雲端儲存的安全性和資料加密

導讀	在2016年，Dropbox公司的6800萬個使用者賬戶被洩露。網路攻擊者利用了一個保管不善的員工密碼，從該公司在2012年及更早建立的賬戶中獲取電子郵件地址和密碼。這些資料被網路攻擊者在暗網上出售。

儘管雲端儲存很方便，並且無論使用者使用什麼裝置都可以隨時隨地訪問資料，但云儲存的安全性都是組織非常關心的問題。

將資料儲存在雲中意味著組織的機密檔案和敏感資料面臨新的風險。儲存在雲中的資料超出了用於保護組織資料中心中敏感資料的安全保護措施的限制。

因此在雲端儲存方面，除了Dropbox、AWS、微軟和谷歌等雲端儲存提供商提供的基本安全措施之外，組織還必須採取其他措施來保護雲端儲存資料的安全性。

雲端儲存提供商和使用者共同負責雲端儲存安全。雲端儲存提供商保護使用者的資料免受入侵和資料竊取。組織應該採用更多的安全措施以加強雲端儲存中的資料保護，並限制對雲中敏感資訊的訪問。

如果組織的員工沒有采取必要的安全措施，雲端儲存提供商幾乎無法保護其敏感資料免受未經授權的訪問。因此，組織必須讓其員工瞭解組織的資料可能面臨洩露的潛在風險。

雲端儲存提供商向組織提供資料保護解決方案。這些解決方案為如何將資料移入和移出雲平臺提供了完全的可見性和基於策略的控制。這種做法可以確保只有經過授權的資料才能對外輸出，並且只有得到執行方的批准才能傳輸。

歸根結底，這取決於組織是否希望在雲端儲存提供商已經提供安全保護的基礎上對重要資料採用更可靠的防護措施。儘管如此，如果雲端儲存提供商沒有發現安全漏洞，組織需要採用更多的安全措施保證其資料安全。

在選擇雲端儲存安全解決方案時，組織應確保為與雲端儲存所有形式的資料互動提供連續的監視和可見性。它應該提供對過濾到使用者代理和作業系統事件的檔案移動的精細控制。

行業領先的雲端儲存提供商還將資料保護措施擴充套件到透過加密儲存的資料。加密的資料以密碼方式鎖定到私鑰，除非私鑰可用，否則無法解密。

雲端儲存提供商不僅確保資料的完整性和可用性，還確保其機密性。也就是說，即使在網路攻擊者獲得組織憑據的訪問許可權的情況下，其資料仍然被加密，因此網路攻擊者無法破解這些資料。網路攻擊者也希望透過登入這些憑據之一來獲取對組織資料的訪問權，或者想在暗網上出售這些資料，但加密方法使他們難以得逞，

資料加密使組織的資料無法讓沒有金鑰的人員破解，從而保護了資料的隱私，其加密的資料看起來像一長串隨機字元。

加密對資料的隱私至關重要，但它並不能解決所有的安全問題。最佳安全實踐採用多層方法。資料必須是端到端安全的，因此資料加密是使用者身份驗證、資料完整性、數字簽名和不可否認性的關鍵措施。

資料必須在傳輸和靜態儲存時加密。傳輸過程中的資料加密是保證雙方通訊安全的基礎。靜態資料加密就是為了維護儲存資料的機密性。

安全性不再是一種奢侈品而是必需品，這不僅成為組織的首席資訊保安官(CISO)關心的問題，也已經成為每位IT專業人員的責任。以下了解一下資料加密如何與雲端儲存提供商的安全措施相結合。

當人們談論如何將資料從內部部署資料中心儲存到雲端儲存庫(例如Amazon S3、Google Cloud Storage和Azure Blob Storage)時，必須瞭解他們只負責保護其雲端儲存基礎設施免受入侵和資料盜竊。主要的雲端儲存供應商採用的是企業級安全措施，因此實際上是很安全的。

偽裝成組織員工的網路攻擊者仍然可以訪問組織的資料，對其進行解密並將其推送到他的伺服器，而無需雲端儲存供應商提供任何標記。為了解決這個問題，雲端儲存供應商提供了一些工具來限制訪問，並監視從組織的儲存帳戶中傳輸出來的資料。組織有責任使用大多數這些工具在細粒度級別保護資料的許可權。

在本文中僅限於靜態資料加密。雲端計算服務提供商使用傳輸層安全(TLS)對傳輸中的資料進行加密。TLS是一個開放的協議，因此不同的雲端儲存提供商之間的差別不大。

對於靜態資料加密，每個雲端儲存提供商都有自己的加密方法，其中包括加密、私鑰管理和密碼登陸。總之，加密有兩個方面：伺服器端和客戶端。

使用伺服器端加密，只有在將資料傳輸到接收者(在這種情況下為物件儲存服務)之前，資料才會被加密。幸運的是，所有主要的雲端儲存提供商都提供伺服器端加密服務，並在實現細節上有一些不同之處，特別是在私鑰儲存方面。

透過客戶端加密，資料在傳送者端進行加密，然後再傳輸到接收者(在這種情況下也是物件儲存服務)。同樣，所有主要的雲端儲存提供商都允許客戶端加密，但有所不同。

在當今世界，網路攻擊和盜竊事件日益增多，資料加密至關重要。從安全的觀點來看，資料加密也至關重要。如果不希望自己的個人資訊可供組織外部的任何人使用，則最佳方法是透過組織之間的端到端加密來保護資料。

此外，醫療和財務記錄等高風險資料必須始終加密，只有組織的授權人員才能訪問。

(1)改善資料安全性

將資料從一個地方遷移到另一個地方時，將處於較高的風險中。那就是最需要加密的時候。加密既可以在傳輸層面工作，也可以在靜態層面上工作，從而降低了受到中間人攻擊的風險。

(2)保密性

保密性是資料加密用於鎖定人員的安全性，隱私和敏感資訊的主要原因。與此同時，它提供了隱私保護，並降低了欺詐的機會。

(3)可靠性

資料加密可以保護資料資源，使其免受網路攻擊者的侵害。儘管加密的資料不能完全抵禦網路欺詐和攻擊，但資料所有者可以隨時識別其資料中是否存在惡意事件，這為他們採取主要行動提供了更好的機會。

(4)合規性

加密是儲存和移動資料的最安全技術之一，因為它符合對組織強制的法規要求和限制，例如遵循FIPS、FISMA、HIPAA或PCI/DSS等法規。

雖然雲端計算安全和資料加密已被證實是保護組織具有價值資訊的最有效方法，但它們也有其侷限性。

(1)繁瑣的資料恢復

資料加密是保護敏感資料的一種非常有效的方法。但是有時候由於受到資料訪問工具控制，組織在宣告自己擁有的資料時變得更加困難。

(2)安全漏洞

資料加密的一個主要障礙是，它僅對已經傳輸的資料提供部分安全性。

(3)資料傳輸費用

資料加密措施可能會變得很昂貴，因為它需要高度複雜的安全儲存系統來儲存加密的資料。其系統還必須具有足夠的可擴充套件性以進行升級，從而增加了相關成本。

這些是資料加密的主要的優點和缺點。組織是否希望使用雲端計算加密保護其業務資料完全取決於自己的判斷。儘管存在種種限制，但確實需要在雲端儲存中進行資料加密。

AWS S3、Microsoft Azure Blob Storage和Google Cloud Storage等主要雲端儲存提供商都採用一套通用的對稱和非對稱加密技術來保護資料和金鑰，並提供伺服器端和客戶端加密。當採用現代公共雲端儲存解決方案中常見的對稱和非對稱加密技術時，AES-256和RSA將成主要的標準。

如果組織在不同的地點經營以資料為中心的業務，那麼隨時隨地的可訪問性對組織而言比什麼都重要。在這種情況下，將資料儲存在組織的內部部署儲存中是不可行的，必須選擇可靠的雲端儲存解決方案。

幸運的是，所有云計算供應商都提供了內建了頂級安全措施很好的選擇。他們採用業界標準的加密技術來保護客戶端和伺服器端的資料。

對於雲端儲存解決方案中的資料安全性，漏洞和資料盜竊通常是管理組織的儲存帳戶的管理員的疏忽或不知道將解密資料傳送給誰的員工的過錯。

透過強大的許可權管理、監視支援和訪問控制，組織可以透過限制對雲端儲存中敏感資訊的訪問來避免這些風險。

AWS S3儲存桶使得使用AWS身份和訪問管理(IAM)進行訪問控制變得非常容易。使用AWS IAM，組織的管理員可以獨立管理使用者許可權，並向組織員工授予Amazon S3儲存桶及其資料夾和檔案的詳細許可權。

Google Cloud IAM和Microsoft Azure IAM分別將相同的功能擴充套件到Azure Blob Storage和Google Cloud Storage。

亞馬遜公司的AWS S3和IAM在行業領域的應用時間更長，因此在可用的調整方面趨於成熟，從而為組織提供了無與倫比的方式來根據自己的安全策略自定義最佳設定。

如果組織已經訂閱了其他Microsoft Enterprise服務(例如Microsoft 365 Enterprise)，則微軟公司的Azure Blob Storage也是一個明智的選擇。微軟公司提供的整合水平仍然是市場上其他雲端儲存解決方案無法比擬的。如果組織是一家中小型企業，那麼Google Cloud Storage也是一個很好的選擇。

原文來自：