OTPUB知识课堂:云计算能否保证云端数据安全

在信息时代,企业和个人比以往任何时代都更依赖与数据,现在,很多企业开始利用云计算技术来保护他们海量的数据,不过还有一些公司则担心数据上云所带来的安全风险。数据传输到云端之后,基本是处于静止状态,数据是一种资产,将面临损坏、删除甚至存储介质退化的风险。企业必须采取措施消除这些风险以维护数据完整性。

人为错误或恶意造成的损害

数据丢失或损坏的最常见原因是人为错误,可能有多种形式。最常见的人为错误类型是有人意外删除数据。也许他们意外地删除了一个文件,或者删除了一个他们不打算保存的版本的文件。更糟糕的是,系统管理员可能会意外删除整个用户,文件夹或存储块。这种行为造成的损害对个人用户来说是巨大的。

例如,管理云存储数据和账户的一名系统管理员,在登录cloudvendor.com并看到各种存储实体,可能会遇到blob或容器等并不熟悉的格式。很难看出存储账户是否与本地或外部资产相关,并且难以确定谁拥有这些数据。其语法和语言对于每个云是不同的。在检查其中一个存储账户中的数据时,他不小心删除了一个blob,或者更糟糕的是删除了整个存储账户或订阅。

人为失误造成数据面临的另一个风险是软件错误。软件是在各种条件下进行测试的,但总是有一些不被考虑或测试的边缘条件。这方面的一个很好的例子是2015年9月的亚马逊Web服务(AWS)的中断。太多的客户在使用新服务,导致该服务暂时下线。不幸的是,其他的保护措施引发了更多的I / O流量,导致了一段完美的风暴,造成了AWS在一段时间内的级联故障。它并没有最终导致数据丢失,但它是一个没有被测试的边缘条件的例子。

接下来的两个潜在风险是与业界称之为“黑帽”的风险有关(黑帽来自美国西部片,通常坏人总是戴着黑帽),这些人试图窃取或损害公司的数据。黑客攻击的最新例子是试图破坏公司数据的勒索软件,首先加密公司的数据,随后索取赎金要求解密。赎金的攻击也可能像cloudspaces.com发生的情况,黑客可以控制公司的AWS账户。随后,他们被要求支付大额的赎金或将其公司数据删除。这些公司选择不支付赎金,并试图“冻结”攻击者。攻击者删除了他们的整个AWS账户,结果将会导致公司停业或破产。

众所周知,黑客窃取企业的数据。也许他们是行业竞争对手,正在试图窃取公司的秘密。例如,索尼影业所有的机密信件对外公开,人们知道将会发生什么事情。

静默数据损坏

传输数据和存储数据的每一时刻,都会出现静默数据损坏的风险。如果突然变成零,那么文件不再有用。传播中可能会发生静默损坏,并将数据写入存储介质。每个传输和存储介质都有不可检测的位错误率,企业存储的数据有可能不是以前存储的真实数据。任何单个写入被破坏的可能性都相当低(这取决于介质),但是发生这种情况的几率可能会随着每次传输新的文件或对象而上升。

随着时间的推移,静音数据损坏也会发生。唯一的问题是您的数据被破坏多久,并且其数量将被破坏。有一个公式(KuV / kt)可以帮助确定特定介质如何随着时间的推移存储数据,但是数据是明确的,而存储在磁性介质上的所有数据将随着时间的推移而降低(闪存介质也会因为不同的原因而降级)。

入侵检测和预防

无论企业的数据存储在何处,都需要一个入侵检测和预防系统,以及一个损坏检测和预防系统。这些都是相关但非常不同的数据保护技术,这两种技术在公共云中都有可能应用。

对于访问数据应不惜一切代价保护。使用增强的访问控制可以防止不适当的访问,并且可以监视并监视所有访问。基于角色的访问和双因素身份验证是防止未经授权的访问的两种最佳方法,如果未经授权的访问发生,将泄露进行限制。所有云计算提供商都提供访问日志,在数据取证情况下,应该提取并保存这些日志以供将来使用。还可以对趋势进行分析,例如特定用户或特定用户从不同位置访问其数据的访问量大大增加。

损坏检测和预防

最终,似乎即使是最安全的组织也可以被渗透。因此,组织也应该有一个损坏检测和预防系统。当然存储在云计算中的数据应该被存储或发送到云端,使得公司可以从任何损坏或意外删除中恢复,并且不会意外地删除云数据,并且还必须主动监视数据损坏或攻击。

大多数云供应商都有能力在不同的地理位置拥有多个数据副本。然而,这更像是一个HA,而不是一个保存功能,因为通常在跨层和跨云的云中,快照集成不是原生的,也不是简单的。传统的云供应商还不支持防止意外或恶意删除或破坏数据的WORM (一次写入,多次读取)功能,也不支持数据的自动完整性检查。

但这并不意味着第三方平台无法提供此类功能。如果一个平台作为传统云供应商的网关,它可以添加一些完整性数据功能,例如创建不能通过该接口覆盖的WORM或黄金副本的数据。客户应选择一个平台,可以在数据迁移到云端之前指定保留锁,访问权限和WORM副本。这种控制是至关重要的,所以组织知道正确的数据正在被保留,不能被意外删除,并且在日期过后不能提供。

虽然第三方平台可以通过接口防止意外或恶意删除或损坏,但恶意人员仍然可以绕过他们的接口,并尝试通过与平台存储其数据的云存储供应商直接连接来破坏数据。此外,云中的副本也可能随着时间的推移而遭受比特损坏(即静默数据损坏)。由于这些原因,平台应该定期检查黄金副本的数据完整性。

这样的服务应该在单独的环境中,否则错误和攻击可以一起擦除数据和验证系统。通过从云端重新启动数据或为此目的在云中创建基础设施来验证数据可能是昂贵的,因此这样的系统应该构建在利用成本有效的计算组件(如来自AWS的LAMDA或来自Azure的Micro功能)中。该系统应能够根据需要提供验证报告,并能够抓住前面描述的“云后门”。如果不幸发生,它也可以自动处理数据访问审核日志以执行根本原因分析。这些日志还应捕获WORM锁/保留期间的管理覆盖。对于所有数据的日志进行统一的端到端审核,必须从数据离开公司的过程中,在传输过程中,最终在云中进行统一的端到端审核。这将意味着以一致的方式对云供应商日志和平台日志进行统一的视图。

由于其成本和敏捷性等原因,考虑云数据保存的压力越来越大。在企业开始这一行程之前,建议他们考虑在现场分期区域,传输期间以及在云中中转时提供数据保证的机制。各种规模的公司应该遵循这些最佳做法,然后才考虑大规模迁移到云计算以保存数据。

更多云计算安全信息请登录OTPUB知识课堂:http://www.otpub.com/Course/List/Index/cid/36.html

时间: 2024-07-29 10:59:20

OTPUB知识课堂:云计算能否保证云端数据安全的相关文章

OTPUB知识课堂:如何保证混合云备份与灾难恢复的数据一致性

为了保证备份和灾难恢复工作的成功,数据也必须进行同步:这么做有助于IT技术团队保证数据的一致性,理想的结果是,如果混合云平台出现问题,处理速度只会变慢,然后可以自动恢复,因为平台的其他部分可以承担负载,或者在公共云的情况下,随着工作负载迁移到其他可用性区域.实际上,混合云备份和灾难恢复的数据一致性是很难实现的. 在云平台之间的广域网数据传输可能需要很长时间,特别是大量传输.例如,具有两个本地副本的存储系统可以在几毫秒内完成写入操作,而三个副本系统需要10秒钟以上. 解决此问题的一个常见方法是使远

OTPUB知识课堂:云存储和本地存储之间的区别

1. 本地存储是指将数据存放到本地磁盘.或移动硬盘.U盘.光盘等存储设备上. 通俗来说就是把自己的数据如文档.视频.图片.音乐等,存到到自己的电脑上.或存放到移动硬盘.U盘.光盘上. 2. 云存储是一种新兴的网络存储技术,是指通过集群应用.网络技术或分布式文件系统等功能,将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作,共同对外提供数据存储和业务访问功能的一个系统.是一种新的商业模式,让用户自由选择,按需购买,灵活扩充存储空间大小.比如现在常见的网盘.云盘. 通说来说是就是将自己的

OTPUB知识课堂:Checkpoint NAT介绍

为什么使用Checkpoint NAT 公网IP地址资源有限: 隐藏内部网络以提高安全性: 当两个合并网络中出现重复地址. 类型 hide NAT:多个内部IP地址,痛改前非防火墙修改源端口后,映射到一个公网IP,以便访问公网资源.多对一映射. Static NAT:防火墙,将内部一个私有IP地址转换为一个公网IP地址,以便外部能够访问内部资源.一对一映射. Manual NAT:手工配置在NAT转换,允许转换源地址.目的地地址.源端口.目的端口和服务. 检查点 i:Pre-Inbound I:

存储知识课堂(二):磁盘读写磁头揭秘

[IT168 技术]磁盘技术演变的同时读写磁头的设计也在不断发展.最早的磁头就是绕着线圈的铁芯.按照目前的标准,最初的磁头尺寸过大,而且录制密度低.经过多年的发展,磁头设计已经从最初简单的铁芯发展为各式各样的磁头类型和技术.在<存储知识课堂(一):磁盘工作原理揭秘>一文中,我们详细介绍了磁盘的工作原理.在这本文中,我们将讨论的是PC硬盘中的各种磁头,包括各种磁头的应用和优缺点. 不同种类的磁头在硬盘中已被应用多年 铁氧体磁头 隙含金属磁头(MIG) 薄膜式磁头 (TF) 磁阻式磁头 (MR)

存储知识课堂(一):磁盘工作原理揭秘

大多数永久性或半永久性电脑数据都是将磁盘上的一小片金属物质磁化来实现.然后再将这些磁性图可被转换成原始数据.这便是磁存储的原理也是这篇文章的主要内容. 磁存储的历史 在磁存储出现以前,初级电脑存储介质是1890年Herman Hollerith发明的穿孔卡片. 磁存储的历史可以回溯到1949年6月,一群IBM工程师和科学家那时正开始研发新的存储设备.他们当时研究的正是用于电脑的第一个磁存储设备,而这个设备改变了整个行业.在1952年5月21日,IBM发布了带IBM 701 防御计算器的IBM 7

云计算如何保障大数据安全?

社会信息化和网络化的发展导致数据爆炸式增长,全球数据量大约每两年翻一番,这就意味着最近两年产生的数据量相当于之前产生的全部数据量.大数据技术已悄然***到各个行业领域,逐渐成为一种生产要素发挥着重要作用. 大数据技术的发展赋予了大数据安全区别于传统数据安全的特殊性.在智能时代新形势下,数据安全.隐私安全乃至大数据平台安全等均面临新威胁与新风险,大数据安全保障工作面临严峻挑战. 大数据为企业带来巨大的信息价值,云计算则是大数据强大的支撑,"云"正快速推动着数据挖掘的发展.云计算提供了弹性

云计算开发应具备什么知识?云计算开发负责什么工作?

云计算的开发,基于云计算的开发是两个名词,但是核心是:开发.云计算的开发一般是云计算厂商(或选择自己研发云计算的甲方)的工程师,主要是针对云计算内产品的研发工作,聚焦在计算.网络.存储.PaaS等层面.一般SaaS层的开发不称自己是云计算的开发. 基于云计算的开发,和一般的开发没有什么不一样的地方,只不过在开发中需要尽可能的利用好云计算,形成云原生的应用优势. 如果你侧重IaaS层, 则你需要掌握虚拟化的知识,了解目前的vmware\xen和kvm,虚拟化相关关键技术,以及计算资源调度技术.如果

python小知识课堂

啦啦啦 with上下文管理 __class__和type的关系 原文地址:https://www.cnblogs.com/zx125/p/11974314.html

QuickBI助你成为分析师-保证数据安全:行级权限

摘要: 行级权限功能既可以提高工作效率,又可以避免泄露敏感的商业数据,实现了相同报表,不同用户组/用户查看不同数据的效果. Quick BI 的行级权限就可以实现在一份报表中,不同的人/用户组看不同的数据.目前只有高级版.专业版有行级权限的功能. 以一个销售团队为例,如果该销售团队的业务范围是全国,那么意味着他们需要随时掌握30多个省的销售情况,而且每一个省还有若干个城市,每一个城市还有若干个县:随着业务量的不断增大和扩容,他们所要查阅的销售数据也会日益增加. 在如此庞大且复杂的数据中,如果能够