云服務(wù)器租用用戶(hù)使用的云計(jì)算平臺(tái)大多數(shù)為公有云,因此安全是十分重要的�。云計(jì)算平臺(tái)的安全是多維度進(jìn)行處理,用戶(hù)需要深入了解才可知道主機(jī)的安全狀況��。
(1)多因素認(rèn)證
企業(yè)應(yīng)該為訪問(wèn)云計(jì)算數(shù)據(jù)的用戶(hù)強(qiáng)制實(shí)施強(qiáng)密碼��,并且許多企業(yè)希望超越密碼保護(hù)�,能夠提供更好的安全措施,以實(shí)現(xiàn)多因素認(rèn)證����。要求超越密碼保護(hù)意味著采用多因素認(rèn)證。第二種選擇可能是指紋���、聲紋或視網(wǎng)膜掃描。另一種選擇是設(shè)置幾個(gè)只有用戶(hù)才知道該如何回答的具有挑戰(zhàn)性的問(wèn)題����。
然而�����,即使擁有強(qiáng)大的身份驗(yàn)證�,仍然存在內(nèi)部風(fēng)險(xiǎn)����,通常是心懷不滿(mǎn)的內(nèi)部管理人員或編碼人員。企業(yè)可以應(yīng)用數(shù)據(jù)分析來(lái)發(fā)現(xiàn)一些奇怪的訪問(wèn)模式���,例如下載關(guān)鍵文件或窺探與工作任務(wù)無(wú)關(guān)的區(qū)域��。就個(gè)人而言�,需要鎖定服務(wù)器上的USB端口�����,但這并不能阻止移動(dòng)設(shè)備或基于瀏覽器的操作����。確保管理人員和編碼人員訪問(wèn)的唯一答案是嚴(yán)格限制區(qū)域訪問(wèn),將其知識(shí)此限制在只需知道的基礎(chǔ)上。
(2)VPN管理
云計(jì)算中的VPN是“免費(fèi)”設(shè)置和管理的���,因此請(qǐng)使用它們來(lái)保護(hù)數(shù)據(jù)��。將用戶(hù)限制在他們自己的區(qū)域��,并將其鎖定在其他區(qū)域的可見(jiàn)性之外�。這對(duì)于防止命令和控制僵尸網(wǎng)絡(luò)來(lái)說(shuō)尤其重要��,因?yàn)檫@些攻擊允許攻擊者毫不費(fèi)力地造成大量傷害���。企業(yè)盡可能多地訪問(wèn)層����,以使得給定數(shù)據(jù)集的清除路徑根本不存在��。流量監(jiān)控在這里很有用�,因?yàn)椴粚こ5南螺d或上傳可以標(biāo)記為可疑活動(dòng)。
(3)數(shù)據(jù)管理工具
人們經(jīng)常聽(tīng)到數(shù)據(jù)對(duì)象被泄露��。這些往往是由于某些管理員的粗心大意造成的�,但沒(méi)有人是完美的,復(fù)雜性正在快速增長(zhǎng)����。然而,它們通常都是純文本的��,完全可讀�,有時(shí)其內(nèi)容遍布整個(gè)網(wǎng)絡(luò)。
其解決方案是部署數(shù)據(jù)管理軟件工具�����,搜索和定位數(shù)據(jù)并監(jiān)控使用情況��。這是一個(gè)熱門(mén)的IT領(lǐng)域��,將擁有越來(lái)越多的優(yōu)秀解決方案����。
另外,在虛擬機(jī)中�����,臨時(shí)本地實(shí)例驅(qū)動(dòng)器也可以讓數(shù)據(jù)曝光泄露�����。例如,如果實(shí)例崩潰�����,工作人員是否知道數(shù)據(jù)會(huì)發(fā)生什么變化�?如果找不到它,但服務(wù)器可能已經(jīng)死機(jī)��,可以采用自己的可移動(dòng)驅(qū)動(dòng)器(例如加密密鑰)����。如果服務(wù)器的崩潰只是暫時(shí)的,云計(jì)算服務(wù)提供商如何防止數(shù)據(jù)被讀����?采用SSD硬盤(pán)尤其是一個(gè)問(wèn)題����。他們的備用塊池很大,只能在后臺(tái)刪除���。云計(jì)算服務(wù)商(CSP)需要注意防止新租戶(hù)進(jìn)入備用空間��。
(4)重復(fù)數(shù)據(jù)刪除
數(shù)據(jù)蔓延可能是廉價(jià)租用云存儲(chǔ)的后果���。為什么要?jiǎng)h除它只需花費(fèi)幾美分的成本��?重復(fù)數(shù)據(jù)刪除對(duì)象可以提供幫助����。這不是壓縮技術(shù)��,而是查看對(duì)象內(nèi)部的數(shù)據(jù)重復(fù)以查找可能的縮減���。重復(fù)數(shù)據(jù)刪除最終會(huì)得到任何給定對(duì)象的適當(dāng)保護(hù)的單個(gè)副本。對(duì)該對(duì)象的所有其他用途或引用只是元數(shù)據(jù)文件中的指針��。
重復(fù)數(shù)據(jù)刪除有兩件事:它節(jié)省了驅(qū)動(dòng)器空間�����,并簡(jiǎn)化了管理����。簡(jiǎn)化管理實(shí)際上更重要,尤其是在人們將分析和索引工具添加到存儲(chǔ)系統(tǒng)時(shí)����。任何花費(fèi)時(shí)間搜索具有相同名稱(chēng)的文件目錄的管理員都需要了解這個(gè)價(jià)值主張��。
復(fù)制管理也允許數(shù)據(jù)得到充分保護(hù)�����。使用相同的ID保護(hù)單個(gè)副本比數(shù)十個(gè)要容易得多�。
(5)加密
你經(jīng)常加密自己的文件嗎�?根據(jù)研究,人們對(duì)數(shù)據(jù)加密的意識(shí)仍然不強(qiáng)����,這是這些災(zāi)難性數(shù)據(jù)泄漏的根源。而沒(méi)有對(duì)公共云中的數(shù)據(jù)進(jìn)行加密對(duì)于工作人員來(lái)說(shuō)是一種失職�����,以下是一些工作人員應(yīng)該或不該做的事情:
·使用AES或更好的加密
·加密文件或?qū)ο竺Q(chēng)��,或者至少將它們放在加密的元數(shù)據(jù)文件中
·不要為所有對(duì)象使用一個(gè)密鑰
·限制知道密鑰的管理員人數(shù)
·在源處加密����,因此黑客嗅探傳輸數(shù)據(jù)包將會(huì)失敗
·不要使用基于驅(qū)動(dòng)器的加密,因?yàn)榇蠖鄶?shù)驅(qū)動(dòng)器都可以在網(wǎng)絡(luò)上使用(短)密鑰列表�。
工作人員需要仔細(xì)查看云計(jì)算服務(wù)提供商的加密選項(xiàng)。
(6)備份和災(zāi)難恢復(fù)(DR)
業(yè)內(nèi)人士對(duì)于連續(xù)備份或快照是否是數(shù)據(jù)與傳統(tǒng)的單獨(dú)備份復(fù)制軟件的一種更好的保護(hù)方式存在爭(zhēng)議��。快照由于提供了很好的度量標(biāo)準(zhǔn)而具有吸引力���,但是有哪些區(qū)域可用于將快照合并到災(zāi)難恢復(fù)(DR)中���?存儲(chǔ)主數(shù)據(jù)的同一云服務(wù)提供商內(nèi)的備份是否明智?是否存在潛在的附加問(wèn)題��?這些問(wèn)題需要企業(yè)認(rèn)真思考��。
如果做得好���,采用多區(qū)域或多云復(fù)制的快照永久存儲(chǔ)策略看起來(lái)非常有前景,無(wú)論從經(jīng)濟(jì)角度還是從數(shù)據(jù)保護(hù)角度來(lái)看都是如此�����。不過(guò)����,在此建議企業(yè)對(duì)這個(gè)問(wèn)題進(jìn)行一些研究,因?yàn)椴⒎撬械慕鉀Q方案都是平等一致的���。
