無論您是否意識到，您可能已經(jīng)在云端。在您的所有設(shè)備上同步的電子郵件提供商、在線電子表格和文檔程序以及音樂庫都將您的數(shù)據(jù)存儲在云中。它非常方便，但它也可能使您的數(shù)據(jù)容易受到惡意攻擊者的攻擊——更不用說服務(wù)中斷了。

畢竟，當(dāng)您的數(shù)據(jù)存儲在云中時，它不再只是放在您的計算機或設(shè)備上。它位于某處的服務(wù)器上——您很可能無法物理訪問該服務(wù)器。幸運的是，常識和聰明的安全工具的結(jié)合可以保證您的數(shù)據(jù)安全。

云加密基礎(chǔ)知識

通常，當(dāng)人們談?wù)摗霸啤睍r，他們要么是在談?wù)撛仆泄埽词窃谡務(wù)撛朴嬎恪o論哪種情況，云技術(shù)都允許多人利用數(shù)據(jù)中心的一組聯(lián)網(wǎng)服務(wù)器。過去，如果你想在數(shù)據(jù)中心托管一些東西，你必須花很多錢租一臺服務(wù)器——這對大多數(shù)人來說是不可行的。

云通過允許許多人出于多種目的安全地共享一系列服務(wù)器來改變這一點——從存儲到遠(yuǎn)程完成基本任務(wù)。大多數(shù)使用云的應(yīng)用程序往往是自動化的，因此該過程完全無需干預(yù)。在這種情況下，您永遠(yuǎn)不必?fù)?dān)心您的數(shù)據(jù)——它會為您處理好，在您更新時自動上傳到云服務(wù)器。

使用基于云的應(yīng)用程序，您可以從任何位置編輯文件。當(dāng)您在 Web 瀏覽器中鍵入一個字符時，它會將其發(fā)送到該云應(yīng)用程序提供商的服務(wù)器，該服務(wù)器實際上會修改文件并保存更改。

云讓您可以從任何兼容設(shè)備訪問文件，并且可以降低災(zāi)難性硬件故障的風(fēng)險。如果您使用已安裝的文字處理器編輯文檔并將它們存儲在硬盤驅(qū)動器上，那么您將依賴于該驅(qū)動器。即使您已經(jīng)進(jìn)行了備份，您也必須重新安裝文字處理器才能編輯該文件。但是，對于云中的文件和應(yīng)用程序，您的數(shù)據(jù)與程序一起存儲在服務(wù)器上。它不是無懈可擊的，但是您發(fā)生某些事情的風(fēng)險要低得多。

但是，重要的是要注意云也增加了風(fēng)險。當(dāng)某些內(nèi)容存儲在云中時，您無法直接控制該文件（或應(yīng)用程序）。如果有人設(shè)法猜出您的密碼或找到入侵的方法，您的所有數(shù)據(jù)都可能受到損害。大型組織尤其容易受到攻擊，因為它們經(jīng)常使用基于云的服務(wù)存儲大量敏感信息。如果惡意第三方設(shè)法找到安全漏洞，黑客就可以竊取大量敏感數(shù)據(jù)，例如社會保險號、醫(yī)療記錄和信用卡信息。

好消息是大多數(shù)違規(guī)行為是可以預(yù)防的。Anthem 泄露事件——暴露了1000 萬人的 PHI 和財務(wù)數(shù)據(jù)——就是一個很好的例子。在 Anthem 的案例中，黑客只需要訪問一個面向公眾的門戶就可以訪問所有內(nèi)容。如果公司花時間實施加密云存儲、使用數(shù)據(jù)丟失防護 (DLP) 限制訪問或?qū)徍俗约旱陌踩椒ǎ敲此赡苡肋h(yuǎn)不會發(fā)生。

云存儲加密風(fēng)險

如今，從個人用戶到大公司，每個人都在云端。這意味著所有用戶（不僅僅是像 Anthem 這樣的大公司）都需要了解他們的數(shù)據(jù)可能面臨風(fēng)險的所有方式。那包含著：

1. 服務(wù)中斷和停機

云服務(wù)比您的筆記本電腦更強大，但它們?nèi)匀豢赡艹霈F(xiàn)故障。停電、自然災(zāi)害甚至故障都會中斷服務(wù)，甚至破壞您的數(shù)據(jù)。

通常，公司備份系統(tǒng)的故障會加劇服務(wù)中斷。例如，2012 年，一場電風(fēng)暴中斷了亞馬遜網(wǎng)絡(luò)服務(wù) (AWS) 東海岸數(shù)據(jù)中心的電力供應(yīng)。當(dāng)一個中心的發(fā)電機沒有啟動，本應(yīng)讓 AWS 用戶切換數(shù)據(jù)中心的軟件也不起作用時，停電情況變得更糟。結(jié)果，包括 Netflix、Instagram 和 Pinterest 在內(nèi)的主要服務(wù)暫時關(guān)閉。

最近的一次AWS 中斷僅僅是計劃不周的結(jié)果。用戶使用服務(wù)器的次數(shù)超過了亞馬遜的預(yù)期，這導(dǎo)致他們系統(tǒng)的某些部分——以及依賴它們的公司——再次暫時關(guān)閉。破壞數(shù)據(jù)的中斷比較少見，但確實會發(fā)生。最近，一連串的雷擊摧毀了幾臺谷歌服務(wù)器，徹底抹掉了一些數(shù)據(jù)。

完全保護您的云數(shù)據(jù)的唯一方法是將備份副本存儲在另一個位置。您可以使用不同的云數(shù)據(jù)存儲服務(wù)或磁帶備份工具，或者只是在您的計算機上保留一份副本。重要的是保留一份額外的副本，并確保每次更改原件時都對其進(jìn)行更新。

2. 弱密碼、無效密碼

在云存儲中，就像在電子郵件安全中一樣，弱密碼可以讓黑客輕松進(jìn)入您的帳戶。僅僅避免使用諸如生日之類的個人信息，或諸如“密碼”或“12345”之類的明顯序列是不夠的。如果密碼很短，即使是隨機密碼也很容易受到攻擊，因為黑客可以使用程序嘗試每種組合，直到猜出正確的密碼。

幸運的是，在密碼中添加幾個額外的字符可以顯著增強密碼。包含大小寫字母、數(shù)字和特殊字符的 12 個或更多字符的密碼被認(rèn)為基本上是不可破解的，因為嘗試所有組合大約需要 1500 萬年。選擇一個容易記住的長密碼，為每個帳戶使用不同的密碼，并經(jīng)常更改您的密碼，以確保您的云數(shù)據(jù)安全。

3. 數(shù)據(jù)同步的陰暗面

大多數(shù)云存儲服務(wù)旨在自動同步數(shù)據(jù)。雖然這通常是一件好事，因為這意味著您的數(shù)據(jù)始終會得到備份，但它確實有陰暗面。加載云應(yīng)用程序——甚至只是打開設(shè)備——讓用戶可以立即訪問存儲的數(shù)據(jù)。不幸的是，這可能會允許黑客訪問您的文件。

最嚴(yán)重的安全漏洞之一——云中的人攻擊——可能會危及 Box、Dropbox 和 Microsoft OneDrive 等流行程序。即使沒有您的密碼，黑客也可以竊取讓您的計算機訪問云的安全令牌。然后，他們可以使用令牌訪問您的數(shù)據(jù)，甚至對其進(jìn)行加密并將其作為人質(zhì)。或者，他們可以修改您的文件以將惡意軟件注入您的計算機。

定期清除緩存并且不在計算機上保存密碼可以擊敗一些黑客，但無法阻止云中的人攻擊。同樣，加密的云存儲可以防止黑客讀取您的數(shù)據(jù)，但無法阻止他們刪除或破壞數(shù)據(jù)。

云訪問安全代理（例如Imperva Skyfence或Bitglass）可以通過充當(dāng)您的計算機和易受攻擊的 SaaS 程序之間的屏障來防止這種攻擊。您還應(yīng)該關(guān)閉自動同步，并盡可能避免使用公共的、不安全的 WiFi。最后，檢查存儲在云中的文件的日期，看看它們最后一次編輯的時間；如果有人最近對您一段時間未打開的文件進(jìn)行了更改，則可能表明您已被黑客入侵。

4. 提供商安全漏洞

很難說云提供商保護您的數(shù)據(jù)的能力如何。閱讀服務(wù)條款可以讓您了解公司是否可能故意使用或披露您的數(shù)據(jù)，但不會暴露馬虎的內(nèi)部安全和未能遵循安全最佳實踐的情況。

不幸的是，如果您的組織的數(shù)據(jù)遭到破壞，即使提供商有過錯，您也可能要承擔(dān)責(zé)任。企業(yè)需要保護敏感的個人信息，尤其是受 HIPAA 或PCI等合規(guī)制度管轄的信息。即使您的云提供商聲稱“符合 HIPAA”，也不一定能保護您或使您符合要求。

為了降低您的風(fēng)險和責(zé)任，請選擇使用外部審計的提供商。尋找經(jīng)過SSAE 16 Type II合規(guī)性、ISAE 3402 合規(guī)性或兩者兼有審核的云提供商。如果外部安全專家仔細(xì)審核了他們的安全性，您可以合理地確定它是安全的。

5. 缺乏加密云存儲

加密的云存儲為您的數(shù)據(jù)提供了額外的安全層。即使黑客獲得訪問權(quán)限或秘密政府法院命令云存儲提供商披露您的個人信息，他們?nèi)匀粺o法閱讀。

大多數(shù) SaaS 業(yè)務(wù)軟件（例如 Office 365 和 Google Apps（現(xiàn)在稱為 G Suite））都沒有標(biāo)配客戶端加密云存儲。許多服務(wù)對動態(tài)數(shù)據(jù)（計算機和云服務(wù)之間流動的信息）進(jìn)行加密，這是一個很好的開始。但是，這種保護通常基于易受攻擊的 SSL/TLS 加密。

我們正在努力使云解決方案更加安全。我們的G Suite 加密可保護云中的電子表格、文檔和其他機密數(shù)據(jù)，無論其傳輸?shù)胶翁帯６乙驗樗褂每蛻舳思用埽运蝗菀资艿娇赡芷茐牟惶暾募用軈f(xié)議（例如 SSL/TLS）的攻擊。

6. 數(shù)據(jù)管理不善

組織越大，就越容易忘記數(shù)據(jù)的位置。員工可能會不小心將公司資產(chǎn)保存到個人賬戶，讓整個公司訪問只有少數(shù)人應(yīng)該看到的文件，或者不小心將機密報告轉(zhuǎn)發(fā)給錯誤的人。如果惡意人員獲得該信息的訪問權(quán)限，則可能會導(dǎo)致客戶流失、巨額合規(guī)罰款以及對您組織聲譽的永久性損害。

公司可以通過良好的數(shù)據(jù)丟失預(yù)防政策來改善這種情況，管理員工如何使用、訪問和共享云存儲。然而，單靠策略并不能總是防止最大的安全漏洞：人為錯誤。不管你發(fā)了多少個備忘錄，你有多少培訓(xùn)，一個心不在焉的員工仍然可以點擊“回復(fù)所有人”并暴露重要的公司機密。

通過阻止可能在發(fā)送數(shù)據(jù)之前暴露數(shù)據(jù)的電子郵件，提供了防止人為錯誤的關(guān)鍵屏障。它可以自動加密或剝離附件，如果員工試圖通過電子郵件發(fā)送社會安全號碼（或其他敏感信息），它會彈出警告，甚至?xí)詣訉⒛承┫⑥D(zhuǎn)發(fā)給您的 IT 管理員。

借助檢測敏感數(shù)據(jù)的通用規(guī)則、符合 HIPAA 等安全制度的規(guī)則包以及制定自定義規(guī)則的能力，可以輕松針對貴公司的獨特安全需求進(jìn)行配置。