现在,对于任何想要跟上最新技术进步的企业来说,将数据存储在云中是必不可少的。
混合云和公共云结构在公司和大型企业中变得越来越普遍。事实上,根据 2021 年的一项调查,高达 72% 的大型企业和 53% 的中型企业使用云解决方案来满足其数据存储需求。
公共云增加了虚拟机部署的灵活性,同时保持足够的价格,即使对于小型企业来说也是如此,这通常使它们成为对初创企业非常有吸引力的选择。
但这并不意味着它们没有风险。公有云迁移可能给您的组织带来的风险看起来与私有云解决方案的风险大不相同。 (另请阅读:公有云与私有云:如何选择。)
明智的 IT 专业人员应该配备良好的监控工具,以减轻公共云风险并确保一致、高质量的性能。因此,在加入公共云之前,您应该考虑以下六大风险:
1.共享访问
基础架构即服务 (IaaS) 解决方案允许将数据存储在同一硬件上。相比之下,软件即服务 (SaaS) 解决方案迫使客户共享相同的应用程序——这意味着数据通常存储在共享数据库中。
如今,您的数据被共享同一张表的其他客户访问的风险几乎为零——至少在微软或谷歌等主要云提供商的情况下是这样。但是,多租户风险可能成为较小的云提供商的问题;必须适当考虑曝光。
充分分离客户的虚拟机对于防止租户无意中访问其他客户的数据至关重要。此外,一个租户的过多流量可能会影响其他用户的性能;因此确保正确的工作流程也很重要。通过在管理程序级别采取正确的预防措施,可以在配置阶段安全地防止这些潜在问题中的大多数。 (另请阅读:如何为下一代云安全做好准备。)
2. 缺乏对数据的控制
另一方面,Dropbox 或 Google Drive 等较大的云服务可能会使企业面临不同类型的风险。
由于使用公共云解决方案,数据存储在公司 IT 环境之外,因此隐私问题主要与敏感数据最终落入未经授权人员手中的风险有关。这就是为什么较新的云服务经常鼓励客户备份他们的数据。然而,当涉及第三方文件共享服务时,隐私可能会受到威胁——因为通常用于保护最敏感数据的更严格的安全设置现在超出了企业的控制范围。 (另请阅读:2020 年美国数据保护和隐私。)
但是可以采取一些步骤。数据丢失防护 (DLP) 可以防止用户将数据传输到企业外部。安全政策可以规定不允许员工使用 Dropbox 等文件共享网站。云访问安全代理 (CASB) 可以防止用户使用未经授权的 SaaS 服务。
降低这种风险的最有效方法是在存储和传输阶段对 128 到 256 位范围内的文件进行加密。这样,所有被公司外部不知名人员移动的数据都是不可读的。确保这些资源在数据传输过程中受到 SSL/TLS 证书等加密技术的保护,并且云服务提供商 (CSP) 提供的存储使用军用级加密,例如 AES-256 和 FIPS 140-2用于静态数据。
3. 自带设备 (BYOD) 问题
“自带设备”(BYOD) 移动策略是云服务最吸引人的功能之一,公司可以通过最简单的技巧提高员工的效率和满意度:让员工使用自己的智能设备(例如笔记本电脑、平板电脑和智能手机)。
多达 70% 的公司通过 BYOD 策略确保员工更快乐、更满意并且可以自由漫游(在家或在旅途中工作),从而减少停机时间和低效率。出于显而易见的原因,随着智能工作在 COVID-19 大流行期间成为常态,BYOD 成为许多被迫远程工作的员工更加必要的资产。 (另请阅读:大流行后世界中的智能数据管理。)
然而,即使 BYOD 的规格可能高于公司提供的规格,员工的设备也可能缺乏安全性和足够的保护。更重要的是,几乎不可能控制员工设备上的数据泄露,因为没有特定工具就无法跟踪或监控外部设备。而且,即使员工的设备是安全的,它仍然可能丢失或落入坏人之手——这意味着工作环境之外的任何人都可能破坏公司的网络,并造成明显的后果。
对于企业和 BYOD 设备,您可能需要考虑实施移动设备管理 (MDM) 策略。
4. 虚拟攻击
除了物理机器带来的传统问题之外,一些漏洞的存在只是因为云的虚拟性质。大多数消费者并没有意识到这些漏洞,而且对于公共云,他们更无法控制安全性。
经验不足的远程工作者很容易被恶意网络参与者抢先一步。根据美国网络安全和基础设施安全局 (CISA) 的最新报告,基于云的环境是最容易被利用的远程工作相关漏洞之一。报告具体指出:“最喜欢的新目标是 2019 年之后发布的与远程工作、VPN(虚拟专用网络)和基于云的技术相关的漏洞。”如果数据在到达目标节点的路径上被截获,即使是加密文件也可能发生窥探。
例如,共同托管的虚拟机可以在一定程度上相互监视,当加密密钥泄露时,会使公司面临严重的安全风险。这就是为什么您的 CSP 有安全的做法来分离密钥管理的职责是很重要的。 rowhammer 和 Flip Feng Shui 等恶意攻击可以协同工作,将加密密钥等敏感数据存储在已知容易受到攻击的位置。
使用可以防止外部人员访问甚至云元数据的安全连接至关重要,不断更新安全工具以应对任何新的虚拟漏洞利用也很重要。 (另请阅读:虚拟化提高安全性的 10 种方式。)
5.(缺乏)所有权
许多公共云提供商在其合同中都有条款明确规定客户不是数据的唯一所有者,因为供应商拥有数据。
提供商通常保留出于法律原因“监控使用”共享和传输的数据和内容的权利。例如,如果客户将云提供商的服务用于非法目的(例如儿童色情),云提供商可以举报并警告当局。
虽然谴责骇人听闻的罪行似乎是一个完全合法的选择,但即使在这种情况下,也可能会就提供商持有的数据的潜在隐私风险提出不止几个问题。数据通常是一种资产,可以通过挖掘和研究为云供应商提供更多的收入机会。阅读服务条款可能会让您深入了解如何处理您的数据,以及在传输和存储数据时您是否真的是所有者。 (另请阅读:谁拥有区块链应用程序中的数据——及其重要性。)
6.可用性风险
没有任何服务可以保证 100% 的正常运行时间。
因此,除了通常由 ISP 导致的连接失败和停机外,还存在在云提供商出现故障时无法访问您的服务的风险。在过去两年中,许多云提供商成为分布式拒绝服务 (DDoS) 攻击的目标,并且这些攻击的数量在 2021 年期间稳步增加。(另请阅读:网络攻击大流行:看看网络犯罪COVID-19 时代。)
冗余和容错不再在您的 IT 团队的控制之下,这意味着客户必须依靠供应商的承诺来定期备份其数据以防止数据丢失。然而,这些应急计划通常是不透明的,并且没有明确定义在发生损坏或服务中断时由谁负责。
希望将其数据移动到公共云或混合云解决方案的公司必须事先知道提供商是否提供灾难恢复计划以及灾难恢复和/或故障转移承诺。特别重要的是要警惕没有足够数据中心的小型云供应商,因为他们可能会求助于与您没有合同的第三方公司。此外,协议必须明确定义发生服务中断时谁应承担责任。 (另请阅读:如何构建有助于提高 IT 安全性的网络架构。)
了解风险
公共云存储服务可以为企业提供巨大的价值,并且通常比企业自己能更好地保护数据。
但是,任何精明的企业主都必须了解此解决方案可能带来的风险,以及除了供应商单独提供的措施外,他们还可以采取哪些措施来降低这些风险。在采用新技术时,安全性一直是一个问题。然而,随着云计算的出现,组织必须采取额外的预防措施来保护在线存储的敏感信息。
