无论您是否意识到,您可能已经在云端。在您的所有设备上同步的电子邮件提供商、在线电子表格和文档程序以及音乐库都将您的数据存储在云中。它非常方便,但它也可能使您的数据容易受到恶意攻击者的攻击——更不用说服务中断了。
毕竟,当您的数据存储在云中时,它不再只是放在您的计算机或设备上。它位于某处的服务器上——您很可能无法物理访问该服务器。幸运的是,常识和聪明的安全工具的结合可以保证您的数据安全。
云加密基础知识
通常,当人们谈论“云”时,他们要么是在谈论云托管,要么是在谈论云计算。无论哪种情况,云技术都允许多人利用数据中心的一组联网服务器。过去,如果你想在数据中心托管一些东西,你必须花很多钱租一台服务器——这对大多数人来说是不可行的。
云通过允许许多人出于多种目的安全地共享一系列服务器来改变这一点——从存储到远程完成基本任务。大多数使用云的应用程序往往是自动化的,因此该过程完全无需干预。在这种情况下,您永远不必担心您的数据——它会为您处理好,在您更新时自动上传到云服务器。
使用基于云的应用程序,您可以从任何位置编辑文件。当您在 Web 浏览器中键入一个字符时,它会将其发送到该云应用程序提供商的服务器,该服务器实际上会修改文件并保存更改。
云让您可以从任何兼容设备访问文件,并且可以降低灾难性硬件故障的风险。如果您使用已安装的文字处理器编辑文档并将它们存储在硬盘驱动器上,那么您将依赖于该驱动器。即使您已经进行了备份,您也必须重新安装文字处理器才能编辑该文件。但是,对于云中的文件和应用程序,您的数据与程序一起存储在服务器上。它不是无懈可击的,但是您发生某些事情的风险要低得多。
但是,重要的是要注意云也增加了风险。当某些内容存储在云中时,您无法直接控制该文件(或应用程序)。如果有人设法猜出您的密码或找到入侵的方法,您的所有数据都可能受到损害。大型组织尤其容易受到攻击,因为它们经常使用基于云的服务存储大量敏感信息。如果恶意第三方设法找到安全漏洞,黑客就可以窃取大量敏感数据,例如社会保险号、医疗记录和信用卡信息。
好消息是大多数违规行为是可以预防的。Anthem 泄露事件——暴露了1000 万人的 PHI 和财务数据——就是一个很好的例子。在 Anthem 的案例中,黑客只需要访问一个面向公众的门户就可以访问所有内容。如果公司花时间实施加密云存储、使用数据丢失防护 (DLP) 限制访问或审核自己的安全方法,那么它可能永远不会发生。
云存储加密风险
如今,从个人用户到大公司,每个人都在云端。这意味着所有用户(不仅仅是像 Anthem 这样的大公司)都需要了解他们的数据可能面临风险的所有方式。那包含着:
1. 服务中断和停机
云服务比您的笔记本电脑更强大,但它们仍然可能出现故障。停电、自然灾害甚至故障都会中断服务,甚至破坏您的数据。
通常,公司备份系统的故障会加剧服务中断。例如,2012 年,一场电风暴中断了亚马逊网络服务 (AWS) 东海岸数据中心的电力供应。当一个中心的发电机没有启动,本应让 AWS 用户切换数据中心的软件也不起作用时,停电情况变得更糟。结果,包括 Netflix、Instagram 和 Pinterest 在内的主要服务暂时关闭。
最近的一次AWS 中断仅仅是计划不周的结果。用户使用服务器的次数超过了亚马逊的预期,这导致他们系统的某些部分——以及依赖它们的公司——再次暂时关闭。破坏数据的中断比较少见,但确实会发生。最近,一连串的雷击摧毁了几台谷歌服务器,彻底抹掉了一些数据。
完全保护您的云数据的唯一方法是将备份副本存储在另一个位置。您可以使用不同的云数据存储服务或磁带备份工具,或者只是在您的计算机上保留一份副本。重要的是保留一份额外的副本,并确保每次更改原件时都对其进行更新。
2. 弱密码、无效密码
在云存储中,就像在电子邮件安全中一样,弱密码可以让黑客轻松进入您的帐户。仅仅避免使用诸如生日之类的个人信息,或诸如“密码”或“12345”之类的明显序列是不够的。如果密码很短,即使是随机密码也很容易受到攻击,因为黑客可以使用程序尝试每种组合,直到猜出正确的密码。
幸运的是,在密码中添加几个额外的字符可以显着增强密码。包含大小写字母、数字和特殊字符的 12 个或更多字符的密码被认为基本上是不可破解的,因为尝试所有组合大约需要 1500 万年。选择一个容易记住的长密码,为每个帐户使用不同的密码,并经常更改您的密码,以确保您的云数据安全。
3. 数据同步的阴暗面
大多数云存储服务旨在自动同步数据。虽然这通常是一件好事,因为这意味着您的数据始终会得到备份,但它确实有阴暗面。加载云应用程序——甚至只是打开设备——让用户可以立即访问存储的数据。不幸的是,这可能会允许黑客访问您的文件。
最严重的安全漏洞之一——云中的人攻击——可能会危及 Box、Dropbox 和 Microsoft OneDrive 等流行程序。即使没有您的密码,黑客也可以窃取让您的计算机访问云的安全令牌。然后,他们可以使用令牌访问您的数据,甚至对其进行加密并将其作为人质。或者,他们可以修改您的文件以将恶意软件注入您的计算机。
定期清除缓存并且不在计算机上保存密码可以击败一些黑客,但无法阻止云中的人攻击。同样,加密的云存储可以防止黑客读取您的数据,但无法阻止他们删除或破坏数据。
云访问安全代理(例如Imperva Skyfence或Bitglass)可以通过充当您的计算机和易受攻击的 SaaS 程序之间的屏障来防止这种攻击。您还应该关闭自动同步,并尽可能避免使用公共的、不安全的 WiFi。最后,检查存储在云中的文件的日期,看看它们最后一次编辑的时间;如果有人最近对您一段时间未打开的文件进行了更改,则可能表明您已被黑客入侵。
4. 提供商安全漏洞
很难说云提供商保护您的数据的能力如何。阅读服务条款可以让您了解公司是否可能故意使用或披露您的数据,但不会暴露马虎的内部安全和未能遵循安全最佳实践的情况。
不幸的是,如果您的组织的数据遭到破坏,即使提供商有过错,您也可能要承担责任。企业需要保护敏感的个人信息,尤其是受 HIPAA 或PCI等合规制度管辖的信息。即使您的云提供商声称“符合 HIPAA”,也不一定能保护您或使您符合要求。
为了降低您的风险和责任,请选择使用外部审计的提供商。寻找经过SSAE 16 Type II合规性、ISAE 3402 合规性或两者兼有审核的云提供商。如果外部安全专家仔细审核了他们的安全性,您可以合理地确定它是安全的。
5. 缺乏加密云存储
加密的云存储为您的数据提供了额外的安全层。即使黑客获得访问权限或秘密政府法院命令云存储提供商披露您的个人信息,他们仍然无法阅读。
大多数 SaaS 业务软件(例如 Office 365 和 Google Apps(现在称为 G Suite))都没有标配客户端加密云存储。许多服务对动态数据(计算机和云服务之间流动的信息)进行加密,这是一个很好的开始。但是,这种保护通常基于易受攻击的 SSL/TLS 加密。
我们正在努力使云解决方案更加安全。我们的G Suite 加密可保护云中的电子表格、文档和其他机密数据,无论其传输到何处。而且因为它使用客户端加密,所以它不容易受到可能破坏不太完整的加密协议(例如 SSL/TLS)的攻击。
6. 数据管理不善
组织越大,就越容易忘记数据的位置。员工可能会不小心将公司资产保存到个人账户,让整个公司访问只有少数人应该看到的文件,或者不小心将机密报告转发给错误的人。如果恶意人员获得该信息的访问权限,则可能会导致客户流失、巨额合规罚款以及对您组织声誉的永久性损害。
公司可以通过良好的数据丢失预防政策来改善这种情况,管理员工如何使用、访问和共享云存储。然而,单靠策略并不能总是防止最大的安全漏洞:人为错误。不管你发了多少个备忘录,你有多少培训,一个心不在焉的员工仍然可以点击“回复所有人”并暴露重要的公司机密。
通过阻止可能在发送数据之前暴露数据的电子邮件,提供了防止人为错误的关键屏障。它可以自动加密或剥离附件,如果员工试图通过电子邮件发送社会安全号码(或其他敏感信息),它会弹出警告,甚至会自动将某些消息转发给您的 IT 管理员。
借助检测敏感数据的通用规则、符合 HIPAA 等安全制度的规则包以及制定自定义规则的能力,可以轻松针对贵公司的独特安全需求进行配置。