云数据存储:漏洞及避免漏洞方法

大约13年前,我们看到了数据存储市场的又一次革命,出现了针对个人和企业的主要集中式云服务。如今,任何用户都可以轻松地访问任何设备的数据,而企业现在可以节省维护自己的服务器因而可降低耗电量。信息存储和备份创建变得更加便宜和简单。

这些年来,大量的数据被转移到云端,包括个人档案、照片、文件和受版权保护的内容。付费和免费云服务用户基数继续增长。根据调查公司Research 和 Markets的数据显示云存储市场每年将增长约29.73%,到2020万年将达到9250万美元。像Dropbox、谷歌、微软、Box、Amazon和苹果等公司都是领导者;在俄罗斯,Yandex和Mail.ru也是主要的参与者。

然而,集中式云系统存在着弱点。数据存储在数据中心中,通常不加密,或者没有加密到足够高的水平;更重要的是,大公司更容易受到人为错误的影响。其结果是由于技术错误或攻击者们的恶意目的导致信息丢失或泄漏高风险。即使是行业领导者也不能幸免。个被广泛报道的事件发生在2011年的Dropbox,当访问控制账户出现错误时,服务上的帐户可以无需密码即可访问数小时。2014年8月,好莱坞明星的私人照片在iCloud和谷歌硬盘被盗后被放在网上;根据调查泄漏的潜在原因是网络钓鱼。这个名单还在继续。

集中会产生另一个问题。用户依赖于管理组织的操作和策略。例如,当亚马逊在2017年6月取消其无限计划时,许多企业被迫寻找新的数据存储解决方案。此外,服务供应商可以访问存储的所有信息,并可以将其提交给政府部门。

基于区块链的分散数据存储新产品提供了一种摆脱这种情形的方法。像Storj(2014)、MaidSafe(2014)、Sia(2015)等服务,以及其他服务都是基于利用闲余容量的流行趋势:当前,普通PC上空闲磁盘空间大大超过了现有云服务的资源。分散存储系统建议用户将未使用的磁盘空间出租,并接收代币作为奖励。托管商对信息的完整性有直接兴趣,因为丢失数据会产生罚款。

基于分布式账本技术的系统不需要外部规则,所有参与者都是匿名的,拥有平等的权利。数据不再存储在一个地方:上载到系统的文件被分割成块,并使用高级加密保护。只有密钥持有者才能访问信息。这些数据块分布并有冗余,因此即使有几台计算机出现故障,信息也不会丢失。除了技术优势之外,分散的云服务还有另一个直接好处:它们比集中式云服务费用便宜10倍以上。

那么,数据存储的新方向有什么问题呢?首先是缺乏对私人设备操作的控制,以及无法保证高速信息传输。冗余保护数据,但仅限于某一点;由于设备故障,其中一些可能仍会永久丢失。其次,新的、有前景的分布式账本技术不仅吸引了开发商和投资者的兴趣,也吸引了骗子。随着区块链的发展,攻击也变得越来越复杂。攻击者们既使用标准欺诈手段(感染恶意软件,假冒钓鱼网站,发送服务信件)也有更多针对性的攻击,寻找系统架构和智能合约中的漏洞。

通过对软件、硬件和用户级别的安全性进行整体方法,可以显著降低数据丢失或泄漏的潜在风险。首先,系统和智能合约的开发只能委托给专业人员。目前所有在使用的智能合同中,只有一小部分通过了审核,而攻击者们有强烈的动机:一些漏洞,如果找到的话,可能会带来数百万美元加密货币的报酬。只有熟悉各种攻击类型的加密专家才能创建可靠的产品保护。

其次,必须监测用于数据存储的设备。使用专业的设备代替普通的个人电脑将有助于提高系统的稳定性和容错性。同时确保高速连接和24/7小时数据可访问。

最后,通过以下安全操作可以提高用户级别的系统安全性:

---仔细检查浏览器中的网页地址并检查证书,最好将网站保存到书签中,因为假冒的网站地址可能只有一个字符与真实网站不同,可能会在搜索结果排名水平中比较靠前;

---注意“From”字段,不要在邮件中点击可疑链接;

---保持软件更新,并使用可靠的杀毒软件。

如何实现可靠和可访问云数据存储的问题仍然没有解决。这一领域的未来在于当威胁出现时能有项目快速应对,并创建灵活的专业解决方案,将区块链潜力、高质量加密技术和适基础设施结合起来。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏开源项目

GVP 特辑!7 款 JAVA 程序开发“大杀器” | 码云周刊第 39 期

码云 GVP 特辑 工欲善其事,必先利其器。对于 Java 程序员来说若想提高工作效率,那么以下这 7 款 Java 程序开发工具绝对是你不能错过的,不仅可...

3865
来自专栏腾讯大讲堂的专栏

解密Midas、Webank、金融云背后的核心数据库TDSQL【海量服务之道2.0】

如果,你在寻找一款数据库,希望: •在任何情况下,数据都不丢失或错乱; •能7*24小时不间断的对外提供服务,即使故障也不会中断; •能支撑业务量10倍以上的弹...

3109
来自专栏顶级程序员

英特尔 CPU 惊天漏洞事件完全详解

简要版: 昨天媒体报道英特尔处理器芯片出现一个底层设计漏洞,主要存在于 Intel x86-64 硬件中,过去十年中生产的现代英特尔处理器都会受影响。漏洞导致...

45811
来自专栏阮一峰的网络日志

亚马逊如何变成 SOA(面向服务的架构)?

上一篇文章,我摘录了《程序员的呐喊》。这本书有趣的内容太多,今天再摘录一段。 1、 亚马逊公司不仅是世界最大的网络书店,还是世界最大的云服务商。它是怎么实现从...

3049
来自专栏云计算D1net

混合云环境中的数据保护

1605
来自专栏黑白安全

T-Mobile网站的又曝漏洞:任何人只需一个电话号码就可以访问客户信息

T-Mobile客户:您的数据又一次遭到了威胁。这一次的罪魁祸首似乎是一个名为“copypasta”的bug,一位安全研究人员最近在T-Mobile的网站上公开...

1002
来自专栏FreeBuf

Windows崩溃报告存漏洞,收集的信息或被截获利用

安全研究小组Websense已经发表了其研究的初步结果,强调了Windows"崩溃报告系统"所包含的信息和漏洞,有很大的可能会被黑客截获并利用。Windows会...

20610
来自专栏互联网高可用架构

统一支付系统“Fastpay快付”集结号Fastpay

1.8K3
来自专栏FreeBuf

安全招聘中,如何招到优秀的Web渗透测试人员?

越来越多的企业招聘安全人员,然而安全人员大多草根出身,可谓鱼龙混杂。作为企业,你就必须要知道如何才能招到最优秀的Web渗透人员,而不是“职业骗子”。本文罗列了一...

3246
来自专栏FreeBuf

这可能是史上最大规模Google Play恶意程序活动

近期,Check Point的安全研究专家在Google自家的官方App商城Google Play中发现了一种大规模恶意软件活动。这款恶意软件名叫“Judy”,...

3476

扫码关注云+社区

领取腾讯云代金券