無論您是否意識到，您可能已經(jīng)在云端。在您的所有設備上同步的電子郵件提供商、在線電子表格和文檔程序以及音樂庫都將您的數(shù)據(jù)存儲在云中。它非常方便，但它也可能使您的數(shù)據(jù)容易受到惡意攻擊者的攻擊——更不用說服務中斷了。

畢竟，當您的數(shù)據(jù)存儲在云中時，它不再只是放在您的計算機或設備上。它位于某處的服務器上——您很可能無法物理訪問該服務器。幸運的是，常識和聰明的安全工具的結合可以保證您的數(shù)據(jù)安全。

云加密基礎知識

通常，當人們談論“云”時，他們要么是在談論云托管，要么是在談論云計算。無論哪種情況，云技術都允許多人利用數(shù)據(jù)中心的一組聯(lián)網(wǎng)服務器。過去，如果你想在數(shù)據(jù)中心托管一些東西，你必須花很多錢租一臺服務器——這對大多數(shù)人來說是不可行的。

云通過允許許多人出于多種目的安全地共享一系列服務器來改變這一點——從存儲到遠程完成基本任務。大多數(shù)使用云的應用程序往往是自動化的，因此該過程完全無需干預。在這種情況下，您永遠不必擔心您的數(shù)據(jù)——它會為您處理好，在您更新時自動上傳到云服務器。

使用基于云的應用程序，您可以從任何位置編輯文件。當您在 Web 瀏覽器中鍵入一個字符時，它會將其發(fā)送到該云應用程序提供商的服務器，該服務器實際上會修改文件并保存更改。

云讓您可以從任何兼容設備訪問文件，并且可以降低災難性硬件故障的風險。如果您使用已安裝的文字處理器編輯文檔并將它們存儲在硬盤驅(qū)動器上，那么您將依賴于該驅(qū)動器。即使您已經(jīng)進行了備份，您也必須重新安裝文字處理器才能編輯該文件。但是，對于云中的文件和應用程序，您的數(shù)據(jù)與程序一起存儲在服務器上。它不是無懈可擊的，但是您發(fā)生某些事情的風險要低得多。

但是，重要的是要注意云也增加了風險。當某些內(nèi)容存儲在云中時，您無法直接控制該文件（或應用程序）。如果有人設法猜出您的密碼或找到入侵的方法，您的所有數(shù)據(jù)都可能受到損害。大型組織尤其容易受到攻擊，因為它們經(jīng)常使用基于云的服務存儲大量敏感信息。如果惡意第三方設法找到安全漏洞，黑客就可以竊取大量敏感數(shù)據(jù)，例如社會保險號、醫(yī)療記錄和信用卡信息。

好消息是大多數(shù)違規(guī)行為是可以預防的。Anthem 泄露事件——暴露了1000 萬人的 PHI 和財務數(shù)據(jù)——就是一個很好的例子。在 Anthem 的案例中，黑客只需要訪問一個面向公眾的門戶就可以訪問所有內(nèi)容。如果公司花時間實施加密云存儲、使用數(shù)據(jù)丟失防護 (DLP) 限制訪問或?qū)徍俗约旱陌踩椒ǎ敲此赡苡肋h不會發(fā)生。

云存儲加密風險

如今，從個人用戶到大公司，每個人都在云端。這意味著所有用戶（不僅僅是像 Anthem 這樣的大公司）都需要了解他們的數(shù)據(jù)可能面臨風險的所有方式。那包含著：

1. 服務中斷和停機

云服務比您的筆記本電腦更強大，但它們?nèi)匀豢赡艹霈F(xiàn)故障。停電、自然災害甚至故障都會中斷服務，甚至破壞您的數(shù)據(jù)。

通常，公司備份系統(tǒng)的故障會加劇服務中斷。例如，2012 年，一場電風暴中斷了亞馬遜網(wǎng)絡服務 (AWS) 東海岸數(shù)據(jù)中心的電力供應。當一個中心的發(fā)電機沒有啟動，本應讓 AWS 用戶切換數(shù)據(jù)中心的軟件也不起作用時，停電情況變得更糟。結果，包括 Netflix、Instagram 和 Pinterest 在內(nèi)的主要服務暫時關閉。

最近的一次AWS 中斷僅僅是計劃不周的結果。用戶使用服務器的次數(shù)超過了亞馬遜的預期，這導致他們系統(tǒng)的某些部分——以及依賴它們的公司——再次暫時關閉。破壞數(shù)據(jù)的中斷比較少見，但確實會發(fā)生。最近，一連串的雷擊摧毀了幾臺谷歌服務器，徹底抹掉了一些數(shù)據(jù)。

完全保護您的云數(shù)據(jù)的唯一方法是將備份副本存儲在另一個位置。您可以使用不同的云數(shù)據(jù)存儲服務或磁帶備份工具，或者只是在您的計算機上保留一份副本。重要的是保留一份額外的副本，并確保每次更改原件時都對其進行更新。

2. 弱密碼、無效密碼

在云存儲中，就像在電子郵件安全中一樣，弱密碼可以讓黑客輕松進入您的帳戶。僅僅避免使用諸如生日之類的個人信息，或諸如“密碼”或“12345”之類的明顯序列是不夠的。如果密碼很短，即使是隨機密碼也很容易受到攻擊，因為黑客可以使用程序嘗試每種組合，直到猜出正確的密碼。

幸運的是，在密碼中添加幾個額外的字符可以顯著增強密碼。包含大小寫字母、數(shù)字和特殊字符的 12 個或更多字符的密碼被認為基本上是不可破解的，因為嘗試所有組合大約需要 1500 萬年。選擇一個容易記住的長密碼，為每個帳戶使用不同的密碼，并經(jīng)常更改您的密碼，以確保您的云數(shù)據(jù)安全。

3. 數(shù)據(jù)同步的陰暗面

大多數(shù)云存儲服務旨在自動同步數(shù)據(jù)。雖然這通常是一件好事，因為這意味著您的數(shù)據(jù)始終會得到備份，但它確實有陰暗面。加載云應用程序——甚至只是打開設備——讓用戶可以立即訪問存儲的數(shù)據(jù)。不幸的是，這可能會允許黑客訪問您的文件。

最嚴重的安全漏洞之一——云中的人攻擊——可能會危及 Box、Dropbox 和 Microsoft OneDrive 等流行程序。即使沒有您的密碼，黑客也可以竊取讓您的計算機訪問云的安全令牌。然后，他們可以使用令牌訪問您的數(shù)據(jù)，甚至對其進行加密并將其作為人質(zhì)。或者，他們可以修改您的文件以將惡意軟件注入您的計算機。

定期清除緩存并且不在計算機上保存密碼可以擊敗一些黑客，但無法阻止云中的人攻擊。同樣，加密的云存儲可以防止黑客讀取您的數(shù)據(jù)，但無法阻止他們刪除或破壞數(shù)據(jù)。

云訪問安全代理（例如Imperva Skyfence或Bitglass）可以通過充當您的計算機和易受攻擊的 SaaS 程序之間的屏障來防止這種攻擊。您還應該關閉自動同步，并盡可能避免使用公共的、不安全的 WiFi。最后，檢查存儲在云中的文件的日期，看看它們最后一次編輯的時間；如果有人最近對您一段時間未打開的文件進行了更改，則可能表明您已被黑客入侵。

4. 提供商安全漏洞

很難說云提供商保護您的數(shù)據(jù)的能力如何。閱讀服務條款可以讓您了解公司是否可能故意使用或披露您的數(shù)據(jù)，但不會暴露馬虎的內(nèi)部安全和未能遵循安全最佳實踐的情況。

不幸的是，如果您的組織的數(shù)據(jù)遭到破壞，即使提供商有過錯，您也可能要承擔責任。企業(yè)需要保護敏感的個人信息，尤其是受 HIPAA 或PCI等合規(guī)制度管轄的信息。即使您的云提供商聲稱“符合 HIPAA”，也不一定能保護您或使您符合要求。

為了降低您的風險和責任，請選擇使用外部審計的提供商。尋找經(jīng)過SSAE 16 Type II合規(guī)性、ISAE 3402 合規(guī)性或兩者兼有審核的云提供商。如果外部安全專家仔細審核了他們的安全性，您可以合理地確定它是安全的。

5. 缺乏加密云存儲

加密的云存儲為您的數(shù)據(jù)提供了額外的安全層。即使黑客獲得訪問權限或秘密政府法院命令云存儲提供商披露您的個人信息，他們?nèi)匀粺o法閱讀。

大多數(shù) SaaS 業(yè)務軟件（例如 Office 365 和 Google Apps（現(xiàn)在稱為 G Suite））都沒有標配客戶端加密云存儲。許多服務對動態(tài)數(shù)據(jù)（計算機和云服務之間流動的信息）進行加密，這是一個很好的開始。但是，這種保護通常基于易受攻擊的 SSL/TLS 加密。

我們正在努力使云解決方案更加安全。我們的G Suite 加密可保護云中的電子表格、文檔和其他機密數(shù)據(jù)，無論其傳輸?shù)胶翁帯６乙驗樗褂每蛻舳思用埽运蝗菀资艿娇赡芷茐牟惶暾募用軈f(xié)議（例如 SSL/TLS）的攻擊。

6. 數(shù)據(jù)管理不善

組織越大，就越容易忘記數(shù)據(jù)的位置。員工可能會不小心將公司資產(chǎn)保存到個人賬戶，讓整個公司訪問只有少數(shù)人應該看到的文件，或者不小心將機密報告轉(zhuǎn)發(fā)給錯誤的人。如果惡意人員獲得該信息的訪問權限，則可能會導致客戶流失、巨額合規(guī)罰款以及對您組織聲譽的永久性損害。

公司可以通過良好的數(shù)據(jù)丟失預防政策來改善這種情況，管理員工如何使用、訪問和共享云存儲。然而，單靠策略并不能總是防止最大的安全漏洞：人為錯誤。不管你發(fā)了多少個備忘錄，你有多少培訓，一個心不在焉的員工仍然可以點擊“回復所有人”并暴露重要的公司機密。

通過阻止可能在發(fā)送數(shù)據(jù)之前暴露數(shù)據(jù)的電子郵件，提供了防止人為錯誤的關鍵屏障。它可以自動加密或剝離附件，如果員工試圖通過電子郵件發(fā)送社會安全號碼（或其他敏感信息），它會彈出警告，甚至會自動將某些消息轉(zhuǎn)發(fā)給您的 IT 管理員。

借助檢測敏感數(shù)據(jù)的通用規(guī)則、符合 HIPAA 等安全制度的規(guī)則包以及制定自定義規(guī)則的能力，可以輕松針對貴公司的獨特安全需求進行配置。