我聽到的有關採用雲技術的最常見論據之一是對在線數據存儲安全性缺乏信心。通常,負責保護組織最重要資產(其獨特的知識)的個人在進行風險管理時可能會反動。可以理解的是。感覺保持數據安全的最佳方法是在您的數據中心和服務器上直接控制。但是,越來越多的組織正在信任要與雲供應商一起存儲的公司數據。
這些人只是愚蠢到令人難以置信,還是這裡面目不暇接?
數據洩露的原因
如果您研究數據洩露的原因,那麼就最常見的原因並沒有太多的共識。但是,大多數站點將列出以下內容:
- 憑證弱和/或被盜
- 舊版或未修補軟件的應用程序漏洞
- 惡意軟件
- 惡意內部人員
- 員工失誤導致損失
- 數據傳輸設備失竊/丟失
- 社會工程/網絡釣魚攻擊
除惡意軟件攻擊外,大多數攻擊媒介可以歸結為與遭受數據丟失的組織的內部系統和流程相關的問題。諸如通過SQL注入攻擊或其他類型的更復雜的攻擊之類的直接黑客攻擊通常不會進入前10名。
如果您閱讀新聞,則經常會聽到有關公共GitHub存儲庫的信息,其中包含用戶登錄名和密碼,帶有不安全和未加密數據的可公開訪問的驅動器,以及丟失或失竊整個數據集的筆記本電腦。簡而言之,由於上述原因之一,在您管理的本地系統上,數據的風險非常高。但是,人們將雲和基於雲的數據庫視為更高的風險。讓我解釋一下為什麼這不是事實的一些原因。
基於雲的數據存儲的類型
在深入探討之前,讓我花一點時間討論各種類型的數據存儲,因為並非“雲”中的所有事物都是平等創建的。在本文中,我將重點介紹來自不同雲供應商的“ 平臺即服務” 數據產品。無論我們是在談論帶RDS數據庫的AWS,使用Azure SQL數據庫和CosmosDB的Azure ,谷歌的Cloud Spanner還是其他任何一種,這都是另一種類型的數據存儲。
如果我們正在與您討論如何通過雲中的虛擬機託管服務器,然後安裝從SQL Server到MongoDB到Elasticsearch的數據管理系統,則這些VM的安全性和管理是您組織的責任,就像您當前的組織一樣。導通房地系統。對於某些基於文件的數據系統也是如此。僅僅是因為您已將文件的位置從本地計算機移至雲平臺,所以安全性仍然由您承擔。
不,我說的是用於數據管理的平臺即服務(PaaS)產品,因為它們從根本上改變了遊戲。您不再使用這些資源管理VM。相反,您要讓您的雲提供商負責數據管理的基礎知識,並且坦率地說,他們將做得更好。造成這種情況的原因是,許多最常見的攻擊媒介(從缺乏軟件更新和補丁程序到配置錯誤的系統,不良做法以及上面列出的所有其他可能導致數據洩露的問題)都已被刪除。
默認安全
首先,大多數PaaS數據庫在設計時都考慮了安全性。安全是他們所做的一切的基本方面。如果您要使用其中一個雲供應商進行設置,則不僅需要具有安全的登錄名和密碼(讓我們面對現實,它仍然容易受到攻擊),而且還必須通過以下方式將IP地址列入白名單內置防火牆。因此,即使您在登錄時選擇不多,人們也將無法直接訪問您的數據庫,因為存在防火牆阻止了訪問-除非他們也可以欺騙您的IP地址。
甚至有一些數據系統故意沒有安全性以使開發更容易。在撰寫本文時,默認情況下,Elasticsearch在其開發版本中不包括安全性。在將安全性發布到生產環境之前,必須由您來實施安全性。但是,各個供應商提供的PaaS產品均未遭受此問題的困擾。
還有一點需要注意:我熟悉的所有云供應商都同時考慮了物理和工廠安全性。他們在遠離洪水區和風力區的地方建立數據中心。它們有可用的輔助電源,但也將數據中心置於恆定的電源附近,最好和最清潔的兩個是水力發電和核能。安全始於物理工廠。
持續修補和更新
不同的雲供應商以不同的方式執行此操作,但是它們都有強大的升級和一組更新的要求。不同於您自己的系統,它可能會嚴重落後並且暴露出不良參與者樂於利用的眾所周知且有據可查的安全問題,而基於雲的系統會定期進行修補。一些基於雲的系統甚至被修補和不斷更新。警告您使用SLA,您的數據庫將按照供應商(而不是您)設定的時間表進行升級。
雖然這聽起來很可怕,但請記住,您已經習慣了修補或更新幾百臺服務器,而它們正在構建同時修補和更新數百萬臺服務器的系統。他們已經進行了很多練習,並且隨後都非常擅長。
備份與維護
當我讀到數據洩露持續不斷的打擊時,我讀到的最可悲的事情之一就是人們沒有備份的頻率。有時,它們有它們,但是它們很舊並且過時。或者,他們擁有它們,但是他們不知道如何還原它們。或者,最糟糕的是,它們擁有它們,但是它們使用與剛剛利用的惡意軟件相同的安全性存儲在本地,現在這些備份丟失了。
基於雲的PaaS產品並非如此。我研究和使用的所有內容都有適當的備份形式。此外,根據我們所討論的數據存儲類型,它們具有執行時間點恢復的能力。這是許多企業努力做到正確的事情。
除了備份外,大多數PaaS數據庫管理系統還在其照料下對數據庫進行不間斷的定期維護。再一次,根據數據庫和雲供應商的類型,他們可能在幕後提供了額外的保護,以確保即使在數據損壞的情況下您的數據庫也可以使用(這很罕見,但這對我們所有人來說都更早發生了)或更高版本)。
靜態,動態加密
大多數PaaS產品都著重確保在其系統內對數據進行加密。當它存儲在數據庫中時,他們會對其進行加密,但是也會對備份進行加密。大多數主要供應商都確保他們在數據中心內移動數據時對其進行加密。在發生違規事件時,所有這些額外的保護措施有助於確保將違規事件包含在儘可能低的級別,而不是將多個數據庫而且多個組織都暴露於一個違規事件。
高可用性
最後要指出的是,大多數雲供應商在其系統內提供不同程度的高可用性。它們通常以零成本為您提供一定程度的內置可用性和災難恢復。但是,您可以支付額外的保護費用。因此,通過增加一些額外的開銷,您不僅可以確保在存儲數據的任何數據中心都可以使用您的數據,而且可以確保有自動化流程來確保將其複製到輔助位置。大多數主要供應商都可以在全球各地進行此操作。
這是大多數企業都沒有嘗試過的災難保護級別,更不用說成功實施了。
結論
事實是,您可能擁有一個具有輔助電源系統的出色數據中心-安全性,維護良好的補丁程序,經過測試的安全性,經過測試的備份以及經過實踐檢驗的高可用性設置。另一方面,您可能需要這些服務。要考慮的最重要的事情是常見的攻擊媒介。通過將數據移動到雲,這些數量增加了多少?很少,如果有的話。通過將數據移至雲,這些數量減少了多少?大多數。
因此,如果您因為擔心數據安全性低而不願遷移到雲,我強烈建議您看一下雲供應商如何處理安全性以及如何發生數據洩露。一旦掌握了這些知識,您就不必擔心基於雲的數據系統。
閱讀更多 愛碼農 的文章
