<b></b>
<b>四年一次的美國總統大選,無疑是這片“自由之地”的政治盛會,也是整個世界政治領域的聚焦點。</b>
<b>随着雲計算飛速發展,更多的選民資訊以及投票通過網際網路的形式運作。</b>
<b>而這份至高使命的承載者,傳遞于美國乃至世界認為最安全,最頂尖的亞馬遜AWS。</b>
<b>或許,号稱最安全的雲服務廠商也有失誤的時候。</b><b>兩個月之前,美國一家選票計算機公司證明的一則消息:</b>
在AWS上存儲的180萬伊利諾伊州選民的資訊被洩露,給美國公民隐私安全和選舉安全蒙上了一層陰影,也給廣大雲計算服務商以及雲計算服務使用者提出了一個無法回避的問題——雲端資料安全到底該由誰來保護?雲上資料安全的路在何方?如果在美國被視為聖物的“公民隐私”與“選舉公平”都在面臨威脅,那麼誰才是解決這些安全問題的“Right Man”。
<b>我們先來看一下導緻這次的洩露事件的罪魁禍首:</b>
在預設狀态下,亞馬遜的AWS會将其托管的内容設定為保密狀态。但是這項操作是可以由使用者更改的,而被洩露的選民資訊極有可能是資料庫管理和裝置合同商Election Systems & Software公司内部人員有意或無意的将安全設定設為了“公開”,進而使這180萬的選民資訊暴露在了網際網路上。從正常的意義上來說,亞馬遜的做法看起來并沒有什麼問題,預設選擇是保密态存儲,并将最終選擇權交給了使用者。但是巨大的安全隐患恰恰隐藏在這看似“沒問題”的規則上,在資料安全領域中,任何偏差都将會把“大資料”變成“大問題”!亞馬遜也普遍代表了各大雲平台廠商的想法,将控制權交給使用者,責任也同時轉交給使用者。或許洩露就恰恰出現在這個有權利的雲平台身上,也就導緻上文所說的“有意”或者“無意”。那這時候,正是需要一個獨立的、在雲平台與使用者之間的“隔離帶”,保護和承擔起這份資料安全的責任,這才是解決問題的根本“答案”。
<b>為何談及“獨立的第三方”?</b>
衆所周知,賽場上,無論哪個角色都無法既擔任裁判員,又充當運動員。是以,無論企業認為自己有多好,特别是資料安全,老王賣瓜的話又有多少公信力?這不是單純由技術決定的,而是角色定位先天不同。這次公民資訊洩密涉及到了公民個人隐私洩露,一個處于獨立位置的“第三方”資料安全服務的在場,才應該是那個維護安全的裁判員。“獨立的第三方”不會與雲計算平台涉及任何利益關聯,隻有這樣才能完全客觀的、公正地從安全本身出發思考問題, 交出一份中立的、客觀的解決方案。
資料安全的保護,需要一個具備強悍能力進行技術對抗的硬角色。而“資料安全服務商”代表了其在資料安全方面專業性,無論是技術的掌握還是經驗的積累都具備一定的優勢,更有“資格”與“能力”來解決這個問題。好比足球比賽,不會請雙方的球員或者從業人員“兼職”比賽裁判,而是會請專業的裁判執法比賽,在中超賽場上更會請外籍裁判組來執法比賽,緣何?看中的就是“獨立”與“專業”。蒼天大樹高百尺,仍需要啄木鳥來醫蟲。鳄魚作為活化石進化了千年,仍需要鳥類清潔牙齒。從雲計算行業出發,直至自然界的平衡,“獨立的第三方”都是維持安全健康發展的關鍵。
因為有足夠自由的權限,将選民資料設為“公開”狀态的Election Systems & Software使這些資料脫離了亞馬遜的控制範圍。自此,不再受亞馬遜控制的資料便可由使用者意願肆意行動,直到亞馬遜發現後,整個洩露事件早已不受控制。
作為獨立的第三方資料安全服務商——安華金和認為,如果有第三方資料安全服務商為亞馬遜提供更為優秀的備份檔案加密能力,或者将事件中的“公開”狀态轉化為 “更為細粒度的”、“更為嚴格的”、“更為可控”的“安全公開”,提供更為細緻的資料存儲與共享的權限控制與告警規則。而非像亞馬遜這種一切交給客戶決定的“粗粒度”控制,那麼這場選民資訊洩露的事件也許不會上演。
安華金和作為獨立的第三方資料安全服務提供商,我們把重要的決定交給使用者來定奪,但安華的角色在于給資料加了一層铠甲,即保護着使用者資料在雲端的私密性,又讓使用者擁有充分的控制權。這份專注的背後是安華金和經過九年發展後化繁為簡的“沉澱”,其背後有一整套細粒度的權限控制與告警、應急政策。隻有專業資料安全的行業翹楚,才是使用者可托付的依靠,雲計算廠商的保護傘。
廣大雲計算服務商,面對從線下IDC機房到線上雲計算伺服器如影随形的資料安全問題,難免由于其技術的瓶頸或經驗的缺失,無法做到萬無一失。雲資料安全問題也是妨礙傳統行業、政府機關“上雲”的“最後一根稻草”。而為了順應科技的發展和市場的需求,獨立于雲計算平台的第三方資料安全服務商将進入雲計算領域,形成“獨立的第三方→雲計算平台→使用者”這樣的鐵三角,聞道有先後,術業有專攻,保障雲計算更為便捷的發展,保證雲資料更為安全的使用,是包括安華金和在内的任何第三方資料安全服務商義不容辭的責任。
老規矩,分享完給自家産品打個廣告,歡迎了解。
![内網滲透1一、資訊收集二、一些概念 三、提權四、擷取目前機器下各類密碼 四、用到的工具[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)