云存储安全性和数据加密

来源:华万通信  采编:John  发布时间:2021-04-21

在2016年,Dropbox公司的6800万个用户账户被泄露。网络攻击者利用了一个保管不善的员工密码,从该公司在2012年及更早创建的账户中获取电子邮件地址和密码。这些数据被网络攻击者在暗网上出售。
 
尽管云存储很方便,并且无论用户使用什么设备都可以随时随地访问数据,但云存储的安全性都是组织非常关心的问题。
 
将数据存储在云中意味着组织的机密文件和敏感数据面临新的风险。存储在云中的数据超出了用于保护组织数据中心中敏感数据的安全保护措施的限制。
 
因此在云存储方面,除了Dropbox、AWS、微软和谷歌等云存储提供商提供的基本安全措施之外,组织还必须采取其他措施来保护云存储数据的安全性。
 
保证云存储安全是共同的责任
 
云存储提供商和用户共同负责云存储安全。云存储提供商保护用户的数据免受入侵和数据窃取。组织应该采用更多的安全措施以加强云存储中的数据保护,并限制对云中敏感信息的访问。
 
如果组织的员工没有采取必要的安全措施,云存储提供商几乎无法保护其敏感数据免受未经授权的访问。因此,组织必须让其员工了解组织的数据可能面临泄露的潜在风险。
 
云存储提供商向组织提供数据保护解决方案。这些解决方案为如何将数据移入和移出云平台提供了完全的可见性和基于策略的控制。这种做法可以确保只有经过授权的数据才能对外输出,并且只有得到执行方的批准才能传输。
 
归根结底,这取决于组织是否希望在云存储提供商已经提供安全保护的基础上对重要数据采用更可靠的防护措施。尽管如此,如果云存储提供商没有发现安全漏洞,组织需要采用更多的安全措施保证其数据安全。
 
选择云存储安全解决方案
 
在选择云存储安全解决方案时,组织应确保为与云存储所有形式的数据交互提供连续的监视和可见性。它应该提供对过滤到用户代理和操作系统事件的文件移动的精细控制。
 
行业领先的云存储提供商还将数据保护措施扩展到通过加密存储的数据。加密的数据以密码方式锁定到私钥,除非私钥可用,否则无法解密。
 
数据加密的重要性
 
云存储提供商不仅确保数据的完整性和可用性,还确保其机密性。也就是说,即使在网络攻击者获得组织凭据的访问权限的情况下,其数据仍然被加密,因此网络攻击者无法破解这些数据。网络攻击者也希望通过登录这些凭据之一来获取对组织数据的访问权,或者想在暗网上出售这些数据,但加密方法使他们难以得逞,
 
数据加密使组织的数据无法让没有密钥的人员破解,从而保护了数据的隐私,其加密的数据看起来像一长串随机字符。
 
加密对数据的隐私至关重要,但它并不能解决所有的安全问题。最佳安全实践采用多层方法。数据必须是端到端安全的,因此数据加密是用户身份验证、数据完整性、数字签名和不可否认性的关键措施。
 
数据必须在传输和静态存储时加密。传输过程中的数据加密是保证双方通信安全的基础。静态数据加密就是为了维护存储数据的机密性。
 
安全性不再是一种奢侈品而是必需品,这不仅成为组织的首席信息安全官(CISO)关心的问题,也已经成为每位IT专业人员的责任。以下了解一下数据加密如何与云存储提供商的安全措施相结合。
 
云中的数据加密
 
当人们谈论如何将数据从内部部署数据中心存储到云存储库(例如Amazon S3、Google Cloud Storage和Azure Blob Storage)时,必须了解他们只负责保护其云存储基础设施免受入侵和数据盗窃。主要的云存储供应商采用的是企业级安全措施,因此实际上是很安全的。
 
伪装成组织员工的网络攻击者仍然可以访问组织的数据,对其进行解密并将其推送到他的服务器,而无需云存储供应商提供任何标记。为了解决这个问题,云存储供应商提供了一些工具来限制访问,并监视从组织的存储帐户中传输出来的数据。组织有责任使用大多数这些工具在细粒度级别保护数据的权限。
 
在本文中仅限于静态数据加密。云计算服务提供商使用传输层安全(TLS)对传输中的数据进行加密。TLS是一个开放的协议,因此不同的云存储提供商之间的差别不大。
 
对于静态数据加密,每个云存储提供商都有自己的加密方法,其中包括加密、私钥管理和密码登陆。总之,加密有两个方面:服务器端和客户端。
 
服务器端加密vs.客户端加密
 
使用服务器端加密,只有在将数据传输到接收者(在这种情况下为对象存储服务)之前,数据才会被加密。幸运的是,所有主要的云存储提供商都提供服务器端加密服务,并在实现细节上有一些不同之处,特别是在私钥存储方面。
 
通过客户端加密,数据在发送者端进行加密,然后再传输到接收者(在这种情况下也是对象存储服务)。同样,所有主要的云存储提供商都允许客户端加密,但有所不同。
 
云中数据加密的优缺点
 
在当今世界,网络攻击和盗窃事件日益增多,数据加密至关重要。从安全的观点来看,数据加密也至关重要。如果不希望自己的个人信息可供组织外部的任何人使用,则最佳方法是通过组织之间的端到端加密来保护数据。
 
此外,医疗和财务记录等高风险数据必须始终加密,只有组织的授权人员才能访问,
 
1.数据加密的优点
 
(1)改善数据安全性
 
将数据从一个地方迁移到另一个地方时,将处于较高的风险中。那就是最需要加密的时候。加密既可以在传输层面工作,也可以在静态层面上工作,从而降低了受到中间人攻击的风险。
 
(2)保密性
 
保密性是数据加密用于锁定人员的安全性,隐私和敏感信息的主要原因。与此同时,它提供了隐私保护,并降低了欺诈的机会。
 
(3)可靠性
 
数据加密可以保护数据资源,使其免受网络攻击者的侵害。尽管加密的数据不能完全抵御网络欺诈和攻击,但数据所有者可以随时识别其数据中是否存在恶意事件,这为他们采取主要行动提供了更好的机会。
 
(4)合规性
 
加密是存储和移动数据的最安全技术之一,因为它符合对组织强制的法规要求和限制,例如遵循FIPS、FISMA、HIPAA或PCI/DSS等法规。
 
2.数据加密的缺点
 
虽然云计算安全和数据加密已被证实是保护组织具有价值信息的最有效方法,但它们也有其局限性。
 
(1)繁琐的数据恢复
 
数据加密是保护敏感数据的一种非常有效的方法。但是有时候由于受到数据访问工具控制,组织在声明自己拥有的数据时变得更加困难。
 
(2)安全漏洞
 
数据加密的一个主要障碍是,它仅对已经传输的数据提供部分安全性。
 
(3)数据传输费用
 
数据加密措施可能会变得很昂贵,因为它需要高度复杂的安全存储系统来保存加密的数据。其系统还必须具有足够的可扩展性以进行升级,从而增加了相关成本。
 
这些是数据加密的主要的优点和缺点。组织是否希望使用云计算加密保护其业务数据完全取决于自己的判断。尽管存在种种限制,但确实需要在云存储中进行数据加密。
 
数据加密和公共云供应商
 
AWS S3、Microsoft Azure Blob Storage和Google Cloud Storage等主要云存储提供商都采用一套通用的对称和非对称加密技术来保护数据和密钥,并提供服务器端和客户端加密。当采用现代公共云存储解决方案中常见的对称和非对称加密技术时,AES-256和RSA将成主要的标准。
 
适合采用云存储吗?组织有什么选择?
 
如果组织在不同的地点经营以数据为中心的业务,那么随时随地的可访问性对组织而言比什么都重要。在这种情况下,将数据存储在组织的内部部署存储中是不可行的,必须选择可靠的云存储解决方案。
 
幸运的是,所有云计算供应商都提供了内置了顶级安全措施很好的选择。他们采用业界标准的加密技术来保护客户端和服务器端的数据。
 
对于云存储解决方案中的数据安全性,漏洞和数据盗窃通常是管理组织的存储帐户的管理员的疏忽或不知道将解密数据发送给谁的员工的过错。
 
通过强大的权限管理、监视支持和访问控制,组织可以通过限制对云存储中敏感信息的访问来避免这些风险。
 
AWS S3存储桶使得使用AWS身份和访问管理(IAM)进行访问控制变得非常容易。使用AWS IAM,组织的管理员可以独立管理用户权限,并向组织员工授予Amazon S3存储桶及其文件夹和文件的详细权限。
 
Google Cloud IAM和Microsoft Azure IAM分别将相同的功能扩展到Azure Blob Storage和Google Cloud Storage。
 
亚马逊公司的AWS S3和IAM在行业领域的应用时间更长,因此在可用的调整方面趋于成熟,从而为组织提供了无与伦比的方式来根据自己的安全策略自定义最佳设置。
 
如果组织已经订阅了其他Microsoft Enterprise服务(例如Microsoft 365 Enterprise),则微软公司的Azure Blob Storage也是一个明智的选择。微软公司提供的集成水平仍然是市场上其他云存储解决方案无法比拟的。如果组织是一家中小型企业,那么Google Cloud Storage也是一个很好的选择。

拓展阅读

×