第344期
给大数据上云保险
文 | 徐鹏 责任编辑 | 贾凯强
审核 | 赵珏 策划 | 刘克丽
大数据在云环境的安全性正在遭受考验,风险就是金融机会,给数据上云买保险,就是用金融手段解决的方法之一。
云数据谁来买单
用户买单?用户不干,云运营公司在保险公司给用户买?这个从思想到生态上还没形成,在公有云网络上具有高度虚拟化、智能化、规模化、扩展的特性,而资源共享也为黑客提供了便捷渠道,让数据成了APT的 "标靶",可能在产生、传输、接收等任一流程发生泄漏,这一切保险公司无法监测。
高危的大数据保险无法定价
由IBM Security资助、Ponemon Institute LLC独立开展的一项调查显示,尽管平均数据泄露成本下降了10%,单条成本下降了2.9%。不过数据泄露事件的平均规模(丢失或被盗的记录条数)却上升了1.8%。2016年,数据泄露平均总成本增加5.4%,而数据泄露事件的平均规模上升了3.2%,异常客户流失率和单条成本均上升了2.9%。可见,数据安全性并没有随着技术的演进有显著加强。
防范难度加大
通常,识别和遏制数据泄露的速度越快,所需要投入的成本就越低。事实上,已经有不少企业利用相对复杂的IT架构应对安全威胁,但是过于复杂反而不利于组织及时响应数据泄露事件,像BYOD或云端应用会使得掌控数据变得更复杂。调研结果显示,发生数据泄露时迁移至云平台和移动平台会使成本上升。
多备份不可少
对于云服务商来说,既可以选择RAID部署,也可以在多个存储节点之间各写入几个对象副本,这样当某个节点出现故障时,其他节点的数据能够持续补充,或者利用数据副本快速恢复丢失的信息。同时,系统也可借助冗余备份来组成并联模型提升可靠性。多数情况下,云端应用会通过共享密钥、生物识别、对象去标识、加密算法、虚拟机扫描等方式保障数据安全。
加密非万全之策
对于不同用户的数据,存储系统一般会分配特定的密钥编码,这些密钥既可以存在服务器中,也可以由用户自行保管。例如,云服务商会在底层存储套一层加密,将数据分成各个文件分别加密上传,并且会随时接收远程修改。然而在部署过程中,一些和云存储混用的方案却有被篡改的风险。虽然黑客无法看到数据包内的内容,不过却可以将其他文件"嫁接"过来。如果在某些加密区有多个授信账户,这种状况无疑是有威胁的。
传输协议要升级
在数据的传输过程中,SSL协议会被用来解决安全问题。通常,SSL协议层在TCP/IP层和应用层之间,可以使用不对称加密技术实现会话双方信息的传递,能够保证完整性和私密性,以及识别对方的身份。例如,配置服务器的SSL不仅需要验证用户身份,还要求浏览器提供用户证书。之后,客户端会检查服务器证书,如果检查失败,则不能建立SSL连接。如果成功,则继续。目前,SSL正逐渐被TLS替代。
取证问责要重视
越来越多的服务上云使得差错取证和问责变得重要,用户可以云存储上对文件进行访问和编辑,这就引发了泄密的担忧。虽然日志文件可以记录用户的登录信息,但是企业也并不情愿提供云服务器的相关信息。以Amazon S3为例,其提供了多种API,并在此之上构建了像Dropbox等云存储服务,支持多平台的上传、下载、打开、删除。默认情况下,Amazon S3使用的是SSL协议,不过仍然创建了临时文件。
数据主权要维护
一些云服务商会建议用户通过加密渠道上传或下载文件,希望以此来加强密钥安全性。需要注意的是,如果用户想获取额外的安全性能,也要在功能层面有所取舍,例如放弃云存储文件的公网搜索项目。即使是这样,当关键应用被嵌入攻击文件的话,仍会有永久丢失数据的风险。此时,就需要用户对数据的掌控权有所加强。
结语
云计算时代的大数据面临的威胁与日俱增,如何给这些数据上"保险"让用户放心成了云服务商要思考的问题。一方面,要让用户掌握对数据的控制权,采取多级加密验证机制,让用户能够监测到文件创建以来的元数据,另一方面也要做好健全的安全赔付机制,这样才会让用户安心将数据迁移上云。
微信名:意见英雄
微信ID:yijianyingxiong
领取专属 10元无门槛券
私享最新 技术干货