先說雲計算:
被喻為第四次資訊革命開端,雲計算充分使用網際網路的滲透性,并與移動互聯裝置完美融合,為使用者提供了幾乎無所不能的超級服務!
基于雲計算背景下的雲資料,具有以下幾個顯著特點:
1.雲存儲服務類型 ; 2.完美相容MySQL協定、高性能、高可靠、易用、便捷的MySQL叢集服務 ;3.兼具備份、擴容、遷移等功能,使用者可以友善的進行資料庫的管理;4.高度的虛拟化包括伺服器、存儲、網絡、應用等虛拟化等;5.更加智能化、自動化、便捷化、規模化和标準化
雲存儲的一大優勢在于其彈性,其實更準确說最初雲存儲産品的安全性是産品的附加屬性。企業最初選擇雲計算也絕不是沖着雲計算的“安全”,而是因為雲計算足夠便捷、友善、高成本效益和彈性。
大資料時代下的雲存儲:
在大資料的時代,原來局限在私有網絡的資源和資料因為網絡而連結,并且這些資源和資料放到了公有雲服務提供商共享公共網絡上。
通過雲存儲模式,這些資料一方面創造着無限價值,另一方面卻也正在成為超級黑客、網絡不法組織、APT攻擊的“标靶”。最近的病毒勒索事件便是給我們敲響了一個警鐘!
一旦發生某雲計算平台洩漏了使用者的資料隐私,或是資料在雲端存儲的過程中由于裝置故障而導緻大量丢失,亦或是資料在傳輸過程中被其他使用者任意篡改,這種後果所造成的不良影響是難以估量
資料安全問題也越發成為不可忽視的重點,雲存儲領域也必須正面和直視這個問題!
那麼,雲計算技術又如何保障資料安全呢?
1.安全的相對性:
沒有絕對的安全,安全總是相對的!
依據目前的狀況來看,基于良好、穩定、達到一定安全級别的「軟體技術、硬體技術、機房環境」等因素,這樣的情況下雲存儲相對于在本地的存儲會安全很多!依靠軟體+硬體結合的方式來設計:
子產品級保護:子產品化、備援設計,支援熱插拔。電源子產品、控制子產品等都是備援的
硬碟級保護:節點内磁盤級Raid,各個級别的Raid保護
資料級保護:節點間間資料對象寫多份。除通常的RAID技術外,為解決雙盤實效和其他故障導緻的資料丢失,雲存儲将多個對象的副本分别寫入其他的存儲節點,當一個節點發生故障時,其他節點上的資料繼續提供服務,同時通過其他節點中的資料副本,快速回複故障節點上丢失的資料
系統級保護:網絡鍊路端到端備援,所有存儲子產品是分布式的,甚至分布在不同的實體地點。
2.資料的三次元出發:可用性、完整性、隐私性
資料可用性:
資料可用性是指資料不因黑客攻擊、實體裝置故障等問題而導緻資料不可使用的要素。
如果我們擔心重要資料因計算機病毒、電源故障等問題而丢失,我們常常會采取資料備份的措施加以預防。
而在雲計算中,保障資料可用性的常用措施與此相類似,我們稱為備援備份,利用系統的并聯模型來提高系統可靠性的一種手段。
資料完整性:
資料完整性指在資料傳輸、存儲的過程中,確定資料不被未授權的使用者篡改、或在篡改後能被系統迅速發現的要素。
數字簽名是保證資料完整性的常用方法 。數字簽名為資料在雲端傳輸保駕護航,保證資料在發送過程中未作任何修改或變動,同時,也可以确認資料傳輸的發送方與接收方身份。
資料隐私性:
資料隐私性是非常重要的另一次元,指在海量資料傳輸、存儲和處理的每個環節保護使用者個人資料及其資訊的要素。
雲計算應用主要通過基于共享密鑰、基于生物學特征和基于公開密鑰加密算法的身份驗證三種方法來保護資料隐私。
此外,資料層面的對象去辨別、漏洞保護、虛拟機掃描、資料隔離、混合雲技術等也常被用于保障資料隐私和安全。
3.密鑰更新頻率&隐私保護級别劃分:
雲計算平台的存儲系統中存在着許多種不同類型的資料:文檔、視訊、圖檔、電子郵件等等。
為了保障使用者的隐私在其中加入了較為複雜的加密算法,當然不可忽略的現實是會使得雲平台大量的資源被消耗掉,進而會使得整個雲平台工作的效率大大的降低,成本自然也會增加;但是如果對于資料采用的都是較為簡單的加密算法的話,資料在雲平台存儲或者是處理的過程中就有可能造成資料的洩露。
每種資料對于使用者來講,資料的安全性和重要性都是有所差别的,這是因為這些資料中所涉及的資訊的重要程度是不同的。
如果要對雲平台設定一個資料安全攻略,那麼就需要将資料的隐私級别和使用者的隐私級别聯系起來。對于上述資料根據重要程度進行等級劃分,劃分的依據可以是資料的重要程度和資料的敏感程度。
作為雲服務提供商可以根據資料對于使用者隐私程度的不同來設定相應的隐私等級,可以将資料的隐私劃分為三個等級:
level1:在這個資料隐私等級中不包括使用者較為敏感的資料,該等級的資料可以采用較為簡單的加密算法,使得系統的資源不至于被浪費太多。
level2:在這個等級的資料當中有部分資料對于使用者來講是非常敏感的,那麼就要針對這些資料區域,采用與此等級相符的加密算法。
level3:在這個級别的資料當中存在着大量的使用者隐私資料,那麼應該對該等級的資料采取較為複雜的加密算法使得資料的安全得到保證
一句話總結就是:對于不同需求客戶采取不同資料加密算法來對資料進行保護!
4.打造一個雲資料保護的閉環網絡:資料生成-資料遷移-資料使用- 資料共享-資料存儲-資料銷毀
資料生成—所有權問題
對于企業和客戶的隐私資料,企業必須要了解自身的哪些資料被雲平台提供商所獲悉,并且作為客戶要采取一定的措施來避免雲計算平台商來擷取自身的敏感的資料。
資料遷移—采取複雜的加密算法,保障資料安全性、隐私性
在資料遷移的過程中應該采取更加複雜有效的加密算法,防止這些資料被其他客戶擷取,另外還要保證資料在傳輸過程中的完整性應該采取一定的校驗手段來保障資料的完整性,使得資料在遷移的過程中不會發生資料丢失的情況
資料使用—靜态資料的保障
資料共享—需要慎重
在資料共享的過程中,如果與第三方實作資料共享的時候,資料的所有者應該采取一定的措施限制第三方沒有限制的進行資料的傳播對于客戶共享的部分資料來講,除了按照一定的方式進行資料的授權之外,還需要對資料的共享方式進行研究,并考慮在資料共享的過程中如何防止使用者的敏感資料被共享。
資料存儲—簡單存儲服務&複雜存儲
将資料儲存在雲平台當中,要考慮到資料的完整性、安全性、可用性。解決這些問題的最為常用的辦法就是對資料進行加密處理,為了使得資料的加密達到其應有的效果,要對算法的可靠性進行詳細的驗證。
随着雲計算平台所傳輸、存儲和處理資料量越來越大,在對資料進行加密的過程中要兼顧資料的傳輸速度以及資料的傳輸的效率,在雲計算平台當中一般采取雲對稱式的加密算法來對雲平台中的資料進行加密處理。
為了保證資料的完整性,要在資料傳輸的過程中對于相關資料進行檢驗,對于本地資料的使用以及遷移都要引起足夠的重視。
資料銷毀—同樣需要注意
一般而言,計算機删除的方式,但是這種方式并沒有将資料真正從計算機的硬碟上删除,其删除的隻不過是檔案的相應的索引。另外,對磁盤進行格式化也是如此,磁盤的格式化僅僅是為作業系統建立一個新的索引,将磁盤的扇區标記為未使用過,經過這樣删除方式操作的資料一旦發生黑客的入侵采用一定的資料恢複方式就能夠将磁盤上的資料恢複。
對于企業較為敏感甚至是秘密級的資料,雲計算提供商可以考慮采用磁盤擦寫的方式來完成對于資料的删除,或者采用一定的資料銷毀的算法甚至是實體銷毀來對使用者的資料安全和隐私進行保護。
對于企業而言,是否選擇雲資料庫來解決自身的資料存儲方案,以及是否全部選擇通過雲服務,需要根據自身的實際行業環境、特點以及防止承擔風險能力去評估!
對企業而言,選擇「适合自身」的那一款更重要!
原文釋出時間為:2017-10-23
本文作者:佚名
本文來自雲栖社群合作夥伴“51CTO”,了解相關資訊可以關注。