公共雲中數據保護的6個步驟

關鍵訊息，D1時間送達！

企業應該為訪問雲計算數據的用戶強制實施強密碼，並且許多企業希望超越密碼保護，能夠提供更好的安全措施，以實現多因素認證。

儘管雲計算安全仍然是企業最關心的問題，但公共雲比私有雲更安全，這似乎有悖人們的直覺，但是雲計算服務提供商具有規模優勢，使得他們能夠比其他大型企業在安全工具方面投入更多，而其安全性的成本則被大量的用戶所稀釋。

這並不意味著企業可以將其數據安全的責任轉移給雲計算提供商。企業需要採取許多基本的安全措施，從身份驗證開始。雖然這適用於所有用戶，但它對於系統管理員來說尤其重要。他們的密碼泄露可能等同於交出企業業務的主密鑰。對於管理人員來說，多因素身份驗證實踐對於安全操作至關重要。使用智能手機添加生物識別技術是該認證的第二或第三部分中的最新潮流，具有很多創造性的策略。

除了保護訪問雲計算數據之外，又如何保護數據本身呢?人們已經聽說過當一組實例被刪除時發生的主數據泄露，但是相應的數據卻沒有泄露，而過了一段時間，這些文件變得鬆散，並可能導致出現一些問題。這是因為數據所有者的粗心大意而引起的。

這個問題有兩個答案：對於規模較大的雲端設置，建議使用雲計算數據管理器來跟蹤所有數據和孤立點文件。這應該能夠阻止遊盪的數據，但是當黑客以任何方式進入，並能夠獲得有用的當前數據時，情況如何呢?答案很簡單，就是良好的加密。

採用加密措施比在目錄上使用壓縮軟體PKZIP更有意義。AES-256加密或更好的加密措施是必不可少的。密鑰管理至關重要，而讓管理員擁有密鑰相當於等待一場災難的發生，而工作人員在便條上寫下密碼更是一種極端。雲計算提供商提供的一種選擇是基於驅動器的加密，但是這種方式失敗了。首先，基於驅動器的加密通常只有幾個可供選擇的密鑰，並且黑客通過猜測，可以輕鬆訪問互聯網上的數據。其次，數據必須由驅動器所連接的網路存儲設備解密。然後在發送到請求伺服器時重新加密(或不加密)。在這個過程中有很多安全漏洞。

端到端加密要好得多，使用伺服器中保存的密鑰進行加密。這阻止了下游安全漏洞轉化成問題，同時也增加了對數據包嗅探的保護。

數據蔓延很容易通過雲計算創建，但又會帶來另一種安全風險，特別是當大量的雲管理分散到部門計算，甚至用戶時。雲計算數據管理工具比書面的政策更能解決這個問題。它也考慮增加全局重複數據刪除的存儲管理和價值，這將顯著減少數據曝光量。

最後，關於如何備份數據的這個問題如今正在發生變化。傳統備份和災難恢復已經從採用磁帶和磁碟存儲轉變為將雲計算作為首選存儲介質。現在的問題是，其備份過程是否是合適的策略，而不是快照或連續備份系統。而快照方法正在增長，由於小型恢復窗口和有限的數據丟失可能具有風險，但是由於沒有單獨的備份副本(可能存儲在不同的雲中)可能會帶來風險。

以下，將詳細介紹企業在使用公共雲時可以保護其數據的方式：

(1)多因素認證

企業應該為訪問雲計算數據的用戶強制實施強密碼，並且許多企業希望超越密碼保護，能夠提供更好的安全措施，以實現多因素認證。要求超越密碼保護意味著採用多因素認證。第二種選擇可能是指紋、聲紋或視網膜掃描。另一種選擇是設置幾個只有用戶才知道該如何回答的具有挑戰性的問題。

然而，即使擁有強大的身份驗證，仍然存在內部風險，通常是心懷不滿的內部管理人員或編碼人員。企業可以應用數據分析來發現一些奇怪的訪問模式，例如下載關鍵文件或窺探與工作任務無關的區域。就個人而言，需要鎖定伺服器上的USB埠，但這並不能阻止移動設備或基於瀏覽器的操作。確保管理人員和編碼人員訪問的唯一答案是嚴格限制區域訪問，將其知識此限制在只需知道的基礎上。

(2)VPN管理

雲計算中的VPN是「免費」設置和管理的，因此請使用它們來保護數據。將用戶限制在他們自己的區域，並將其鎖定在其他區域的可見性之外。這對於防止命令和控制殭屍網路來說尤其重要，因為這些攻擊允許攻擊者毫不費力地造成大量傷害。企業儘可能多地訪問層，以使得給定數據集的清除路徑根本不存在。流量監控在這裡很有用，因為不尋常的下載或上傳可以標記為可疑活動。

(3)數據管理工具

人們經常聽到數據對象被泄露。這些往往是由於某些管理員的粗心大意造成的，但沒有人是完美的，複雜性正在快速增長。然而，它們通常都是純文本的，完全可讀，有時其內容遍布整個網路。

其解決方案是部署數據管理軟體工具，搜索和定位數據並監控使用情況。這是一個熱門的IT領域，將擁有越來越多的優秀解決方案。

另外，在虛擬機中，臨時本地實例驅動器也可以讓數據曝光泄露。例如，如果實例崩潰，工作人員是否知道數據會發生什麼變化?如果找不到它，但伺服器可能已經死機，可以採用自己的可移動驅動器(例如加密密鑰)。如果伺服器的崩潰只是暫時的，雲計算服務提供商如何防止數據被讀取?採用SSD硬碟尤其是一個問題。他們的備用塊池很大，只能在後台刪除。雲計算服務商(CSP)需要注意防止新租戶進入備用空間。

(4)重複數據刪除

數據蔓延可能是廉價租用雲存儲的後果。為什麼要刪除它只需花費幾美分的成本?重複數據刪除對象可以提供幫助。這不是壓縮技術，而是查看對象內部的數據重複以查找可能的縮減。重複數據刪除最終會得到任何給定對象的適當保護的單個副本。對該對象的所有其他用途或引用只是元數據文件中的指針。

重複數據刪除有兩件事：它節省了驅動器空間，並簡化了管理。簡化管理實際上更重要，尤其是在人們將分析和索引工具添加到存儲系統時。任何花費時間搜索具有相同名稱的文件目錄的管理員都需要了解這個價值主張。

複製管理也允許數據得到充分保護。使用相同的ID保護單個副本比數十個要容易得多。

(5)加密

你經常加密自己的文件嗎?根據研究，人們對數據加密的意識仍然不強，這是這些災難性數據泄漏的根源。而沒有對公共雲中的數據進行加密對於工作人員來說是一種失職，以下是一些工作人員應該或不該做的事情：

·使用AES或更好的加密

·加密文件或對象名稱，或者至少將它們放在加密的元數據文件中

·不要為所有對象使用一個密鑰

·限制知道密鑰的管理員人數

·在源處加密，因此黑客嗅探傳輸數據包將會失敗

·不要使用基於驅動器的加密，因為大多數驅動器都可以在網路上使用(短)密鑰列表。

工作人員需要仔細查看雲計算服務提供商的加密選項。

(6)備份和災難恢復(DR)

業內人士對於連續備份或快照是否是數據與傳統的單獨備份複製軟體的一種更好的保護方式存在爭議。快照由於提供了很好的度量標準而具有吸引力，但是有哪些區域可用於將快照合併到災難恢復(DR)中?存儲主數據的同一雲服務提供商內的備份是否明智?是否存在潛在的附加問題?這些問題需要企業認真思考。

如果做得好，採用多區域或多雲複製的快照永久存儲策略看起來非常有前景，無論從經濟角度還是從數據保護角度來看都是如此。不過，在此建議企業對這個問題進行一些研究，因為並非所有的解決方案都是平等一致的。

版權聲明：本文為企業網D1Net編譯，轉載需註明出處為：企業網D1Net，如果不註明出處，企業網D1Net將保留追究其法律責任的權利。

（來源：企業網D1Net）

企業網D1net已推出企業應用商店（www.enappstore.com），面向企業級軟體，SaaS等提供商，提供陳列，點評功能，不參與交易和交付。現可免費入駐，入駐後，可獲得在企業網D1net 相應公眾號推薦的機會。歡迎入駐。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！