您现在的位置:首页>>新闻中心>>行业新闻
新闻中心

云计算中的数据安全:8个关键概念

越来越多的公司正在将业务转移到云计算平台,这意味着他们对数据安全的责任显着增加。具有各种敏感性的数据超出了企业防火墙的范围。企业将不再拥有控制权,他们的数据可能位于世界任何地方,并且可能依赖于他们合作的云计算提供商。



云计算中的数据安全


将业务迁移到公共云或使用混合云意味着云安全问题的可能性无处不在。当数据准备好迁移时、迁移期间或数据到达云后,可能会发生这种情况。企业需要做好解决这个问题的准备。


数据安全一直是云计算提供商的责任,并被追究责任。无论用户在aws、azure和谷歌的云平台中选择哪种云,这些平台都将遵循hipaa、iso、pcidss和soc等标准。


然而,云计算提供商只是提供合规性服务,并不免除用户的责任。这对用户来说是一个重大的云计算挑战。以下是关于云中数据安全的八个关键概念。


1. 隐私保护


无论企业的云计算战略如何,都应保护其数据免遭未经授权的访问(包括数据加密),并控制谁可以访问和查看内容。在某些情况下,企业可能还希望向某些人提供数据。例如,开发人员需要实时数据来测试他们的应用程序,但是他们不一定需要查看数据,所以他们可以使用经过编辑的解决方案。例如,Oracle为其数据库提供了一个数据Redact工具。


一些云计算用户渴望将所有数据传输到那里,最终意识到他们需要将数据保存在私有云中。


还有一些自动化的工具来帮助发现和识别组织及其位置中的敏感数据。AWS推出了Macie,而Microsoft Azure推出了Azure信息保护(AIP),通过应用标签对数据进行分类。第三方工具包括Tableau、Fivetran、LogikCull和Looker。


2. 保持数据完整性


数据完整性可以定义为保护数据免受未经授权的修改或删除。在单个数据库中,这很容易,因为只有一种方法可以控制数据库的进出。但是在云中,尤其是在多云的环境中,这变得很棘手。


由于有大量的数据源和访问方法,授权对于确保只有经过授权的实体才能与数据交互变得至关重要。这意味着更严格的访问,例如双因素授权,以及查看谁访问哪个日志。另一个潜在的安全工具是用于远程数据检查的可信平台模块(Trusted Platform Module,TPM)。

3. 数据可用性


停机是企业运营中不可避免的事件,它所能做的就是将影响降到最低。这对云计算存储提供商非常重要,因为用户的数据位于提供商的服务器上。这就是服务级别协议(SLA)的关键所在,密切关注其细节非常重要。


例如,微软公司为主要的Azure存储选项提供99.9%的可用性,而AWS公司为存储对象提供99.99%的可用性。这种差异并非微不足道。另外,确保企业的服务水平协议(SLA)允许其指定数据存储的位置,有些提供商(如AWS)允许用户指定存储数据的区域。这对于法规遵从性和响应时间/延迟问题很重要。


每个云存储服务都有其自身的优势:AWS Glacier非常适合在访问量很小的情况下存储大量数据,Microsoft Azure Blob存储是大多数非结构化数据的理想选择,而Google Cloud的SQL则针对MySQL数据库进行了调整。


4. 数据隐私


隐私规则在国内外都存在,迫使一些公司拒绝云计算,因为他们的业务可能受到这些规则的影响。


许多云计算提供商可能会将数据存储在物理服务器上,而不是存储在云区域,因为数据所有者和法律可能有所不同。对于严格遵守数据驻留规则的用户来说,这是一个问题。更不用说,云计算服务提供商可以免除服务级别协议(SLA)中的任何责任。如果发生违规行为,用户将承担全部责任。


如上所述,企业需要了解国家和国际数据居住法。在美国,有各种法规,如“卫生信息流动和责任法”(HIPAA)、“支付卡行业数据安全标准”(PCI DSS)、“国际武器贸易条例”(ITAR)和“卫生信息技术经济和临床卫生法”(HITECH)。


在欧洲,用户将面临非常繁琐的一般数据保护条例(GDPR)及其广泛的规则和严厉的处罚;此外,许多欧盟(欧盟)国家现在规定敏感或私人信息不得离开该国或区域;还有“英国数据保护法”、“瑞士联邦数据保护法”、“俄罗斯数据隐私法”和“加拿大个人信息保护和电子文件法”(PIPEDA)。


所有这些都保护了数据所有者的利益,因此了解数据所有者以及业务提供者在多大程度上遵守数据所有者的利益。


5. 加密


加密是一种保护数据隐私的手段,当今的加密技术相当成熟。加密是通过基于密钥的算法完成的。密钥由云计算提供商存储。一些与业务相关的应用程序(如销售和动态)使用标记技术而不是密钥。这涉及到用匿名数据令牌替换特定令牌字段。


事实上,每个云计算存储提供商在传输数据时都会对数据进行加密。虽然有些云计算存储提供商(如Mega和SpiderOak)使用专用客户端执行加密,但大多数都是通过浏览器界面实现的。所有这些都应在服务级别协议(SLA)中详细描述。


许多云计算服务提供密钥管理解决方案,允许用户控制访问,因为加密密钥在他们手中。这可能被证明是一种更好的或至少是更令人放心的措施,因为用户可以控制谁拥有密钥。同样,应该在服务级别协议(SLA)中详细描述这一点。


6. 攻击威胁


人们容易受到Internet上的攻击,如DDoS攻击、SQL注入和跨站点脚本攻击。云计算服务提供商已经开发了各种安全工具和策略,但问题仍然存在,这些问题往往是由于人为错误造成的。


数据泄漏:这种情况可能以多种方式发生,从通常的方式-黑客帐户或丢失密码/笔记本电脑,到独特的云计算方式。例如,虚拟机上的用户可以监听加密密钥已到达同一主机上的另一个虚拟机上的信号,这意味着受害者的安全证书掌握在其他人手中。


数据丢失:虽然数据丢失很小,但它可以被其他人登录和删除。用户可以通过确保应用程序和数据分布在多个区域并使用外部备份数据存储来缓解这一问题。


被劫持的账户:如果某人丢失了一台笔记本电脑,就有可能让其他人访问他们的云计算提供商的平台。可以通过使用严格安全的密码和双因素身份验证来防止这种情况。它还帮助制定策略来发现和警告异常活动,例如复制大量数据或删除数据。


密码窃取:密码窃取是秘密地接管计算机以增加加密货币的行为,这是一个非常需要计算的过程。密码劫持在2017年和2018年激增,云平台是一个受欢迎的目标,因为有更多的计算资源可用。监控异常的计算是停止这种情况的关键方法。


7. 数据安全和员工


大多数与员工相关的事件都不是恶意事件。根据波罗蒙特研究所(Polomont Institute)2016年的威胁成本研究,2016年发生的874起内部安全相关事件中,有598起是由粗心大意的员工或承包商造成的。


然而,调查还发现85起冒名顶替者盗用身份的案件,其中191起是由恶意员工和罪犯造成的。换言之,对企业最大的威胁在于公司内部,企业的管理者应该对员工有很好的了解。


8. 合同的数据安全


服务级别协议应包括对所提供的服务、预期的服务水平和可靠性的说明,以及对衡量服务的指标、当事方的义务和责任的定义,尚未达到的补救措施或处罚,以及关于如何增加或删除指标的规则。


公司需要仔细阅读这些协议,包括聘请的公司律师,而不是简单地签署服务级别协议。云计算服务提供商不会为客户承担不必要的责任。此外,服务级别协议(SLA)需要多个复选标记。


提供服务详细信息,如正常运行时间和故障响应。


定义度量标准和方法、报告流程和解决方案流程。


保护客户免受因服务水平违规而引起的第三方诉讼的规定。


这最后一点至关重要,因为这意味着云服务提供商同意赔偿客户的任何违规行为,因此,服务提供商对因侵权行为而引起的任何第三方诉讼费用负有责任。这为云计算提供商提供了实现安全交易的主要动力。


中安威士:保护核心数据,捍卫网络安全


来源:51CTO



Copyright © 2016 中安威士(北京)科技有限公司 版权所有 京ICP备14001844号-1