公共云中数据保护的6个步骤

企业应该为访问云计算数据的用户强制实施强密码,并且许多企业希望超越密码保护,能够提供更好的安全措施,以实现多因素认证。

尽管云计算安全仍然是企业最关心的问题,但公共云比私有云更安全,这似乎有悖人们的直觉,但是云计算服务提供商具有规模优势,使得他们能够比其他大型企业在安全工具方面投入更多,而其安全性的成本则被大量的用户所稀释。

这并不意味着企业可以将其数据安全的责任转移给云计算提供商。企业需要采取许多基本的安全措施,从身份验证开始。虽然这适用于所有用户,但它对于系统管理员来说尤其重要。他们的密码泄露可能等同于交出企业业务的主密钥。对于管理人员来说,多因素身份验证实践对于安全操作至关重要。使用智能手机添加生物识别技术是该认证的第二或第三部分中的最新潮流,具有很多创造性的策略。

除了保护访问云计算数据之外,又如何保护数据本身呢?人们已经听说过当一组实例被删除时发生的主数据泄露,但是相应的数据却没有泄露,而过了一段时间,这些文件变得松散,并可能导致出现一些问题。这是因为数据所有者的粗心大意而引起的。

这个问题有两个答案:对于规模较大的云端设置,建议使用云计算数据管理器来跟踪所有数据和孤立点文件。这应该能够阻止游荡的数据,但是当黑客以任何方式进入,并能够获得有用的当前数据时,情况如何呢?答案很简单,就是良好的加密。

采用加密措施比在目录上使用压缩软件PKZIP更有意义。AES-256加密或更好的加密措施是必不可少的。密钥管理至关重要,而让管理员拥有密钥相当于等待一场灾难的发生,而工作人员在便条上写下密码更是一种极端。云计算提供商提供的一种选择是基于驱动器的加密,但是这种方式失败了。首先,基于驱动器的加密通常只有几个可供选择的密钥,并且黑客通过猜测,可以轻松访问互联网上的数据。其次,数据必须由驱动器所连接的网络存储设备解密。然后在发送到请求服务器时重新加密(或不加密)。在这个过程中有很多安全漏洞。

端到端加密要好得多,使用服务器中保存的密钥进行加密。这阻止了下游安全漏洞转化成问题,同时也增加了对数据包嗅探的保护。

数据蔓延很容易通过云计算创建,但又会带来另一种安全风险,特别是当大量的云管理分散到部门计算,甚至用户时。云计算数据管理工具比书面的政策更能解决这个问题。它也考虑增加全局重复数据删除的存储管理和价值,这将显著减少数据曝光量。

最后,关于如何备份数据的这个问题如今正在发生变化。传统备份和灾难恢复已经从采用磁带和磁盘存储转变为将云计算作为首选存储介质。现在的问题是,其备份过程是否是合适的策略,而不是快照或连续备份系统。而快照方法正在增长,由于小型恢复窗口和有限的数据丢失可能具有风险,但是由于没有单独的备份副本(可能存储在不同的云中)可能会带来风险。

以下,将详细介绍企业在使用公共云时可以保护其数据的方式:

(1)多因素认证

企业应该为访问云计算数据的用户强制实施强密码,并且许多企业希望超越密码保护,能够提供更好的安全措施,以实现多因素认证。要求超越密码保护意味着采用多因素认证。第二种选择可能是指纹、声纹或视网膜扫描。另一种选择是设置几个只有用户才知道该如何回答的具有挑战性的问题。

然而,即使拥有强大的身份验证,仍然存在内部风险,通常是心怀不满的内部管理人员或编码人员。企业可以应用数据分析来发现一些奇怪的访问模式,例如下载关键文件或窥探与工作任务无关的区域。就个人而言,需要锁定服务器上的USB端口,但这并不能阻止移动设备或基于浏览器的操作。确保管理人员和编码人员访问的唯一答案是严格限制区域访问,将其知识此限制在只需知道的基础上。

(2)VPN管理

云计算中的VPN是“免费”设置和管理的,因此请使用它们来保护数据。将用户限制在他们自己的区域,并将其锁定在其他区域的可见性之外。这对于防止命令和控制僵尸网络来说尤其重要,因为这些攻击允许攻击者毫不费力地造成大量伤害。企业尽可能多地访问层,以使得给定数据集的清除路径根本不存在。流量监控在这里很有用,因为不寻常的下载或上传可以标记为可疑活动。

(3)数据管理工具

人们经常听到数据对象被泄露。这些往往是由于某些管理员的粗心大意造成的,但没有人是完美的,复杂性正在快速增长。然而,它们通常都是纯文本的,完全可读,有时其内容遍布整个网络。

其解决方案是部署数据管理软件工具,搜索和定位数据并监控使用情况。这是一个热门的IT领域,将拥有越来越多的优秀解决方案。

另外,在虚拟机中,临时本地实例驱动器也可以让数据曝光泄露。例如,如果实例崩溃,工作人员是否知道数据会发生什么变化?如果找不到它,但服务器可能已经死机,可以采用自己的可移动驱动器(例如加密密钥)。如果服务器的崩溃只是暂时的,云计算服务提供商如何防止数据被读取?采用SSD硬盘尤其是一个问题。他们的备用块池很大,只能在后台删除。云计算服务商(CSP)需要注意防止新租户进入备用空间。

(4)重复数据删除

数据蔓延可能是廉价租用云存储的后果。为什么要删除它只需花费几美分的成本?重复数据删除对象可以提供帮助。这不是压缩技术,而是查看对象内部的数据重复以查找可能的缩减。重复数据删除最终会得到任何给定对象的适当保护的单个副本。对该对象的所有其他用途或引用只是元数据文件中的指针。

重复数据删除有两件事:它节省了驱动器空间,并简化了管理。简化管理实际上更重要,尤其是在人们将分析和索引工具添加到存储系统时。任何花费时间搜索具有相同名称的文件目录的管理员都需要了解这个价值主张。

复制管理也允许数据得到充分保护。使用相同的ID保护单个副本比数十个要容易得多。

(5)加密

你经常加密自己的文件吗?根据研究,人们对数据加密的意识仍然不强,这是这些灾难性数据泄漏的根源。而没有对公共云中的数据进行加密对于工作人员来说是一种失职,以下是一些工作人员应该或不该做的事情:

·使用AES或更好的加密

·加密文件或对象名称,或者至少将它们放在加密的元数据文件中

·不要为所有对象使用一个密钥

·限制知道密钥的管理员人数

·在源处加密,因此黑客嗅探传输数据包将会失败

·不要使用基于驱动器的加密,因为大多数驱动器都可以在网络上使用(短)密钥列表。

工作人员需要仔细查看云计算服务提供商的加密选项。

(6)备份和灾难恢复(DR)

业内人士对于连续备份或快照是否是数据与传统的单独备份复制软件的一种更好的保护方式存在争议。快照由于提供了很好的度量标准而具有吸引力,但是有哪些区域可用于将快照合并到灾难恢复(DR)中?存储主数据的同一云服务提供商内的备份是否明智?是否存在潜在的附加问题?这些问题需要企业认真思考。

如果做得好,采用多区域或多云复制的快照永久存储策略看起来非常有前景,无论从经济角度还是从数据保护角度来看都是如此。不过,在此建议企业对这个问题进行一些研究,因为并非所有的解决方案都是平等一致的。

版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。

(来源:企业网D1Net)

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2018-04-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏沃趣科技

All In One|沃趣QFusion v2.0.0 MySQL私有云平台重磅发布

沃趣科技QFusion v2.0.0 MySQL私有云平台重磅发布,产品不仅具备之前QFusion v1.0.0版本的企业级特性,在此基础之上重构整个IaaS和...

3159
来自专栏FreeBuf

全解Google(谷歌)基础设施架构安全设计

谷歌的技术基础设施共同构建了搜索、邮件(Gmail)、照片等普通用户系统和G Suite 、谷歌云存储平台等企业系统,是谷歌数据中心的关键,是整个谷歌网络服务赖...

6485
来自专栏鹅厂网事

腾讯网络应对闰秒危机之最佳实践

"鹅厂网事"由深圳市腾讯计算机系统有限公司技术工程事业群网络平台部运营,我们希望与业界各位志同道合的伙伴交流切磋最新的网络、服务器行业动态信息,同时分享腾讯在网...

2305
来自专栏大数据架构师专家

zabbix告警系统--文末彩蛋

zabbix安装和配置非常简单,学习成本低,但是zabbix告警却是很烦人的,而且关于告警的中文翻译资料非常少.

2123
来自专栏BestSDK

腾讯云丢失数据被索赔1100万!

腾讯方面提出了总金额136,469元的“赔偿+补偿”解决方案,前沿数控则索赔11,016,000元,被腾讯认为过高,双方未达成一致。

1662
来自专栏FreeBuf

四种捕获DDoS攻击的监测工具(含报告)

现在有很多防御或缓解DDoS攻击的服务,但是如何第一时间发现网站被D仍然是个难题。这里我们罗列四个帮助识别DDoS攻击的监测工具和方法。 工具一:内部服务器、网...

3997
来自专栏企鹅号快讯

深度解析小程序4大核武器级接口能力

今天给大家介绍4组极其重要,但并不广为人知的微信小程序接口,了解这4类接口,相信您也可以设计出来一款牛逼的微信应用。下面且听微播君为您娓娓道来: 其实在公众号接...

2235
来自专栏BestSDK

5个秘诀,轻松应对企业级数据存储问题

首先我们了解一下存储虚拟化的定义及其常见的三种技术。 存储虚拟化(StorageVirtualization)最通俗的理解就是对存储硬件资源进行抽象化表现。通过...

3357
来自专栏魏艾斯博客www.vpsss.net

腾讯云热卖云产品 3 折起 1 核 1G 服务器 375 元/年 云服务器/云数据库特惠

腾讯云热卖云产品 3 折起步,我们常用的 CVM 云服务器和 MySQL 数据库都是腾讯云销量最大的热卖云产品,近期腾讯云在搞三折活动,为了大家能尽快获得这些福...

2741
来自专栏云计算D1net

公有云安全:哪个工具可以保证?

尽管我们的企业使用了一系列的AWS工具,我们还是希望能进一步提升数据的安全措施。那么,在AWS中,有哪些可用的工具来确保数据和资源的安全性呢? AWS拥有一系列...

3825

扫码关注云+社区