《2022守護企業(yè)多云環(huán)境》報告調(diào)研指出,企業(yè)在訪問/維護云環(huán)境中的數(shù)據(jù)時面臨的前三大挑戰(zhàn)包括:數(shù)據(jù)安全性(63%)、復雜度(49%)和多云環(huán)境(43%)。
如何真正實現(xiàn)云存儲安全?毫無疑問,加密是其中至關重要的一層。
為什么加密對企業(yè)很重要?
企業(yè)數(shù)據(jù)中可能包含敏感客戶信息、有價值的知識產(chǎn)權(quán)等各類重要信息。一旦處理不當,隨時可能會遭受罰款、訴訟,導致品牌商譽受損。加密是一層安全保護,可幫助企業(yè)保護數(shù)據(jù)避免不必要的暴露。
云數(shù)據(jù)加密背后更深層的動因
在某些行業(yè),出于監(jiān)管與合規(guī)要求,企業(yè)必須加密云中的數(shù)據(jù)。而對更多企業(yè)而言,加密是一道“錦上添花”的機制,可以讓管理者更放心。當然,市場中關于云上數(shù)據(jù)安全的隱憂一直存在,通過加密,IT可以規(guī)避“數(shù)據(jù)不受限制訪問”類似極端情況的潛在風險。
云存儲加密的不同方法
如果你信任云供應商,在云中直接使用其靜態(tài)數(shù)據(jù)加密功能是更簡單的方法。這意味著,當數(shù)據(jù)被移動或同步到云存儲時,尚未被加密。數(shù)據(jù)在傳輸過程中應始終加密,但在這種情況下,CSP會通過訪問來實現(xiàn)接收。然后再存儲數(shù)據(jù),并通過加密保護靜態(tài)數(shù)據(jù)。
這種方法適合大多數(shù)企業(yè),對于任何有權(quán)限訪問數(shù)據(jù)的用戶或應用程序而言,也是最清晰的解決方案,無需擔心解密數(shù)據(jù)的密鑰。
如果你擔心CSP可能存在“后門”或者“漏洞大開”的風險,這種加密方法并不能幫助解決主要問題。
另一種方法是:在將數(shù)據(jù)發(fā)送到云存儲之前,自己應用加密。通過這種方式,企業(yè)可以確保只有自己才能訪問數(shù)據(jù),當然,這也要求自己管理密鑰,確保安全。理論上,這是最安全的方法,但同時,操作也會更復雜一些。此外,一些云中數(shù)據(jù)運營相關的增值功能(如分析、內(nèi)容索引、自助訪問等)也會被阻止,因為這些系統(tǒng)進程或業(yè)務用戶無法輕松訪問數(shù)據(jù)。
通過下面這張表格來對比不同云存儲加密方法的優(yōu)缺點:
|
加密方法? |
優(yōu)點? |
不足? |
|
傳輸中加密(至/從云) |
標準實踐,對用戶和應用透明。 |
無 |
|
在將數(shù)據(jù)傳輸至云后使用CSP的加密功能實現(xiàn)靜態(tài)數(shù)據(jù)加密 |
易用,無縫銜接用戶和應用。支持在云中擴展數(shù)據(jù)工作流,如內(nèi)容索引等。 |
用戶并不是數(shù)據(jù)密鑰的唯一擁有者,云存儲供應商也有訪問權(quán)限。后門和漏洞都是潛在風險。 |
|
在將數(shù)據(jù)傳輸至云之前靜態(tài)加密數(shù)據(jù) |
絕大多數(shù)情況下是安全的,不存在云供應商訪問數(shù)據(jù)的風險。 |
無法支持用戶通過自服務訪問數(shù)據(jù),數(shù)據(jù)共享特性受限,無法實現(xiàn)分析、內(nèi)容索引等云附加價值。 |
選擇合適的方法
哪種加密方法可以滿足安全和業(yè)務需求?沒有最好的,只有更合適的。這取決于企業(yè)如何看待潛在風險。如果你擔心數(shù)據(jù)有可能會在不知情/同意的情況下被訪問,就現(xiàn)在自己的環(huán)境中加密數(shù)據(jù),獲得只有自己有權(quán)訪問的密鑰,然后再將數(shù)據(jù)放入云中。當然,關于這種加密處理方法帶來的局限性和操作復雜度,也是IT管理者需要認識到的。現(xiàn)在,很多企業(yè)認為云存儲供應商提供的加密機制令人滿意,可在云中無縫地應用和管理。
云存儲安全,不止于加密
在將數(shù)據(jù)移動到云存儲之前,企業(yè)還有其他重要的安全工作要做。就Veritas觀察而言,企業(yè)可通過增加以下安全優(yōu)勢,讓云存儲更安全地存儲和管理非結(jié)構(gòu)化數(shù)據(jù)工作負載:
1、可信身份驗證。支持多重身份驗證(MFA)和單點登錄(SSO)可選項。
2、基于角色的訪問控制(RBAC)
3、訪問控制列表(ACL)同步
4、目錄同步
5、數(shù)據(jù)泄露防護(DLP)
6、活動審核
7、個人身份信息(PII)的識別和標記
8、無共享密鑰引入云
架構(gòu)
