現(xiàn)在,這種模式正在發(fā)生變化。Sels、達(dá)美航空、Panera Bread、Saks Fifth Avenue、Lord&Taylor、MyFitnessPal、Orbitz、聯(lián)邦快遞等一些知名公司的安全漏洞持續(xù)不斷的消息讓企業(yè)IT領(lǐng)導(dǎo)者非常關(guān)注自己面臨的風(fēng)險(xiǎn)。
許多人正在采用DevSecOps,而這種方法可以使組織中的每個(gè)人都對(duì)安全負(fù)責(zé)。對(duì)于存儲(chǔ)專業(yè)人員來說,這意味著需要更加關(guān)注數(shù)據(jù)存儲(chǔ)安全性。
什么是數(shù)據(jù)存儲(chǔ)安全?
數(shù)據(jù)存儲(chǔ)安全性是IT安全領(lǐng)域的一個(gè)子集,專門用于保護(hù)存儲(chǔ)設(shè)備和系統(tǒng)。
而存儲(chǔ)網(wǎng)絡(luò)行業(yè)協(xié)會(huì)(SNIA)詞典則提供了數(shù)據(jù)存儲(chǔ)安全性的定義:
存儲(chǔ)安全:應(yīng)用物理、技術(shù)和管理控制來保護(hù)存儲(chǔ)系統(tǒng)和基礎(chǔ)設(shè)施以及存儲(chǔ)在其中的數(shù)據(jù)。存儲(chǔ)安全專注于保護(hù)數(shù)據(jù)(及其存儲(chǔ)基礎(chǔ)設(shè)施),防止未經(jīng)授權(quán)的泄露、修改或破壞,同時(shí)確保授權(quán)用戶的可用性。這些控制措施可能是預(yù)防性的、偵查性的、糾正性的、威懾性的、恢復(fù)性的或補(bǔ)償性的。
SNIA還指出,安全存儲(chǔ)“也可能是針對(duì)對(duì)手的最后一道防線,但前提是存儲(chǔ)管理人員和管理員花費(fèi)時(shí)間和精力實(shí)施和激活可用的存儲(chǔ)安全控制。”
對(duì)于存儲(chǔ)管理人員和管理員來說,確保正確的數(shù)據(jù)存儲(chǔ)安全性是一個(gè)謹(jǐn)慎的平衡行為。他們必須權(quán)衡首字母縮略詞CIA涵蓋的三個(gè)主要問題:機(jī)密性(confidentiality),完整性(integrity)和可用性(availability)。他們必須使敏感數(shù)據(jù)不受未授權(quán)用戶的影響,他們必須確保系統(tǒng)中的數(shù)據(jù)是可靠的,同時(shí)還要確保組織中需要訪問數(shù)據(jù)的每個(gè)人都可以使用這些數(shù)據(jù)。
同時(shí),他們需要非常了解成本和數(shù)據(jù)的價(jià)值。沒有人希望數(shù)據(jù)存儲(chǔ)安全系統(tǒng)最終比他們所保護(hù)的數(shù)據(jù)價(jià)值更加昂貴。然而,組織也需要有足夠強(qiáng)的安全系統(tǒng)進(jìn)行保護(hù),這就要求潛在的攻擊者花費(fèi)更多的時(shí)間和資源,而不是數(shù)據(jù)最終的價(jià)值。
數(shù)據(jù)安全與數(shù)據(jù)保護(hù)
存儲(chǔ)安全和數(shù)據(jù)安全與數(shù)據(jù)保護(hù)密切相關(guān)。數(shù)據(jù)安全主要包括防止將私人信息泄露給未經(jīng)授權(quán)的人。它還包括保護(hù)數(shù)據(jù)免受其他類型攻擊的影響,例如阻止訪問信息的勒索軟件或改變數(shù)據(jù)的攻擊,使其不可靠。
數(shù)據(jù)保護(hù)更關(guān)注的是確保數(shù)據(jù)在惡性事件發(fā)生后保持可用,這些事件例如系統(tǒng)或組件故障,甚至自然災(zāi)害。
而為了確保信息的可靠性和可用性,以及需要從可能威脅組織數(shù)據(jù)的任何事件中恢復(fù)過來,數(shù)據(jù)安全和數(shù)據(jù)保護(hù)這二者的共同需求重疊。存儲(chǔ)專業(yè)人員經(jīng)常發(fā)現(xiàn)他們自己同時(shí)處理數(shù)據(jù)安全和數(shù)據(jù)保護(hù)問題,并且采用一些相同的最佳實(shí)踐可以幫助解決這兩個(gè)問題。
數(shù)據(jù)安全和數(shù)據(jù)保護(hù)顯然是重疊的問題
數(shù)據(jù)存儲(chǔ)安全的關(guān)鍵驅(qū)動(dòng)因素
最近的一些趨勢(shì)正在增加企業(yè)對(duì)數(shù)據(jù)安全的興趣。它們包括以下內(nèi)容:
•數(shù)據(jù)增長 - 據(jù)調(diào)研機(jī)構(gòu)IDC稱,全球計(jì)算機(jī)系統(tǒng)存儲(chǔ)的數(shù)據(jù)量每兩年大約翻一番。對(duì)于企業(yè)來說,這意味著不斷需要添加新的存儲(chǔ)設(shè)備以滿足業(yè)務(wù)需求。而隨著存儲(chǔ)量的增長,它們作為目標(biāo)變得更有價(jià)值,并且更難以保護(hù)。
•網(wǎng)絡(luò)攻擊增長 – Verizon公司2018年數(shù)據(jù)泄露調(diào)查報(bào)告表明,2017年發(fā)現(xiàn)了53,000起安全事件,其中包括2,216起數(shù)據(jù)泄露事件,而這只是組織實(shí)際發(fā)生事件的一小部分。英國政府機(jī)構(gòu)最近發(fā)布的一份報(bào)告顯示,2017年的網(wǎng)絡(luò)攻擊比其他任何一年都多。幾乎每天都有這樣的消息出現(xiàn)在新聞中,這讓企業(yè)擔(dān)心自己的安全狀況。
•數(shù)據(jù)泄露的成本 - 數(shù)據(jù)泄露恢復(fù)成本非常高昂。波洛蒙研究所對(duì)2017年數(shù)據(jù)泄露成本的調(diào)查研究中發(fā)現(xiàn),在2017年發(fā)生的安全事件中,發(fā)生違規(guī)事件的企業(yè)平均每個(gè)事件損失約為362萬美元,這些費(fèi)用可以成為提高數(shù)據(jù)安全性的強(qiáng)大壓力。
•提高數(shù)據(jù)價(jià)值 - 由于大數(shù)據(jù)分析的興起,企業(yè)比以往任何時(shí)候都更加意識(shí)到數(shù)據(jù)的價(jià)值。根據(jù)調(diào)研機(jī)構(gòu)Gartner公司的調(diào)查,近年來大數(shù)據(jù)分析市場增長高達(dá)63.6%,到2020年,企業(yè)可能會(huì)花費(fèi)228億美元購買工具,幫助他們發(fā)現(xiàn)有價(jià)值的數(shù)據(jù)見解。但為了讓分析證明有用,企業(yè)需要能夠確保數(shù)據(jù)的真實(shí)性,這意味著企業(yè)將更多地投資于安全性。
•無邊界網(wǎng)絡(luò) - 由于像云計(jì)算和物聯(lián)網(wǎng)(IoT)這樣的新興技術(shù)的發(fā)展,企業(yè)現(xiàn)在的數(shù)據(jù)分布比以往更多、更廣泛。企業(yè)網(wǎng)絡(luò)不再具有組織可以采用防火墻定義和保護(hù)的硬性優(yōu)勢(shì)。相反,他們必須更加深入地依靠深度防御,包括存儲(chǔ)安全來保護(hù)他們的信息。
•規(guī)例 - 政府部門對(duì)數(shù)據(jù)安全越來越感興趣,并因此制定了更強(qiáng)大的法律。歐盟的一般數(shù)據(jù)保護(hù)條例(GDPR)將于2018年5月25日生效,這迫使在全球經(jīng)營的企業(yè)采取更強(qiáng)有力的措施保護(hù)客戶隱私,同時(shí)也會(huì)影響存儲(chǔ)安全。
•需要業(yè)務(wù)連續(xù)性 - 2017年是美國自然災(zāi)害創(chuàng)紀(jì)錄的一年,突出了業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)能力的需求。這推動(dòng)了對(duì)安全備份和其他存儲(chǔ)安全技術(shù)的需求。
•DevSecOps方法 - 據(jù)調(diào)研機(jī)構(gòu)Forrester稱,63%的組織已經(jīng)實(shí)施了DevOps,另有27%計(jì)劃這樣做。隨著DevOps的發(fā)展,越來越多的企業(yè)開始對(duì)其越來越感興趣,DevSecOps將安全整合到方法中,并在整個(gè)組織中傳播安全責(zé)任,其中包括數(shù)據(jù)存儲(chǔ)團(tuán)隊(duì)。
存儲(chǔ)系統(tǒng)的漏洞
數(shù)據(jù)存儲(chǔ)安全性的另一個(gè)重要推動(dòng)因素是存儲(chǔ)系統(tǒng)固有的漏洞。它們包括以下內(nèi)容:
•缺乏加密 - 盡管一些高端NAS和SAN設(shè)備包含自動(dòng)加密功能,但市場上的許多產(chǎn)品并不包含這些功能。這意味著組織需要安裝單獨(dú)的軟件或加密設(shè)備,以確保其數(shù)據(jù)已加密。
•云存儲(chǔ) - 越來越多的企業(yè)選擇將部分或全部數(shù)據(jù)存儲(chǔ)在云中。盡管有人認(rèn)為云存儲(chǔ)比內(nèi)部部署的存儲(chǔ)更安全,但云計(jì)算增加了存儲(chǔ)環(huán)境的復(fù)雜性,并且通常需要存儲(chǔ)人員學(xué)習(xí)新工具,并實(shí)施新程序,以確保數(shù)據(jù)得到充分保護(hù)。
•不完整的數(shù)據(jù)銷毀 - 從硬盤或其他存儲(chǔ)介質(zhì)中刪除數(shù)據(jù)時(shí),可能會(huì)留下可能導(dǎo)致未經(jīng)授權(quán)的人員恢復(fù)該信息的痕跡。存儲(chǔ)管理人員和管理者需要確保從存儲(chǔ)中刪除的任何數(shù)據(jù)都被覆蓋,以至于無法恢復(fù)。
•缺乏物理安全性 - 有些組織對(duì)其存儲(chǔ)設(shè)備的物理安全性沒有足夠的重視。在某些情況下,他們沒有考慮到內(nèi)部人員(例如員工或清潔團(tuán)隊(duì)的成員)可能能夠訪問物理存儲(chǔ)設(shè)備,并提取數(shù)據(jù),從而繞過所有精心策劃的基于網(wǎng)絡(luò)的安全措施的情況。
數(shù)據(jù)安全最佳實(shí)踐
為了應(yīng)對(duì)這些技術(shù)趨勢(shì)并處理其存儲(chǔ)系統(tǒng)固有的安全漏洞,專家建議組織實(shí)施以下數(shù)據(jù)最佳安全實(shí)踐:
1.數(shù)據(jù)存儲(chǔ)安全策略 - 企業(yè)應(yīng)該制定書面策略,為其擁有的不同類型的數(shù)據(jù)指定適當(dāng)?shù)陌踩?jí)別。顯然,公共數(shù)據(jù)所需要的安全性遠(yuǎn)遠(yuǎn)低于限制或機(jī)密數(shù)據(jù),組織需要有適當(dāng)?shù)陌踩P汀⑦^程和工具來實(shí)施適當(dāng)?shù)谋Wo(hù)措施。這些策略還包括應(yīng)該在組織的存儲(chǔ)設(shè)備上部署的安全措施的詳細(xì)信息。
2.訪問控制 - 基于角色的訪問控制是安全數(shù)據(jù)存儲(chǔ)系統(tǒng)的必備條件,在某些情況下,多因素認(rèn)證可能是合適的。管理員還應(yīng)確保更改其存儲(chǔ)設(shè)備上的任何默認(rèn)密碼,并強(qiáng)制用戶使用強(qiáng)密碼。
3.加密 - 數(shù)據(jù)在傳輸過程中以及在存儲(chǔ)系統(tǒng)中靜止時(shí)都應(yīng)該加密。存儲(chǔ)管理員還需要有一個(gè)安全的密鑰管理系統(tǒng)來跟蹤他們的加密密鑰。
4.數(shù)據(jù)丟失預(yù)防 - 許多專家認(rèn)為僅靠加密不足以提供全面的數(shù)據(jù)安全。他們建議組織還部署數(shù)據(jù)丟失防護(hù)(DLP)解決方案,以幫助查找和阻止正在進(jìn)行的任何攻擊。
5.強(qiáng)大的網(wǎng)絡(luò)安全性 - 存儲(chǔ)系統(tǒng)并不存在于真空中,它們應(yīng)該被強(qiáng)大的網(wǎng)絡(luò)安全系統(tǒng)所包圍,例如防火墻、反惡意軟件防護(hù)、安全網(wǎng)關(guān)、入侵檢測(cè)系統(tǒng),以及可能的高級(jí)分析和基于機(jī)器學(xué)習(xí)的安全解決方案。這些措施應(yīng)該可以防止大多數(shù)網(wǎng)絡(luò)攻擊者獲得對(duì)存儲(chǔ)設(shè)備的訪問權(quán)限。
6.強(qiáng)大的端點(diǎn)安全性 - 同樣,組織也需要確保他們?cè)趥€(gè)人電腦、智能手機(jī)和其他訪問存儲(chǔ)數(shù)據(jù)的設(shè)備上擁有適當(dāng)?shù)陌踩胧?。這些端點(diǎn)(尤其是移動(dòng)設(shè)備)可能會(huì)成為組織網(wǎng)絡(luò)攻擊的薄弱環(huán)節(jié)。
7.冗余性 - 包括RAID技術(shù)在內(nèi)的冗余存儲(chǔ)不僅有助于提高可用性和性能,在某些情況下還可以幫助組織緩解安全事件。
8.備份和恢復(fù) - 一些成功的惡意軟件或勒索軟件攻擊如此完全地破壞企業(yè)網(wǎng)絡(luò),唯一的恢復(fù)方法是從備份恢復(fù)。存儲(chǔ)管理人員需要確保他們的備份系統(tǒng)和流程適合這些類型的事件以及災(zāi)難恢復(fù)的目的。另外,他們需要確保備份系統(tǒng)與主系統(tǒng)具有相同的數(shù)據(jù)安全級(jí)別。
8個(gè)數(shù)據(jù)安全最佳實(shí)踐 | |
1 | 編寫并執(zhí)行包含數(shù)據(jù)安全模型的數(shù)據(jù)安全策略 |
2 | 在適當(dāng)?shù)那闆r下實(shí)施基于角色的訪問控制并使用多因素身份驗(yàn)證 |
3 | 加密傳輸中和靜止的數(shù)據(jù) |
4 | 部署數(shù)據(jù)丟失預(yù)防解決方案 |
5 | 針對(duì)存儲(chǔ)設(shè)備采用強(qiáng)大的網(wǎng)絡(luò)安全措施 |
6 | 以適當(dāng)?shù)亩它c(diǎn)安全保護(hù)用戶設(shè)備 |
7 | 通過RAID和其他技術(shù)提供存儲(chǔ)冗余 |
8 | 使用安全的備份和恢復(fù)解決方案 |
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。