混合云安全101:IT领导者须知

公有云服务提供商可以提供无与伦比的数据可用性和持久性,但是在数据安全方面,他们采用的是共享责任模式。

通过共享责任模式,云服务提供商负责云的安全性,包括为云提供的物理硬件、软件、设施和网络。最终用户负责云端的安全,根据所选的云服务,最终用户可能负责加密传输到云端的数据以及每个边缘位置的数据,他们还将负责用户身份验证和网络流量的保护。

IT领导者选择能够满足其组织安全和合规性需求的解决方案非常重要,数据应该在传输和静态时进行加密。解决方案应该符合联邦信息处理标准(FIPS)140-2的任何合规性要求,该标准对加密模块具有安全性要求,强大的基于标准的认证也应用于该访问控制。

关键策略

有很多策略可用于保护混合云环境。首先,在将数据发送到云端之前对其进行重复数据删除和压缩。这不仅降低了网络带宽成本,而且还为数据增加了一层额外的模糊处理,即使它被截取和解密,也没有什么意义。

其次,实施物理混合云解决方案的组织可能会选择使用自加密驱动器。自加密驱动器提供了一层保护,因此即使存储数据的物理介质丢失,该数据仍然无法访问。这是混合云提供商提供的加密功能的补充。

最后,对于需要能够确保数据已经被删除的组织,存在安全擦除。安全擦除能够确保在删除数据时,即使存储在云端的数据也被永久删除。这包括确保云端数据的所有复制副本和快照都要被永久删除。这是删除当前可用数据的最安全的方式,并且不会破坏驱动器。

混合云的特定风险‍

混合云环境对组织存储和管理数据的方式提出了革命性的改变。它可以实现存储整合,从而降低成本、提高效率,以实现更好的协作,并且无需执行数据备份。但是,如果访问云的过程中断了会发生什么?混合云解决方案中的边缘设备能否继续从缓存提供数据访问?如果服务在云端运行,那么如果该服务中断或云提供商发生中断又会发生什么?所有的本地设备能继续运行吗?

一个重要且可能令人惊讶的风险是围绕谁拥有数据。基本上有两种访问混合云存储的方式,用户可以直接与他们选择的公有云或私有云提供商打交道,也可以选择转售公有云南存储的混合云提供商。

当组织直接处理云提供商时,数据所有权不存在任何问题。这可能是最具成本效益的欧式,选择转售公有云存储的混合云提供商也存在很多缺点,包括整体成本较高,但最大的缺陷是数据所有权。

当组织从混合云厂商购买公有云存储时,实际上是在混合云提供商的公有云账户中租用空间。如果该厂商发生某些事情,或者即使他们发生了错误并错过了云支付,完全有可能造成存在在云账户中的所有数据无法访问,数据可能会永久丢失。

混合云领域的教训和发展趋势‍

混合云环境的新兴需求之一是需要安全站点的支持。政府和军事组织以及支持它们的承包商以及医疗、金融和其他受监管行业需要确保其混合云环境与外部世界之间没有沟通。这意味着不能使用公有云服务或接近方案提供商与提供商之间的通信。这包括消除日志、服务更新、回拨功能或与提供商的其他任何通信,这被称为安全站点或暗点(Dark Site)支持。

另一个重要的教训是围绕高可用性。今天,组织在其关键功能之间进行高可用性故障转移是很常见的。一些混合云解决方案根本不支持高可用性,其他的混合云提供商根据其架构,不仅支持本地高可用性,还支持全球高可用性选择。

通过支持全局高可用性的混合云解决方案,每个边缘位置将具有整个文件系统的所有元数据。由于每个站点都可以看到整个文件系统,这意味着可以将任何站点配置为为每个站点执行高可用性故障切换。如果文件系统中的任何站点丢失,那么无论位置如何,数据服务都可以故障转移到其他站点。

原文发布于微信公众号 - SDNLAB(SDNLAB)

原文发表时间:2018-04-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏姬小光

科普 | 一张表格告诉你,到底 H5 和小程序哪个好

许多做产品的同学经常会有这样的疑问,计划开发的移动端产品到底是用 H5 好还是用小程序好,甚至很多开发同学也搞不清楚这两者在具体使用中的优劣。那么相信读完此篇,...

722
来自专栏IT大咖说

微信支付大规模前端开发背后,如何用外包解决困境

摘要 业务高速发展离不开各种配套运营系统的高效建设,微信支付也不例外。在前端人力极其匮乏的条件下我们另辟蹊径,大规模引入外包团队协同作业,并且在如何保证效率和质...

3966
来自专栏网站设计制作、数字营销

只有电脑端网站想要网站在手机上也具有良好展示解决方案

很多的公司目前的网站仍然是只有电脑版的网站,在手机上无法良好的展示,在智能手机上网越来越普遍的趋势下,公司网站具备移动友好性,在手机上具有良好展现的特性是非常重...

632
来自专栏数据的力量

如何订制个性化的网址导航

1944
来自专栏熊二哥

《大型网站技术架构》学习笔记-01概述

李智慧老师的大型网站架构已经买了两年了,之前大体看过一次,不过还未内化为自己的本领,最近项目空闲,决定尽力掌握这部分的知识,以跟上大师的节奏。今天是儿童节,祝自...

2165
来自专栏安恒信息

邮箱安全第7期 | 邮箱大数据分析平台与异常预警模型

上一期我们谈到通过WEB应用防火墙技术来防护邮箱系统自身的安全问题,由此解决了应用层防护不当导致的邮箱系统被黑客技术入侵的问题,本期我们介绍针对邮箱系统整体大数...

38010
来自专栏EAWorld

普元DevOps5.2版本新特性发布

伴随新版本的发布,我们团队也对这次迭代做了些回顾,有值得分享的新特性与设计,也有一些需加强的能力,借此与大家分享。

1314
来自专栏罗超频道

没错,号称中国第一移动产品的微信公众平台也有BUG

新版微信公众平台上线,处处体现了张小龙以及微信团队的考量和平衡。 更开放的接口,使得更多的企业和组织有机会利用微信来做好互动和服务,甚至基于微信...

4145
来自专栏北京马哥教育

25年Linux内核开发经历总结出来的九条经验

原文: 9 lessons from 25 years of Linux kernel development 作者:Greg Kroah-Hartman 翻译...

36211
来自专栏WeTest质量开放平台团队的专栏

你的APK安全吗?来WeTest免费测!

? 腾讯安全联合实验室就曾在《2018上半年互联网黑产研究报告》指出,移动端黑产规模宏大,恶意推广日均影响用户超过千万。 尤其在网络强相关的APP流行年代,当...

1013

扫码关注云+社区