這并不意味著企業可以將其數據安全的責任轉移給云計算提供商。企業需要采取許多基本的安全措施,從身份驗證開始。雖然這適用于所有用戶,但它對于系統管理員來說尤其重要。他們的密碼泄露可能等同于交出企業業務的主密鑰。對于管理人員來說,多因素身份驗證實踐對于安全操作至關重要。使用智能手機添加生物識別技術是該認證的第二或第三部分中的最新潮流,具有很多創造性的策略。
除了保護訪問云計算數據之外,又如何保護數據本身呢?人們已經聽說過當一組實例被刪除時發生的主數據泄露,但是相應的數據卻沒有泄露,而過了一段時間,這些文件變得松散,并可能導致出現一些問題。這是因為數據所有者的粗心大意而引起的。
這個問題有兩個答案:對于規模較大的云端設置,建議使用云計算數據管理器來跟蹤所有數據和孤立點文件。這應該能夠阻止游蕩的數據,但是當黑客以任何方式進入,并能夠獲得有用的當前數據時,情況如何呢?答案很簡單,就是良好的加密。
采用加密措施比在目錄上使用壓縮軟件PKZIP更有意義。AES-256加密或更好的加密措施是必不可少的。密鑰管理至關重要,而讓管理員擁有密鑰相當于等待一場災難的發生,而工作人員在便條上寫下密碼更是一種極端。云計算提供商提供的一種選擇是基于驅動器的加密,但是這種方式失敗了。首先,基于驅動器的加密通常只有幾個可供選擇的密鑰,并且黑客通過猜測,可以輕松訪問互聯網上的數據。其次,數據必須由驅動器所連接的網絡存儲設備解密。然后在發送到請求服務器時重新加密(或不加密)。在這個過程中有很多安全漏洞。
端到端加密要好得多,使用服務器中保存的密鑰進行加密。這阻止了下游安全漏洞轉化成問題,同時也增加了對數據包嗅探的保護。
數據蔓延很容易通過云計算創建,但又會帶來另一種安全風險,特別是當大量的云管理分散到部門計算,甚至用戶時。云計算數據管理工具比書面的政策更能解決這個問題。它也考慮增加全局重復數據刪除的存儲管理和價值,這將顯著減少數據曝光量。
最后,關于如何備份數據的這個問題如今正在發生變化。傳統備份和災難恢復已經從采用磁帶和磁盤存儲轉變為將云計算作為首選存儲介質。現在的問題是,其備份過程是否是合適的策略,而不是快照或連續備份系統。而快照方法正在增長,由于小型恢復窗口和有限的數據丟失可能具有風險,但是由于沒有單獨的備份副本(可能存儲在不同的云中)可能會帶來風險。
以下,將詳細介紹企業在使用公共云時可以保護其數據的方式:
(1)多因素認證
企業應該為訪問云計算數據的用戶強制實施強密碼,并且許多企業希望超越密碼保護,能夠提供更好的安全措施,以實現多因素認證。要求超越密碼保護意味著采用多因素認證。第二種選擇可能是指紋、聲紋或視網膜掃描。另一種選擇是設置幾個只有用戶才知道該如何回答的具有挑戰性的問題。
然而,即使擁有強大的身份驗證,仍然存在內部風險,通常是心懷不滿的內部管理人員或編碼人員。企業可以應用數據分析來發現一些奇怪的訪問模式,例如下載關鍵文件或窺探與工作任務無關的區域。就個人而言,需要鎖定服務器上的USB端口,但這并不能阻止移動設備或基于瀏覽器的操作。確保管理人員和編碼人員訪問的唯一答案是嚴格限制區域訪問,將其知識此限制在只需知道的基礎上。
(2)VPN管理
云計算中的VPN是“免費”設置和管理的,因此請使用它們來保護數據。將用戶限制在他們自己的區域,并將其鎖定在其他區域的可見性之外。這對于防止命令和控制僵尸網絡來說尤其重要,因為這些攻擊允許攻擊者毫不費力地造成大量傷害。企業盡可能多地訪問層,以使得給定數據集的清除路徑根本不存在。流量監控在這里很有用,因為不尋常的下載或上傳可以標記為可疑活動。
(3)數據管理工具
人們經常聽到數據對象被泄露。這些往往是由于某些管理員的粗心大意造成的,但沒有人是完美的,復雜性正在快速增長。然而,它們通常都是純文本的,完全可讀,有時其內容遍布整個網絡。
其解決方案是部署數據管理軟件工具,搜索和定位數據并監控使用情況。這是一個熱門的IT領域,將擁有越來越多的優秀解決方案。
另外,在虛擬機中,臨時本地實例驅動器也可以讓數據曝光泄露。例如,如果實例崩潰,工作人員是否知道數據會發生什么變化?如果找不到它,但服務器可能已經死機,可以采用自己的可移動驅動器(例如加密密鑰)。如果服務器的崩潰只是暫時的,云計算服務提供商如何防止數據被讀取?采用SSD硬盤尤其是一個問題。他們的備用塊池很大,只能在后臺刪除。云計算服務商(CSP)需要注意防止新租戶進入備用空間。
(4)重復數據刪除
數據蔓延可能是廉價租用云存儲的后果。為什么要刪除它只需花費幾美分的成本?重復數據刪除對象可以提供幫助。這不是壓縮技術,而是查看對象內部的數據重復以查找可能的縮減。重復數據刪除最終會得到任何給定對象的適當保護的單個副本。對該對象的所有其他用途或引用只是元數據文件中的指針。
重復數據刪除有兩件事:它節省了驅動器空間,并簡化了管理。簡化管理實際上更重要,尤其是在人們將分析和索引工具添加到存儲系統時。任何花費時間搜索具有相同名稱的文件目錄的管理員都需要了解這個價值主張。
復制管理也允許數據得到充分保護。使用相同的ID保護單個副本比數十個要容易得多。
(5)加密
你經常加密自己的文件嗎?根據研究,人們對數據加密的意識仍然不強,這是這些災難性數據泄漏的根源。而沒有對公共云中的數據進行加密對于工作人員來說是一種失職,以下是一些工作人員應該或不該做的事情:
·使用AES或更好的加密
·加密文件或對象名稱,或者至少將它們放在加密的元數據文件中
·不要為所有對象使用一個密鑰
·限制知道密鑰的管理員人數
·在源處加密,因此黑客嗅探傳輸數據包將會失敗
·不要使用基于驅動器的加密,因為大多數驅動器都可以在網絡上使用(短)密鑰列表。
工作人員需要仔細查看云計算服務提供商的加密選項。
(6)備份和災難恢復(DR)
業內人士對于連續備份或快照是否是數據與傳統的單獨備份復制軟件的一種更好的保護方式存在爭議。快照由于提供了很好的度量標準而具有吸引力,但是有哪些區域可用于將快照合并到災難恢復(DR)中?存儲主數據的同一云服務提供商內的備份是否明智?是否存在潛在的附加問題?這些問題需要企業認真思考。
如果做得好,采用多區域或多云復制的快照永久存儲策略看起來非常有前景,無論從經濟角度還是從數據保護角度來看都是如此。不過,在此建議企業對這個問題進行一些研究,因為并非所有的解決方案都是平等一致的。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號