尽管云计算安全仍然是企业最关心的问题,但公有云比私有云更安全,这似乎有悖人们的直觉,但是云计算服务提供商具有规模优势,使得他们能够比其他大型企业在安全工具方面投入更多,而其安全性的成本则被大量的用户所稀释。今天中嘉和信为大家分享企业在使用公有云时可以保护数据的方法。
(1)多因素认证
企业应该为访问云计算数据的用户强制实施强密码,并且许多企业希望超越密码保护,能够提供更好的安全措施,以实现多因素认证。要求超越密码保护意味着采用多因素认证。第二种选择可能是指纹、声纹或视网膜扫描。另一种选择是设置几个只有用户才知道该如何回答的具有挑战性的问题。
然而,即使拥有强大的身份验证,仍然存在内部风险,通常是心怀不满的内部管理人员或编码人员。企业可以应用数据分析来发现一些奇怪的访问模式,例如下载关键文件或窥探与工作任务无关的区域。就个人而言,需要锁定服务器上的USB端口,但这并不能阻止移动设备或基于浏览器的操作。确保管理人员和编码人员访问的唯一答案是严格限制区域访问,将其知识此限制在只需知道的基础上。
(2)VPN管理
云计算中的VPN是“免费”设置和管理的,因此请使用它们来保护数据。将用户限制在他们自己的区域,并将其锁定在其他区域的可见性之外。这对于防止命令和控制僵尸网络来说尤其重要,因为这些攻击允许攻击者毫不费力地造成大量伤害。企业尽可能多地访问层,以使得给定数据集的清除路径根本不存在。流量监控在这里很有用,因为不寻常的下载或上传可以标记为可疑活动。
(3)数据管理工具
人们经常听到数据对象被泄露。这些往往是由于某些管理员的粗心大意造成的,但没有人是完美的,复杂性正在快速增长。然而,它们通常都是纯文本的,完全可读,有时其内容遍布整个网络。
其解决方案是部署数据管理软件工具,搜索和定位数据并监控使用情况。这是一个热门的IT领域,将拥有越来越多的优秀解决方案。
另外,在虚拟机中,临时本地实例驱动器也可以让数据曝光泄露。例如,如果实例崩溃,工作人员是否知道数据会发生什么变化?如果找不到它,但服务器可能已经死机,可以采用自己的可移动驱动器(例如加密密钥)。如果服务器的崩溃只是暂时的,云计算服务提供商如何防止数据被读取?采用SSD硬盘尤其是一个问题。他们的备用块池很大,只能在后台删除。云计算服务商(CSP)需要注意防止新租户进入备用空间。
(4)重复数据删除
数据蔓延可能是廉价租用云存储的后果。为什么要删除它只需花费几美分的成本?重复数据删除对象可以提供帮助。这不是压缩技术,而是查看对象内部的数据重复以查找可能的缩减。重复数据删除最终会得到任何给定对象的适当保护的单个副本。对该对象的所有其他用途或引用只是元数据文件中的指针。
重复数据删除有两件事:它节省了驱动器空间,并简化了管理。简化管理实际上更重要,尤其是在人们将分析和索引工具添加到存储系统时。任何花费时间搜索具有相同名称的文件目录的管理员都需要了解这个价值主张。
复制管理也允许数据得到充分保护。使用相同的ID保护单个副本比数十个要容易得多。
(5)加密
你经常加密自己的文件吗?根据研究,人们对数据加密的意识仍然不强,这是这些灾难性数据泄漏的根源。而没有对公有云中的数据进行加密对于工作人员来说是一种失职,以下是一些工作人员应该或不该做的事情:
·使用AES或更好的加密
·加密文件或对象名称,或者至少将它们放在加密的元数据文件中
·不要为所有对象使用一个密钥
·限制知道密钥的管理员人数
·在源处加密,因此黑客嗅探传输数据包将会失败
·不要使用基于驱动器的加密,因为大多数驱动器都可以在网络上使用(短)密钥列表。
工作人员需要仔细查看云计算服务提供商的加密选项。
(6)备份和灾难恢复(DR)
业内人士对于连续备份或快照是否是数据与传统的单独备份复制软件的一种更好的保护方式存在争议。快照由于提供了很好的度量标准而具有吸引力,但是有哪些区域可用于将快照合并到灾难恢复(DR)中?存储主数据的同一云服务提供商内的备份是否明智?是否存在潜在的附加问题?这些问题需要企业认真思考。
如果做得好,采用多区域或多云复制的快照永久存储策略看起来非常有前景,无论从经济角度还是从数据保护角度来看都是如此。不过,在此建议企业对这个问题进行一些研究,因为并非所有的解决方案都是平等一致的。
中嘉和信成立于2006年,自建康盛数据中心于2016年投入使用,互联网骨干路由万兆高速光纤互联,六线BGP带宽接入,采用动态及多冗余设备链路架构,可按需扩充网络资源!中嘉和信凭借优秀的运营管理团队、经验丰富的客服团队,为用户提供“放心、安心、省心”的服务器托管服务等IDC一站式解决方案,可拨打010-51265666进行咨询,欢迎预约参观机房!
相关文章推荐《什么是可组合基础设施?》