给大数据上云保险

第344期

给大数据上云保险

文 | 徐鹏 责任编辑 | 贾凯强

审核 | 赵珏 策划 | 刘克丽

大数据在云环境的安全性正在遭受考验，风险就是金融机会，给数据上云买保险，就是用金融手段解决的方法之一。

云数据谁来买单

用户买单？用户不干，云运营公司在保险公司给用户买？这个从思想到生态上还没形成，在公有云网络上具有高度虚拟化、智能化、规模化、扩展的特性，而资源共享也为黑客提供了便捷渠道，让数据成了APT的 "标靶"，可能在产生、传输、接收等任一流程发生泄漏，这一切保险公司无法监测。

高危的大数据保险无法定价

由IBM Security资助、Ponemon Institute LLC独立开展的一项调查显示，尽管平均数据泄露成本下降了10%，单条成本下降了2.9%。不过数据泄露事件的平均规模（丢失或被盗的记录条数）却上升了1.8%。2016年，数据泄露平均总成本增加5.4%，而数据泄露事件的平均规模上升了3.2%，异常客户流失率和单条成本均上升了2.9%。可见，数据安全性并没有随着技术的演进有显著加强。

防范难度加大

通常，识别和遏制数据泄露的速度越快，所需要投入的成本就越低。事实上，已经有不少企业利用相对复杂的IT架构应对安全威胁，但是过于复杂反而不利于组织及时响应数据泄露事件，像BYOD或云端应用会使得掌控数据变得更复杂。调研结果显示，发生数据泄露时迁移至云平台和移动平台会使成本上升。

多备份不可少

对于云服务商来说，既可以选择RAID部署，也可以在多个存储节点之间各写入几个对象副本，这样当某个节点出现故障时，其他节点的数据能够持续补充，或者利用数据副本快速恢复丢失的信息。同时，系统也可借助冗余备份来组成并联模型提升可靠性。多数情况下，云端应用会通过共享密钥、生物识别、对象去标识、加密算法、虚拟机扫描等方式保障数据安全。

加密非万全之策

对于不同用户的数据，存储系统一般会分配特定的密钥编码，这些密钥既可以存在服务器中，也可以由用户自行保管。例如，云服务商会在底层存储套一层加密，将数据分成各个文件分别加密上传，并且会随时接收远程修改。然而在部署过程中，一些和云存储混用的方案却有被篡改的风险。虽然黑客无法看到数据包内的内容，不过却可以将其他文件"嫁接"过来。如果在某些加密区有多个授信账户，这种状况无疑是有威胁的。

传输协议要升级

在数据的传输过程中，SSL协议会被用来解决安全问题。通常，SSL协议层在TCP/IP层和应用层之间，可以使用不对称加密技术实现会话双方信息的传递，能够保证完整性和私密性，以及识别对方的身份。例如，配置服务器的SSL不仅需要验证用户身份，还要求浏览器提供用户证书。之后，客户端会检查服务器证书，如果检查失败，则不能建立SSL连接。如果成功，则继续。目前，SSL正逐渐被TLS替代。

取证问责要重视

越来越多的服务上云使得差错取证和问责变得重要，用户可以云存储上对文件进行访问和编辑，这就引发了泄密的担忧。虽然日志文件可以记录用户的登录信息，但是企业也并不情愿提供云服务器的相关信息。以Amazon S3为例，其提供了多种API，并在此之上构建了像Dropbox等云存储服务，支持多平台的上传、下载、打开、删除。默认情况下，Amazon S3使用的是SSL协议，不过仍然创建了临时文件。

数据主权要维护

一些云服务商会建议用户通过加密渠道上传或下载文件，希望以此来加强密钥安全性。需要注意的是，如果用户想获取额外的安全性能，也要在功能层面有所取舍，例如放弃云存储文件的公网搜索项目。即使是这样，当关键应用被嵌入攻击文件的话，仍会有永久丢失数据的风险。此时，就需要用户对数据的掌控权有所加强。

结语

云计算时代的大数据面临的威胁与日俱增，如何给这些数据上"保险"让用户放心成了云服务商要思考的问题。一方面，要让用户掌握对数据的控制权，采取多级加密验证机制，让用户能够监测到文件创建以来的元数据，另一方面也要做好健全的安全赔付机制，这样才会让用户安心将数据迁移上云。

微信名：意见英雄

微信ID：yijianyingxiong