現在,這種模式正在發生變化。Sels、達美航空、Panera Bread、Saks Fifth Avenue、Lord&Taylor、MyFitnessPal、Orbitz、聯邦快遞等一些知名公司的安全漏洞持續不斷的消息讓企業IT領導者非常關注自己面臨的風險。
許多人正在采用DevSecOps,而這種方法可以使組織中的每個人都對安全負責。對于存儲專業人員來說,這意味著需要更加關注數據存儲安全性。
什么是數據存儲安全?
數據存儲安全性是IT安全領域的一個子集,專門用于保護存儲設備和系統。
而存儲網絡行業協會(SNIA)詞典則提供了數據存儲安全性的定義:
存儲安全:應用物理、技術和管理控制來保護存儲系統和基礎設施以及存儲在其中的數據。存儲安全專注于保護數據(及其存儲基礎設施),防止未經授權的泄露、修改或破壞,同時確保授權用戶的可用性。這些控制措施可能是預防性的、偵查性的、糾正性的、威懾性的、恢復性的或補償性的。
SNIA還指出,安全存儲“也可能是針對對手的最后一道防線,但前提是存儲管理人員和管理員花費時間和精力實施和激活可用的存儲安全控制。”
對于存儲管理人員和管理員來說,確保正確的數據存儲安全性是一個謹慎的平衡行為。他們必須權衡首字母縮略詞CIA涵蓋的三個主要問題:機密性(confidentiality),完整性(integrity)和可用性(availability)。他們必須使敏感數據不受未授權用戶的影響,他們必須確保系統中的數據是可靠的,同時還要確保組織中需要訪問數據的每個人都可以使用這些數據。
同時,他們需要非常了解成本和數據的價值。沒有人希望數據存儲安全系統最終比他們所保護的數據價值更加昂貴。然而,組織也需要有足夠強的安全系統進行保護,這就要求潛在的攻擊者花費更多的時間和資源,而不是數據最終的價值。
數據安全與數據保護
存儲安全和數據安全與數據保護密切相關。數據安全主要包括防止將私人信息泄露給未經授權的人。它還包括保護數據免受其他類型攻擊的影響,例如阻止訪問信息的勒索軟件或改變數據的攻擊,使其不可靠。
數據保護更關注的是確保數據在惡性事件發生后保持可用,這些事件例如系統或組件故障,甚至自然災害。
而為了確保信息的可靠性和可用性,以及需要從可能威脅組織數據的任何事件中恢復過來,數據安全和數據保護這二者的共同需求重疊。存儲專業人員經常發現他們自己同時處理數據安全和數據保護問題,并且采用一些相同的最佳實踐可以幫助解決這兩個問題。
數據安全和數據保護顯然是重疊的問題
數據存儲安全的關鍵驅動因素
最近的一些趨勢正在增加企業對數據安全的興趣。它們包括以下內容:
•數據增長 - 據調研機構IDC稱,全球計算機系統存儲的數據量每兩年大約翻一番。對于企業來說,這意味著不斷需要添加新的存儲設備以滿足業務需求。而隨著存儲量的增長,它們作為目標變得更有價值,并且更難以保護。
•網絡攻擊增長 – Verizon公司2018年數據泄露調查報告表明,2017年發現了53,000起安全事件,其中包括2,216起數據泄露事件,而這只是組織實際發生事件的一小部分。英國政府機構最近發布的一份報告顯示,2017年的網絡攻擊比其他任何一年都多。幾乎每天都有這樣的消息出現在新聞中,這讓企業擔心自己的安全狀況。
•數據泄露的成本 - 數據泄露恢復成本非常高昂。波洛蒙研究所對2017年數據泄露成本的調查研究中發現,在2017年發生的安全事件中,發生違規事件的企業平均每個事件損失約為362萬美元,這些費用可以成為提高數據安全性的強大壓力。
•提高數據價值 - 由于大數據分析的興起,企業比以往任何時候都更加意識到數據的價值。根據調研機構Gartner公司的調查,近年來大數據分析市場增長高達63.6%,到2020年,企業可能會花費228億美元購買工具,幫助他們發現有價值的數據見解。但為了讓分析證明有用,企業需要能夠確保數據的真實性,這意味著企業將更多地投資于安全性。
•無邊界網絡 - 由于像云計算和物聯網(IoT)這樣的新興技術的發展,企業現在的數據分布比以往更多、更廣泛。企業網絡不再具有組織可以采用防火墻定義和保護的硬性優勢。相反,他們必須更加深入地依靠深度防御,包括存儲安全來保護他們的信息。
•規例 - 政府部門對數據安全越來越感興趣,并因此制定了更強大的法律。歐盟的一般數據保護條例(GDPR)將于2018年5月25日生效,這迫使在全球經營的企業采取更強有力的措施保護客戶隱私,同時也會影響存儲安全。
•需要業務連續性 - 2017年是美國自然災害創紀錄的一年,突出了業務連續性和災難恢復能力的需求。這推動了對安全備份和其他存儲安全技術的需求。
•DevSecOps方法 - 據調研機構Forrester稱,63%的組織已經實施了DevOps,另有27%計劃這樣做。隨著DevOps的發展,越來越多的企業開始對其越來越感興趣,DevSecOps將安全整合到方法中,并在整個組織中傳播安全責任,其中包括數據存儲團隊。
存儲系統的漏洞
數據存儲安全性的另一個重要推動因素是存儲系統固有的漏洞。它們包括以下內容:
•缺乏加密 - 盡管一些高端NAS和SAN設備包含自動加密功能,但市場上的許多產品并不包含這些功能。這意味著組織需要安裝單獨的軟件或加密設備,以確保其數據已加密。
•云存儲 - 越來越多的企業選擇將部分或全部數據存儲在云中。盡管有人認為云存儲比內部部署的存儲更安全,但云計算增加了存儲環境的復雜性,并且通常需要存儲人員學習新工具,并實施新程序,以確保數據得到充分保護。
•不完整的數據銷毀 - 從硬盤或其他存儲介質中刪除數據時,可能會留下可能導致未經授權的人員恢復該信息的痕跡。存儲管理人員和管理者需要確保從存儲中刪除的任何數據都被覆蓋,以至于無法恢復。
•缺乏物理安全性 - 有些組織對其存儲設備的物理安全性沒有足夠的重視。在某些情況下,他們沒有考慮到內部人員(例如員工或清潔團隊的成員)可能能夠訪問物理存儲設備,并提取數據,從而繞過所有精心策劃的基于網絡的安全措施的情況。
數據安全最佳實踐
為了應對這些技術趨勢并處理其存儲系統固有的安全漏洞,專家建議組織實施以下數據最佳安全實踐:
1.數據存儲安全策略 - 企業應該制定書面策略,為其擁有的不同類型的數據指定適當的安全級別。顯然,公共數據所需要的安全性遠遠低于限制或機密數據,組織需要有適當的安全模型、過程和工具來實施適當的保護措施。這些策略還包括應該在組織的存儲設備上部署的安全措施的詳細信息。
2.訪問控制 - 基于角色的訪問控制是安全數據存儲系統的必備條件,在某些情況下,多因素認證可能是合適的。管理員還應確保更改其存儲設備上的任何默認密碼,并強制用戶使用強密碼。
3.加密 - 數據在傳輸過程中以及在存儲系統中靜止時都應該加密。存儲管理員還需要有一個安全的密鑰管理系統來跟蹤他們的加密密鑰。
4.數據丟失預防 - 許多專家認為僅靠加密不足以提供全面的數據安全。他們建議組織還部署數據丟失防護(DLP)解決方案,以幫助查找和阻止正在進行的任何攻擊。
5.強大的網絡安全性 - 存儲系統并不存在于真空中,它們應該被強大的網絡安全系統所包圍,例如防火墻、反惡意軟件防護、安全網關、入侵檢測系統,以及可能的高級分析和基于機器學習的安全解決方案。這些措施應該可以防止大多數網絡攻擊者獲得對存儲設備的訪問權限。
6.強大的端點安全性 - 同樣,組織也需要確保他們在個人電腦、智能手機和其他訪問存儲數據的設備上擁有適當的安全措施。這些端點(尤其是移動設備)可能會成為組織網絡攻擊的薄弱環節。
7.冗余性 - 包括RAID技術在內的冗余存儲不僅有助于提高可用性和性能,在某些情況下還可以幫助組織緩解安全事件。
8.備份和恢復 - 一些成功的惡意軟件或勒索軟件攻擊如此完全地破壞企業網絡,唯一的恢復方法是從備份恢復。存儲管理人員需要確保他們的備份系統和流程適合這些類型的事件以及災難恢復的目的。另外,他們需要確保備份系統與主系統具有相同的數據安全級別。
| 8個數據安全最佳實踐 | |
| 1 | 編寫并執行包含數據安全模型的數據安全策略 |
| 2 | 在適當的情況下實施基于角色的訪問控制并使用多因素身份驗證 |
| 3 | 加密傳輸中和靜止的數據 |
| 4 | 部署數據丟失預防解決方案 |
| 5 | 針對存儲設備采用強大的網絡安全措施 |
| 6 | 以適當的端點安全保護用戶設備 |
| 7 | 通過RAID和其他技術提供存儲冗余 |
| 8 | 使用安全的備份和恢復解決方案 |
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號