如何保护云存储桶的企业数据免受泄露?
当数据暴露在公共云上时, 通常是由于存储桶配置错误导致的, 它被称为泄漏的云存储桶事件.
如今, 世界各地的组织正在收集, 存储和管理不断增加的数据. 许多人决定将这些数据存储在云中, 因为将数据保存在自己的数据中心是不可持续的. 但随后发生了难以想象的事情, 很多组织从黑客那里收到赎金邮件, 通知他们已经掌握了云中组织数据的控制权, 并且要求为他们的数据支付大量赎金. 那么该怎么办?
首先, 需要向其他具有丰富公共经验的企业学习. 例如, 如果 Uber 公司在 2016 年为其数据泄露支付了赎金, 并希望永远不会出现攻击的话, 那么这将会导致客户失去信任. 此外, 它可能会公开展示一个漏洞, 并吸引其他黑客试图攻击实施另一次劫持. 不幸的是, 对于 Uber 公司而言, 这次网络袭击事件于 2017 年底公开, 他们现在面临愤怒的客户, 利益相关者和监管机构的质疑和批评. 他们将如何处理? 组织可以做些什么来防止这种大规模的数据泄露事件发生?
企业需要做的最重要的事情之一就是要及时了解他们面临的各种威胁. 人们正处于 IT 环境正在经历戏剧性数字化转型的时代, 传统基础设施被现代基于云计算的解决方案所取代. 随着云计算解决方案的日益普及, 一种新型的企业安全威胁正在出现, 它依赖于勒索软件的浪潮: 它被称为 "泄漏的云存储桶".
什么是泄漏的云存储桶?
当数据暴露在公共云上时, 通常是由于存储桶配置错误导致的, 它被称为泄漏的云存储桶事件.
每个公共云存储服务都提供存储桶, 这是 AWS 为存储云上数据对象的存储库创造的术语(Azure 称他们为'blob'). 企业客户能够以他们选择的任何方式配置存储桶, 其中包括维护存储桶的区域, 存储桶中对象的生命周期规则, 一般访问权限等等.
在过去的一年里, 出现了一系列此类事件, 这些事件困扰着很多组织, 如 Uber,Verizon,Viacom, 道琼斯, 甚至美国的军事组织.
那么谁应该受到责备? 是客户, 云计算提供商, 存储供应商还是黑客? 事实证明, 问题的根本原因不在于涉及的云计算提供商, 无论是 AWS,Microsoft,IBM 还是 Google, 还有企业管理员正在配置和使用这些存储桶的方式. 最终, 大多数情况都可以解决用户错误的原始问题.
这真的很令人惊讶吗? 让人们不要忘记, 调研机构 Gartner 公司预测 95% 的云计算安全故障将是客户的错.
IT 行业人士通常都知道用户或管理员的错误一直困扰着 IT 组织. 这是泄漏的云存储桶面临的情况.
这些存储桶有两个主要属性不应忽略. 首先, 云存储和存储桶是驻留在私有云和防火墙边界之外的共享服务. 其次, 云存储桶基于对象存储, 它不会强制组织多年来使用的文件系统访问控制列表 (ACL) 来定义文件级粒度权限.
与传统 IT 或传统存储的数十年企业 IT 体验相比, 云计算存储管理的固有缺点加上云存储管理的不成熟, 导致存储的数据没有得到保护, 可能成为黑客的猎物, 而黑客经常运行扫描搜索下一个受害者.
该怎么做才能避免泄漏云存储桶?
幸运的是, 有一些简单的预防措施可以确保数据在组织的边界内得到保护:
(1)加密数据并将钥匙放在口袋里
如果 IT 人员遵循一个简单的规则: 如果企业的数据存储在外部环境, 则必须被加密, 那么 IT 人员才能放心. 正如没有人在没有 VPN 的情况下可以通过公共 Wi-Fi 访问敏感信息一样, 企业不应该在没有适当加密的情况下使用公共云存储. 如果数据在空闲时加密, 并且只有某些工作人员可以访问加密密钥, 则无需担心存储桶是否泄露: 加密数据对任何未授权的用户都是无用的. 这是一种至关重要的保险措施, 可以防止有一天发生错误的概率, 无论其大小如何.
(2)管理访问权限
使用多层访问控制系统, 该系统从存储桶本身的访问权限一直到相关工作负载的文件级别, 保留权限并将它们连接到中央目录身份验证系统.
(3)投资数据丢失预防(DLP)
利用 DLP 软件监控数据访问模式, 并找出可以检测数据泄漏的偏差. 这些工具还可以阻止策略违规, 从而可以阻止用户在企业的防护措施之外发送敏感数据.
(4)锁定端点和办公室
使用企业移动管理 (EMM ) 移动设备管理(MDM) 工具消除影子 IT, 在企业提供的和 BYOD 设备中创建安全的生产力空间.
(5)定期渗透测试
在向网络添加新基础设施 (例如云存储) 时, 渗透测试至关重要. 但是, 这种优良的作法是定期进行测试以评估组织的安全状况, 并确保不会出现新的泄漏.
所有这些措施都应该成为所有组织隐私议程的首要任务, 只有这样, 他们才有机会保护自己免受许多泄漏的云存储桶受害者所遭受的命运.
来源: http://stor.51cto.com/art/201808/582227.htm