为什么云端会不断泄漏数据?
Terry Sweenry
讲述:初明明大小:4.40M时长:04:48
虽然数据泄露的程度以及原因可能会有所不同,但所有数据泄露都包含了可能会被盗窃者轻易读取的个人身份信息。而云端发生的数据泄露,影响就更大了,动辄几亿的用户数据遭到外泄,这给企业和用户带来了不可估量的严重后果。那么,为什么云端会不断泄露数据呢?近期,技术编辑特里·斯威尼(Terry Sweenry)采访了安全界的几位专家,从各方面剖析了云端不断泄露数据的原因。
最具破坏性的云数据泄漏是由相同类型的常见云安全挑战和配置错误造成的。云安全联盟(Cloud Security Alliance)即 CSA 的培训总监瑞安·伯格斯玛(Ryan Bergsma)称,最常见的问题是在公开数据存储、访问控制和密钥管理这三个方面。
这些问题通常很容易解决,但首先,我们需要了解为什么云中的安全服务会带来与典型云服务不同的挑战。
原因之一是服务提供商的局限性。
安全服务及其相关配置并不是通用性解决方案,不像其他如 FaaS、IaaS 等云服务,它们中的许多云服务依赖于模块化的方法来访问和存储数据。然而,在安全性方面,客户配置是高度定制的,以便处理一些遗留系统、法规要求和组织实践的某种组合,从而保护客户、用户及其所有数据。
那么,为什么 AWS、Azure 和 Google 不为企业客户做更多的故障排除工作呢?每个优秀的安全从业者都知道,警惕和恐怖之间有一条微妙的界线,大多数云服务提供商都在努力确保自己不会跨越这条界线。
咨询公司 Enterprise Strategy Group 高级分析师兼集团总监道格·卡希尔(Doug Cahill )表示,云服务提供商在向客户提供云安全最佳实践方面做得很好,但他们很少分享。
回过头再来看伯格斯玛提到的三个安全挑战,即公开数据存储、访问控制和密钥管理。
1. 公开数据存储
配置不当的数据存储是一个问题,可能会导致未经授权的访问和数据丢失。一项最近的研究发现,有 23 亿个文件以这种方式被曝光了。哪种方式呢?CSA 全球研究副总裁约翰·杨(John Yeoh)表示,许多云数据存储配置的默认访问设置是“公共”,也就是默认允许公开曝光数据存储。
约翰称,为了安全使用,需要与受过良好教育的架构师和开发人员对服务进行适当的管理。他希望能看到云服务商在终端用户错误配置、服务更改和默认设置等问题上加强通知机制。
2. 访问控制
据伯格斯玛称,访问控制,包括特权用户访问,似乎是数据泄露或丢失的最大原因。问题的根源在于不安全的默认配置以及对访问控制的草率维护。
因此,一些网络正在转向零信任方法,就是只允许以前审查过的资源访问网络,并通过使用软件定义边界的网络进一步保护这些连接。
对于面向公众的服务和云计算,访问方式是多因素身份验证以及需要使用多个账户来获取权限,限制账户泄漏、限制任何受威胁账户的访问。
3. 密钥管理
大多数云客户在一定程度上使用加密,这就要求他们拥有灵活、健壮的密钥管理流程。约翰建议,公司须明确自己的要求,特别是针对以下三点。
其一,检查合规性要求,以确定是否有义务使用硬件安全模块,这是一种外部设备,用于管理和保护数字密钥以实现强身份验证,并处理加密过程。
其二,组织内部创建的治理策略,也可能还需要特定的密钥管理方法。这要与法律和风险管理主管沟通协商。
其三,某些客户合同可能需要以某种方式处理密钥。销售和法律人员可以在这方面提供帮助。
约翰称,无论加密数据是在本地还是在云端中,以一种可行的方式扩展密钥管理是客户面临的主要挑战。
最大的风险是关键管理组件的职责分离和数据分离,这些组件被用于跨多云服务、本地自建(on-premises)环境、云代理和管理自己密钥的客户。然而,云服务提供商仍然使用自己的密钥管理解决方案,这就使情况进一步复杂化。
这就是为什么许多客户转向使用第三方密钥管理代理的原因。但这并非适用于所有的客户,更不用说增加另一家服务商来管理,并支付费用了。
行业接受用于云密钥管理的开放 API 可能是跨 IaaS、PaaS、SaaS 和本地自建环境管理密钥的潜在解决方案。约翰称, CSA 的建议是尽可能使用客户管理的关键解决方案。
以上就是今天的内容,希望对你有所帮助。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论