查看原文
其他

云存储安全:数据加密机制及安全层级浅析


2022守护企业多云环境》报告调研指出,企业在访问/维护云环境中的数据时面临的前三大挑战包括:数据安全性(63%)、复杂度(49%)和多云环境(43%)。

如何真正实现云存储安全?毫无疑问,加密是其中至关重要的一层。

为什么加密对企业很重要?

企业数据中可能包含敏感客户信息、有价值的知识产权等各类重要信息。一旦处理不当,随时可能会遭受罚款、诉讼,导致品牌商誉受损。加密是一层安全保护,可帮助企业保护数据避免不必要的暴露。

云数据加密背后更深层的动因

在某些行业,出于监管与合规要求,企业必须加密云中的数据。而对更多企业而言,加密是一道“锦上添花”的机制,可以让管理者更放心。当然,市场中关于云上数据安全的隐忧一直存在,通过加密,IT可以规避“数据不受限制访问”类似极端情况的潜在风险。

云存储加密的不同方法

如果你信任云供应商,在云中直接使用其静态数据加密功能是更简单的方法。这意味着,当数据被移动或同步到云存储时,尚未被加密。数据在传输过程中应始终加密,但在这种情况下,CSP会通过访问来实现接收。然后再存储数据,并通过加密保护静态数据。

这种方法适合大多数企业,对于任何有权限访问数据的用户或应用程序而言,也是最清晰的解决方案,无需担心解密数据的密钥。

如果你担心CSP可能存在“后门”或者“漏洞大开”的风险,这种加密方法并不能帮助解决主要问题。

另一种方法是:在将数据发送到云存储之前,自己应用加密。通过这种方式,企业可以确保只有自己才能访问数据,当然,这也要求自己管理密钥,确保安全。理论上,这是最安全的方法,但同时,操作也会更复杂一些。此外,一些云中数据运营相关的增值功能(如分析、内容索引、自助访问等)也会被阻止,因为这些系统进程或业务用户无法轻松访问数据。

通过下面这张表格来对比不同云存储加密方法的优缺点:
加密方法

优点

不足

传输中加密(至/从云)

标准实践,对用户和应用透明。

在将数据传输至云后使用CSP的加密功能实现静态数据加密

易用,无缝衔接用户和应用。支持在云中扩展数据工作流,如内容索引等。

用户并不是数据密钥的唯一拥有者,云存储供应商也有访问权限。后门和漏洞都是潜在风险。

在将数据传输至云之前静态加密数据

绝大多数情况下是安全的,不存在云供应商访问数据的风险。

无法支持用户通过自服务访问数据,数据共享特性受限,无法实现分析、内容索引等云附加价值。

选择合适的方法

哪种加密方法可以满足安全和业务需求?没有最好的,只有更合适的。这取决于企业如何看待潜在风险。如果你担心数据有可能会在不知情/同意的情况下被访问,就现在自己的环境中加密数据,获得只有自己有权访问的密钥,然后再将数据放入云中。当然,关于这种加密处理方法带来的局限性和操作复杂度,也是IT管理者需要认识到的。现在,很多企业认为云存储供应商提供的加密机制令人满意,可在云中无缝地应用和管理。

云存储安全,不止于加密

在将数据移动到云存储之前,企业还有其他重要的安全工作要做。就Veritas观察而言,企业可通过增加以下安全优势,让云存储更安全地存储和管理非结构化数据工作负载:

1、可信身份验证。支持多重身份验证(MFA)和单点登录(SSO)可选项。

2、基于角色的访问控制(RBAC)

3、访问控制列表(ACL)同步

4、目录同步

5、数据泄露防护(DLP)

6、活动审核

7、个人身份信息(PII)的识别和标记

8、无共享密钥引入云

如何确保云中数据安全

高效满足数据存储需求

更多精彩洞察,尽在Veritas Solution Day

长按二维码,获取《守护企业多云环境》报告

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存