云存儲(chǔ)安全:數(shù)據(jù)加密機(jī)制及安全層級(jí)淺析
《2022守護(hù)企業(yè)多云環(huán)境》報(bào)告調(diào)研指出,企業(yè)在訪問(wèn)/維護(hù)云環(huán)境中的數(shù)據(jù)時(shí)面臨的前三大挑戰(zhàn)包括:數(shù)據(jù)安全性(63%)、復(fù)雜度(49%)和多云環(huán)境(43%)。
如何真正實(shí)現(xiàn)云存儲(chǔ)安全?毫無(wú)疑問(wèn),加密是其中至關(guān)重要的一層。
為什么加密對(duì)企業(yè)很重要?
企業(yè)數(shù)據(jù)中可能包含敏感客戶信息、有價(jià)值的知識(shí)產(chǎn)權(quán)等各類(lèi)重要信息。一旦處理不當(dāng),隨時(shí)可能會(huì)遭受罰款、訴訟,導(dǎo)致品牌商譽(yù)受損。加密是一層安全保護(hù),可幫助企業(yè)保護(hù)數(shù)據(jù)避免不必要的暴露。
云數(shù)據(jù)加密背后更深層的動(dòng)因
在某些行業(yè),出于監(jiān)管與合規(guī)要求,企業(yè)必須加密云中的數(shù)據(jù)。而對(duì)更多企業(yè)而言,加密是一道“錦上添花”的機(jī)制,可以讓管理者更放心。當(dāng)然,市場(chǎng)中關(guān)于云上數(shù)據(jù)安全的隱憂一直存在,通過(guò)加密,IT可以規(guī)避“數(shù)據(jù)不受限制訪問(wèn)”類(lèi)似極端情況的潛在風(fēng)險(xiǎn)。
云存儲(chǔ)加密的不同方法
如果你信任云供應(yīng)商,在云中直接使用其靜態(tài)數(shù)據(jù)加密功能是更簡(jiǎn)單的方法。這意味著,當(dāng)數(shù)據(jù)被移動(dòng)或同步到云存儲(chǔ)時(shí),尚未被加密。數(shù)據(jù)在傳輸過(guò)程中應(yīng)始終加密,但在這種情況下,CSP會(huì)通過(guò)訪問(wèn)來(lái)實(shí)現(xiàn)接收。然后再存儲(chǔ)數(shù)據(jù),并通過(guò)加密保護(hù)靜態(tài)數(shù)據(jù)。
這種方法適合大多數(shù)企業(yè),對(duì)于任何有權(quán)限訪問(wèn)數(shù)據(jù)的用戶或應(yīng)用程序而言,也是最清晰的解決方案,無(wú)需擔(dān)心解密數(shù)據(jù)的密鑰。
如果你擔(dān)心CSP可能存在“后門(mén)”或者“漏洞大開(kāi)”的風(fēng)險(xiǎn),這種加密方法并不能幫助解決主要問(wèn)題。
另一種方法是:在將數(shù)據(jù)發(fā)送到云存儲(chǔ)之前,自己應(yīng)用加密。通過(guò)這種方式,企業(yè)可以確保只有自己才能訪問(wèn)數(shù)據(jù),當(dāng)然,這也要求自己管理密鑰,確保安全。理論上,這是最安全的方法,但同時(shí),操作也會(huì)更復(fù)雜一些。此外,一些云中數(shù)據(jù)運(yùn)營(yíng)相關(guān)的增值功能(如分析、內(nèi)容索引、自助訪問(wèn)等)也會(huì)被阻止,因?yàn)檫@些系統(tǒng)進(jìn)程或業(yè)務(wù)用戶無(wú)法輕松訪問(wèn)數(shù)據(jù)。
通過(guò)下面這張表格來(lái)對(duì)比不同云存儲(chǔ)加密方法的優(yōu)缺點(diǎn):
加密方法? | 優(yōu)點(diǎn)? | 不足? |
傳輸中加密(至/從云) | 標(biāo)準(zhǔn)實(shí)踐,對(duì)用戶和應(yīng)用透明。 | 無(wú) |
在將數(shù)據(jù)傳輸至云后使用CSP的加密功能實(shí)現(xiàn)靜態(tài)數(shù)據(jù)加密 | 易用,無(wú)縫銜接用戶和應(yīng)用。支持在云中擴(kuò)展數(shù)據(jù)工作流,如內(nèi)容索引等。 | 用戶并不是數(shù)據(jù)密鑰的唯一擁有者,云存儲(chǔ)供應(yīng)商也有訪問(wèn)權(quán)限。后門(mén)和漏洞都是潛在風(fēng)險(xiǎn)。 |
在將數(shù)據(jù)傳輸至云之前靜態(tài)加密數(shù)據(jù) | 絕大多數(shù)情況下是安全的,不存在云供應(yīng)商訪問(wèn)數(shù)據(jù)的風(fēng)險(xiǎn)。 | 無(wú)法支持用戶通過(guò)自服務(wù)訪問(wèn)數(shù)據(jù),數(shù)據(jù)共享特性受限,無(wú)法實(shí)現(xiàn)分析、內(nèi)容索引等云附加價(jià)值。 |
選擇合適的方法
哪種加密方法可以滿足安全和業(yè)務(wù)需求?沒(méi)有最好的,只有更合適的。這取決于企業(yè)如何看待潛在風(fēng)險(xiǎn)。如果你擔(dān)心數(shù)據(jù)有可能會(huì)在不知情/同意的情況下被訪問(wèn),就現(xiàn)在自己的環(huán)境中加密數(shù)據(jù),獲得只有自己有權(quán)訪問(wèn)的密鑰,然后再將數(shù)據(jù)放入云中。當(dāng)然,關(guān)于這種加密處理方法帶來(lái)的局限性和操作復(fù)雜度,也是IT管理者需要認(rèn)識(shí)到的。現(xiàn)在,很多企業(yè)認(rèn)為云存儲(chǔ)供應(yīng)商提供的加密機(jī)制令人滿意,可在云中無(wú)縫地應(yīng)用和管理。
云存儲(chǔ)安全,不止于加密
在將數(shù)據(jù)移動(dòng)到云存儲(chǔ)之前,企業(yè)還有其他重要的安全工作要做。就Veritas觀察而言,企業(yè)可通過(guò)增加以下安全優(yōu)勢(shì),讓云存儲(chǔ)更安全地存儲(chǔ)和管理非結(jié)構(gòu)化數(shù)據(jù)工作負(fù)載:
1、可信身份驗(yàn)證。支持多重身份驗(yàn)證(MFA)和單點(diǎn)登錄(SSO)可選項(xiàng)。
2、基于角色的訪問(wèn)控制(RBAC)
3、訪問(wèn)控制列表(ACL)同步
4、目錄同步
5、數(shù)據(jù)泄露防護(hù)(DLP)
6、活動(dòng)審核
7、個(gè)人身份信息(PII)的識(shí)別和標(biāo)記
8、無(wú)共享密鑰引入云
架構(gòu)
