365体育直播

即进行外包密钥管理

2019-03-27 15:02  来源:365体育直播_官方认证平台

  世界500强中国区信息安全和风险负责人,联合国ITU-T DevOps国际标准核心编写专家、CSA云安全联盟专家、网络安全进校园活动特约讲师、全球运维大会金牌讲师优秀讲师、ISG网络安全技能竞赛专家、金融网络安全优秀解决方案评委、网络安全公益-热心公益达人、CCSF优秀首席信息安全官、诸子云上海理事长。

  在当前的数据时代,数据是组织、个人的重要资产,这个概念已经众人皆知。从互联网时代开始,数据的重要性不断提升。随着物联网技术的广泛运用,海量的数据成了新时代的“石油”。《促进大数据发展行动纲要》(国发〔2015〕50号)明确指出,数据已经成为国家基础性战略资源。但在现实生活中,对于数据的安全风险不断显现,每个月都有数据安全事件被曝光。组织和个人自我保管的数据尚且如此,我们存放到云中的数据,安全情况怎么样?我们要如何保护数据安全?

  本文限定于各类组织自身的数据,主要探讨云端数据安全,主要包括:私有云、公有云、社区云、混合云,以及IaaS、PaaS、SaaS均适用。

  在参照数据生命周期管理的前提下,首先我们要有人,不同层级的组织,一般由决策层(公司高管)、管理层(数据安全管理团队,一般是由安全团队、法律团队、合规团队其中一个或几个团队组成)、执行层(数据安全运营团队、技术团队、业务团队),这当然还需要各级领导的支持和各数据业主部门配合,以及审计监督;其次要有流程、制度,至少要建立数据资产清单,清楚组织有哪些数据,简而言之就是要开展数据治理工作,建立最适合的数据资产管理体系;最后要有相应的技术,例如:数据变形脱敏工具,数据加密工具,数据使用的审批等。具体可以参考《信息安全技术 数据安全能力成熟度模型》,在此模型中就按人、流程、技术制定数据安全能力建设实施框架。

  本文专注于云中的数据安全,在建立数据资产清单以后,我们要按级别梳理出重要或敏感的数据字段,最好能基于数据画出数据流图,做为后续数据安全监控仪表析的输入。对于重要或敏感的数据字段上云,还要基于数据的三种状态,存储的数据(Data at Rest)、传输的数据(Data in Transit)、使用的数据(Data in Use)。对于这三种状态,要采用多种手段结合的纵深防御方式来保障数据安全。

  创建阶段的数据安全是基础,数据所有者在创建数据时就要保障数据安全,开展数据分类、分级工作,分配数据标签。创建分云端创建和本地创建再上传至云端,这就涉及存储加密和传输加密,还有相应的密钥管理。

  存储阶段结合数据的分类分级,关注数据的存储方式、存储期限(一般是短期)。365体育官网

  使用阶段关注数据的显示和传输过程中的安全控制。如果使用BYOD(自带设备办公)处理云用户的敏感数据,还要注意数据的查询、增加、删除、修改权限管理。以及相应的日志和审计跟踪。

  共享阶段主要要保障传输安全和双方对于数据保护标准的一致性,并根据司法要求、合同要求来共享数据。

  归档就进入数据的长期存储阶段,一般需要考虑加密技术、物理环境、数据格式、数据验证。

  云端数据的销毁和传统IT环境相比难度大风险高,要使用多种销毁技术,例如:覆写、加密擦除。为了验证你的云服务供应商,你还可以在IaaS、PaaS中安装数据恢复工具,尝试对新申请的存储空间进行数据恢复,确认云服务供应商的数据销毁能力。

  无论是云环境还是传统IT环境都要开展加固工作。而且云服务提供商、云用户都要对设备(物理设备和虚拟化设备)、操作系统、数据库、中间件等进行加固。

  只要使用的都要进行加固。从基础软件角度,对操作系统、数据库各类组件、服务进行加固,强口令策略、删除访客账户,关闭不使用的端口,禁用不需要的服务,进行访问控制。从访问控制角度,综合使用多种控制系统,例如:MFA(Multi-factor authentication,多因素认证),使用VPN(virtual private networks,虚拟专用网络),使用DLP(Data leakage prevention,数据防泄露)系统等。

  云端数据处于组织以外由其他人控制的数据中心,因此第一种安全技术就是非常传统的安全技术手段——加密。对于加密大家都不陌生,最早在古罗马时期就开始使用。如果没有加密,谁都无法实现数据安全,更无法以任何安全的方式使用云。在数据的三种状态中均要进行加密,存储加密、传输加密、使用加密。

  在使用加密技术时,密钥管理水平直接影响数据安全能力。在传统的密钥生命周期管理之外还需管理云供应商掌握的密钥,即进行外包密钥管理。众所周知,密钥不应该和密钥所保护的数据存储在一起,不允许未经授权的人员访问数据 和密钥。对于云,可以在云供应商这里安放一台物理的加密机,以存储密钥,在多云多备份的情况下成本高且不便于管理。目前,通常使用云访问安全代理(CASB,Cloud Access Security Brokers)。CASB是丙方(第三方)供应商,位于云服务使用者和云服务提供商之间,以便在访问基于云的资源时组合和插入企业安全策略,对于数据安全主要应用于加密和全面的密钥管理,并提供标记化、数据访问控制和用户行为分析服务。

  云端数据处于组织有生产数据,也有测试数据,还有经过授权的数据比对和交互。对于这些,安全专家们都会提出改变数据的建议。例如:测试环境中的数据,不能直接使用生产数据,要对测试数据进行变形、混淆、匿名。需要有一整套数据变形方案或算法,一方面有效降低数据安全风险,另一方面还能保障数据特征和特性,从而实现测试的需求。

  对于数据安全,一般都开展SIEM(security information and event management,安全信息和事件管理),对日志数据进行集中管理,结合态势感知通过仪表板进行展示,并采用进行的自动预警和响应功能。

  为了实现极高的可用性,云往往是跨国家、跨地区部署的,这就涉及司法管辖权问题。云用户可以要求云服务供应商将数据存储在要求的国家或地区,以保障云用户的司法权。其次云用户要基于自身的业务需求和云服务提供商沟通并制定SLA(服务水平协议),防止云服务提供商在事件后恶意甩锅。

  云端数据在数据生命周期的各个阶段都有其特定的安全风险与挑战,不是以往采用单一或部分安全管控措施就能解决的。随着万物联网带来的数据爆炸和新技术的不断运用,以及相关法律法规的完善,云端数据安全将是大家不得不面对的问题。早了解早预防,希望本文能够可以帮助大家,提升云端数据安全的管控能力,降低数据安全风险。返回搜狐,查看更多

 
作者:admin3

转载请注明出处:365体育直播