的內容。盡管這將幫助實現訪問服務的聚合,但相對而言,這仍然是一個較新的方案,其安全性也仍值得考量。但是,從技術本身考慮,這也是值得我們關注的一種方式。
云環境的便利性不可忽視
在我們生活的世界里,信息就等同于能量。通過在線文件共享解決方案將數據匯集起來,信息傳遞也變得史無前例的便利。其結果就是,有意識的或者無意識的,數據也變得更容易落到不法分子手里。
因此IT部門在保障企業數據安全方面所承受的壓力也變得非常巨大。值得慶幸的是,文件同步共享的廠商考慮到了企業IT部門的擔憂,并在他們的系統里增加了基本的安全功能。但不得不承認的是,無論你付出多少努力,也不會有100%安全的IT環境。
IT部門可以從確保他們選擇的產品滿足業務需求,并與現有數據安全管控向集成的兩個角度來最大程度的降低風險。然而,IT部門在選型的時候需要進行嚴格評估并問及一些恰當的問題。如果給出的答案并不合適現有的需求,那么就需要了解該產品能滿足哪些需求。許多服務提供商們都列出了他們所能提供的服務,但同時在一些定制化場景中他們也是能提供相應服務的。
京公網安備 11010502049343號