數據銷燬是一個直到最近才被廣泛討論的話題。無論組織採用哪些雲計算服務,瞭解全球三個雲計算巨頭的數據銷燬的做法將會提高其盡職調查水平。
安全機構Cybersecurity Insiders公司發佈的一份市場研究報告表明,93%的組織對於公共雲的安全性感到擔憂,這種不信任可能源於缺乏信息。而云計算服務提供商瞭解他們的客戶,也瞭解一些問題,並開發了大量的文檔和銷售擔保合同以獲得客戶的信任。行業領先的雲計算提供商主要的文檔改進措施之一是與數據銷燬有關的透明性。通過對這些文檔的分析,可以瞭解當雲計算服務提供商刪除客戶的數據時到底發生了什麼。
組織需要了解雲計算提供商進行數據銷燬的問題,這是組織在與雲計算服務提供商(CSP)合作之前要進行審查的眾多安全控制措施之一。當涉及雲計算安全性時,給定的安全控制措施只能減輕特定的風險,而在網絡安全方面,沒有一個萬能的解決方案。因此,必須瞭解特定的安全控制措施可以解決哪些問題,以及不能解決哪些問題。
但是為什麼數據銷燬是一項重要的安全控制措施?當不再需要保存敏感數據以防止未經授權的訪問時,必須將其銷燬。組織在銷燬數據之前,必須對其進行適當的保護。而那些未經授權的人員如何訪問雲中未被正確銷燬的敏感信息?他們可以:
●使用取證工具從雲計算服務提供商的硬盤中提取數據;
●獲取其他用戶的數據殘留;
●使用雲計算提供商提供的內部人員特權訪問數據;
●從備份中恢復敏感數據。
對於許多人而言,想獲得未經授權訪問敏感信息的第一個策略就是以某種方式獲得硬盤,並使用取證工具從硬盤中提取數據。
硬盤的物理安全性
技術成熟的大型雲計算服務提供商在物理安全性方面表現出色。通常只有幾名有權進入雲計算服務提供商數據中心的人員可以訪問,並且有專門負責管理硬盤的人員。機械硬盤(HDD)的使用壽命有限,而云計算服務提供商每年可能銷燬成千上萬塊硬盤。雲計算服務提供商使用軟件通過序列號跟蹤每塊機械硬盤(HDD),並在任何時間點說明其確切位置。當硬盤的使用壽命到期時,雲計算服務提供商將其粉碎或使用類似的方式進行完全的物理銷燬。而獨立審計公司將嚴密監督和審查這一過程。
數據提取
如果網絡攻擊者以某種方式能夠訪問物理硬盤,則他們可能會嘗試使用各種取證技術從硬盤設備中提取敏感數據。但是與用戶電腦中的硬盤不同的是,雲計算服務提供商採用的每塊硬盤都包含來自潛在數百個不同用戶的數據片段。即使沒有對這些片段進行加密,網絡攻擊者也幾乎不可能將片段與特定租戶相關聯。因為這種片段可能只包含一個標識數據元素,並且缺少映射信息,網絡攻擊者將不可能識別特定目標的硬盤。以下將介紹使用用戶特定密鑰加密數據的好處。
來自其他用戶的數據殘留
很多人都有租房的經歷,通常會發現之前的租戶會留下一些垃圾和個人物品。而當組織成為雲平臺中的租戶時,當然不希望發生這種情況。AWS、Microsoft Azure和谷歌雲平臺對他們的雲計算系統進行了安全設計來防止這種情況的發生。
AWS公司發佈的一份名為“AWS的安全流程概述”白皮書指出:“在Amazon S3刪除對象之後,從公共名稱到對象的映射的刪除將立即開始,並且通常在幾秒鐘內通過分佈式系統進行處理。一旦映射被刪除,就不能對已刪除對象進行遠程訪問,然後再回收底層存儲區域以供系統使用。”
Amazon EBS卷以未格式化的塊設備的形式呈現給用戶,這些設備在可供使用之前已被擦除。
對於Amazon EBS來說,在根據技術規範調整大小之前,為用戶提供的EBS卷難以安全擦除數據。
有些人最初可能會擔心AWS公司可能會等到數據為新用戶重新配置時才會刪除。然而這是最有效的,並延長了固態硬盤的工作壽命。另外,不要錯誤地假設EBS卷託管在一個物理硬盤上。AWS文檔指出,“Amazon EBS卷數據是在一個可用區域中跨多個服務器複製的,以防止任何單個組件發生故障而丟失數據。”
微軟公司高級程序經理John Molesky發表了類似的聲明:“與硬盤上與刪除的數據相關聯的扇區立即可供重用,當相關的存儲塊被重新用於存儲其他數據時,這些扇區將被覆蓋。其覆蓋時間取決於硬盤利用率和活動,但很少超過兩天。這與日誌結構文件系統的操作是一致的。Azure存儲接口不允許直接讀取硬盤,從而降低了另一個客戶(甚至是同一個客戶)在被覆蓋之前訪問已刪除數據的風險。”
這是微軟公司在博客摘錄中提供的附加信息,因為這是客戶需要雲服務提供商披露的信息類型。微軟公司最近聲明,即在新客戶提供數據之前,數據是不會被擦除的,並且Azure雲平臺提供了額外場景,由於高使用率,這些高度優化的資源在幾天內會被自然覆蓋。
需要注意的是,谷歌雲平臺也使用日誌結構的文件系統。希望看到所有云計算服務提供商提供這些系統的附加技術細節以及相關的安全含義。考慮到雲計算服務提供商對其硬盤保持嚴格的物理安全性,這種數據處理對於適合存儲在公共雲中的任何數據分類都是可以接受的。
內部人員特權
雲計算用戶期望在其整個生命週期內對其數據進行保護,並且直到數據被銷燬無法再訪問為止。還有一些適當的保護措施可以防止用戶數據在銷燬之前受到外部的攻擊,但是如何保護數據免受可信任內部人員的侵害呢?AWS、Azure、谷歌雲平臺提供的安全文檔涵蓋了適用的安全控制措施,其中包括背景審查、職責分離、監督和特權訪問監控等。
組織面臨的內部威脅主要問題是員工和承包商具有豐富的系統知識,並且可以訪問未暴露給公共雲客戶的較低級別的系統。美國CERT國家內部威脅中心提供詳細的指導,雲計算用戶應該探索有哪些控制措施來保護已經刪除並等待銷燬的數據。當技術客戶向他們的雲計算服務提供商提出試探性的問題時,服務良好的雲計算服務提供商將會傾聽並以越來越透明的文檔進行回應。
加密是一種安全控制措施,可以在應用時緩解未經授權的內部人員訪問。一些用戶在聽到這個服務使用加密後就不再詢問棘手的問題。加密是一種控制訪問的技術,可以控制沒有加密密鑰的人員或系統進行訪問。例如,使用數據庫加密,採用數據庫管理系統控制密鑰控制訪問。數據庫管理員(DBA)可以直接查詢數據,但數據庫使用的存儲系統的管理員只能看到密文。但是如果通過應用程序控制密鑰,則數據庫管理員(DBA)和存儲系統管理員都能看到密文。
使用加密擦除技術,加密密鑰的唯一副本將被銷燬,從而使加密的數據不可恢復。NIST特別出版物800-88第1版將加密擦除視為在公共雲環境中易於實施的特定參數內的有效數據銷燬技術。
Azure文檔指出,加密對所有存儲賬戶都是啟用的,不能被禁用。谷歌雲也是一樣。然而,在AWS雲平臺中,它是S3和EBS等服務的配置選項。
不過,即使AWS和Azure正在使用加密擦除技術來銷燬用戶數據,也未能充分利用它們。此外,通常還不清楚雲計算服務提供商何時使用租戶特定的加密密鑰對其各種服務進行靜態加密。當特定於用戶的加密密鑰與加密擦除結合使用時,只會銷燬屬於單個租戶的數據。加密擦除是覆蓋數據的一種非常有吸引力的替代方案,特別是對於在雲存儲中擁有數百PB數據的客戶來說。
從備份中恢復數據
最後一種攻擊手段是網絡攻擊者試圖從數據備份中恢復敏感數據。而用戶不要以為雲計算服務提供商會幫助備份數據,除非合同明確規定提供這項服務。雲計算服務提供商主要使用備份或快照技術來滿足有關數據持久性和可用性的服務級別協議。
如果需要備份數據,則必須至少以與主數據存儲相同的安全級別保護備份。在三大雲計算服務提供商中,谷歌公司的一份名為“谷歌雲平臺的數據刪除”文檔提供瞭如何刪除過期數據的信息,以及如何在其每天/每週/每月備份週期的180天方案中輪換出來的信息。值得稱讚的是,該文檔甚至涵蓋了加密擦除在數據從所有備份中過期之前保護數據的重要作用。
毫無疑問,全球三個主要雲計算服務提供商已付出巨大的努力來確保其系統安全。所有云計算服務提供商都必須權衡保護防止洩露過多信息的需求,同時提供足夠的透明度以維護其客戶的信任。隨著雲計算用戶與他們的雲計算服務提供商進行溝通和協商,並尋求適當信息以做出明智的風險決策,雲計算服務提供商針對安全保護的解釋進行改進。
分享到:
