云时代该如何掌控企业数据安全 大数据时代,企业该如何保障云安全?
云时代该应该这样掌控企业数据安全,在2016年的安全界盛会RSA 2016上DLP(Data Loss Prevention, 数据防泄密)成为企业用户关注度最高的产品,大会的DLP分类厂商多达88家,从本次大会上,可以看到企业数据防泄露产品的一些发展趋势。
DLP与网关功能整合
将DLP与网关类产品的传统安全功能进行整合,实现从内容层面的安全检测和防御,比如将DLP功能加入Web网关、将DLP功能加入URL与反垃圾邮件网关等,代表厂商有Forcepoint、ClearSwift等。
基于终端加密与权限控制的DLP+
从数据泄露的源头上对其进行封堵。在终端对文档进行不同的访问权限、操作权限和外发权限控制,并对发送者和接收者制定不同的权限策略。数据在外发的时候是加密的,只有被信任的接收者才能够看到文件内容或对文件执行对应的操作。代表企业Vera、Fasoo。
针对特定应用的DLP
只针对特定应用(如Exchange、outlook、office365、SharePoint)或特定通道(Email Cloud Service)的DLP检测。这类产品会在终端进行访问、打印、拷贝等操作的权限控制,并针对文件类型、收发件人、以及文件内容定义敏感信息检测策略,实现固定终端和移动终端的DLP检测。代表厂商有Messageawre、Mimecast等。
公有云环境下CASB成为重要方向
随着国外(特别是美国)企业对SaaS(Office365、DropBox、Box、Facebook等云服务)的依赖程度日益增高,已经将很多数据、业务迁移到云服务和云平台上,企业员工对公有云环境的使用也会成为一个安全问题。数据泄露已经成为云安全面临的首要威胁,通过Office365、DropBox等云服务和云存储上传或共享文件时,都有可能带来数据泄露的问题。CASB(Cloud Access Security Broker,云访问安全代理)的方法是一种解决思路,实现在“任何时间、任何地点”保护企业数据不被泄露。基于CASB的DLP实现可以分为两种形式:
形式一:应对企业内部DLP问题
保持原有DLP产品的软硬件形态不变,在原有网关上增加对云服务和云应用的支持,可以部署在企业网的终端和边界处。代表厂商Symantec、Intel Security(McAfee)、AvePoint等传统DLP厂商。
形式二:应对企业员工移动办公的DLP问题
CASB作为一种云服务,部署在企业员工使用的云平台上,在云中为用户提供单点登录、访问控制、行为监控、数据防护、安全合规等服务。DLP是CASB要考虑的重要问题,也是产品落地的明确方向,CASB也在积极寻求与传统DLP厂商的合作。对于DLP而言,相对于传统边界部署上方案,CASB的区别在于其结合了用户、设备、内容和应用这几个维度,来理解数据是如何在云环境中被共享或被使用的,从而做出相应的策略配置。基于CASB的DLP产品形态也从传统的Network+Endpoint+Storage DLP变成了Cloud+Mobile DLP。代表厂商有Skyhigh、BlueCoat等。
云时代该如何掌控企业数据安全
数据是企业中最重要也是最需要保护的资产,因此数据安全也变得越来越重要。随着公有云和BYOD技术的不断发展,数据防泄密(Data Loss Prevention, DLP)作为数据安全领域最重要的技术产品,也面临着“实现云中数据泄露防护”的挑战。虽然目前国内企业和个人用户对云服务和应用的依赖还较小,但Cloud+Mobile的DLP将成为DLP产品的发展趋势,国内的DLP产品,也需要快速适应从on-premise到cloud-based的转变。
数据防泄密系统:这是一套从源头上保障数据安全和使用安全的软件系统。包含了文件透明加解密、内部文件流转功能、密级管控、离线管理、文件外发管理、灵活的审批流程、工作模式切换、服务器白名单等功能。从根本上严防信息外泄,保障信息安全。
06年,谷歌颠覆性的提出了“Google 101计划”,并正式提出云的概念和理论,随后亚马逊、微软、英特尔、IBM等都宣布了自己的云计划,一时之间,“云存储”、“云安全”、“公有云”、“私有云”等云概念风靡全球。服务器在进化、虚拟化应用与云计算技术不断引入,促使越来越多的企业在迈向云端。云计算提供了开放的标准、可伸缩的系统和面向服务的架构,使用户能够以灵活且经济实惠的方式享受可靠、随需应变的自助服务。大量的资源共享池、更低的成本以及更高的工作效率等,云计算为我们使用网络提供了几乎无限多的可能,各种美丽的景象让一大群人激动难耐。
但是,在人们纷纷畅享云服务的背后,有些疑虑一直盘踞在心里:海量的数据被转移到用户掌控范围之外的设备(云)上时,如何确保存储海量重要信息的“云”安全?对具有敏感信息的企业而言,这种所谓的便利性,恰恰也是数据泄密的风险所在,“云”的应用不能以核心数据的泄密为代价!要想真正体现云的价值,最不能轻视、最严重和最需考虑的就是云数据的安全。明朝万达云安全专家解析,目前云服务所面临的安全风险主要在以下几个方面:
◆法律和合规性风险,因为"云端(服务器)"所在的地域不同,使用期间可能面临的法律风险也会大不相同。虽然网络无边界,但用于进行"云计算"业务的服务器毕竟真实的处于各国法律的管辖之下,因此,对于"云计算"的不当应用,将可能面临极其严重的法律风险和侵权风险。
据统计,现市面上已有的云服务商的安全产品主要是从云计算平台本身出发,围绕平台的稳定性、用户数据安全性、完整性、保密性、网络攻击防护等方面展开,主要包括系统冗余、用户安全认证、权限控制、端对端的数据传输加密、系统安全防护等技术手段,而这些安全手段并未涉及存储数据级的安全。作为企业,不得不考虑将核心数据统一归档集中存储在第三方存储设备(云端)上后,云服务提供商能否确保企业云端数据的存储安全与访问安全?相信“盛大云”的事件也让很多企业心有余悸!
明朝万达公司信息安全专家分析目前公认的云服务技术主要采用虚拟化技术的云终端和B/S客户端架构两种形态来实现,而不同的技术手段分别会面临不同的泄密风险点:
采用虚拟化技术的云终端,一般是“桌面云终端+存储”或“虚拟云桌面+存储”的模式构成。在对云端非结构化数据(文档)访问与使用时,云服务商是否可以提供数据的权限级别设置,以防非权限访问?而基于浏览器(或云客户端)操作来提供云服务的客户端架构技术,数据在使用过程中普遍会以明文的形式存储在终端,这种情况无疑增多了数据的不安全性,如计算机的外设、邮件、网络应用等均会成为泄密的途径;而云服务支持多种设备对云端连接的便利性,在方便用户共享数据的同时,亦带来了身份有效性验证、通讯链路的安全性保障、数据落地存储与使用安全等问题。
鉴于以上分析,@北京明朝万达Chinasec“云”数据安全解决方案的思路将根据云服务的两种形态来区别对待,以数据安全为核心,围绕敏感数据的存储、传输和使用过程中可能触发的风险提供针对性的完整云安全解决方案。 云数据安全解决方案
◆云端数据加密存储。云架构进一步推动了数据的集中存储和快速共享,对于黑客或其他心怀恶意的信息窃取者来说,目标更加清晰,途径更加便利,无论是采用虚拟化技术还是客户端架构,企业都绕不开云端数据安全保护的问题。将文件加密存储在云端,从而解决用户对于云存储的数据安全性的不信任,规避数据在云端泄密的风险。
◆文档权限管理。Chinasec数据管理平台提供以密级为核心的文档安全管理系统,可根据管理角色的不同灵活划分多种细粒度的文档访问权限,可针对文件、文件夹或应用系统内的文档设置不同的使用权限,还可以为单个用户、用户组、部门进行权限配置,从而简化权限的分配和管理。通过文档权限管理可实现文档的分级管理和授权访问,杜绝数据窥探和非授权访问事件发生。
◆云数据安全。Chinasec数据管理平台通过设置云平台的URL或IP地址,在所有接入云端的设备上安装代理客户端,并采用自动解析策略来设置云平台参数,同时透明加解密技术可对从云平台下载的云数据进行自动加密存储,规避因明文存储造成的数据泄密。由于动态加解密技术不仅不改变用户使用习惯,而且无需用户太多的干预操作即可实现云数据的安全,提供了极大的便利性。
◆终端设备接入安全。云架构进一步推动了信息的快速共享,Chinasec数据安全管理平台支持对各类接入云端的设备(如PC、笔记本、Pad、智能手机等)进行用户身份认证和链路加密,增强移动终端接入的安全性,确保用户共享的数据安全。
Chinasec数据安全管理平台采用模块化设计的B/S和C/S混合架构,整个管理平台运用了加密、认证、控制等技术手段,上述各功能均是数据管理平台的子功能,可依据企业实际情况和需求进行不同的功能组合,以满足不同类型、不同应用场景下的用户需求。且各类接入设备均由Chinasec数据安全管理平台统一管控,包括密钥交换、策略下发、身份认证等,因此各类设备内的加密文件可以达到透明加解密。在云实现了移动互联的同时,Chinasec数据安全管理平台亦实现了安全互通。
目前,“云”已经在企业级市场得到了越来越广泛的应用,而这一新IT时代的产物如果想要进化得尽善尽美,需要整个产业链成员的集体迁移,尤其是信息安全厂商,它将是云发展拼图中至关重要的一块,没有信息和数据安全的保障,云架构的搭建注定只能是空中楼阁。因此,如何应对数据安全风险问题任重道远。明朝万达将一如既往的以数据安全为核心,关注企业敏感数据的流转方向,对数据的整个生命周期采取完善的数据安全管控方法,让广大用户能够安全无忧的畅享新技术带来的惠利。
云计算时代信息数据安全如何保障~
信息安全的主要目标之一是保护用户数据和信息安全。当向云计算过渡时,传统的数据安全方法将遭到云模式架构的挑战。弹性、多租户、新的物理和逻辑架构,以及抽象的控制需要新的数据安全策略。
数据与信息安全的具体防护可分为以下几个方面。
1.数据安全隔离
为实现不同用户间数据信息的隔离,可根据应用具体需求,采用物理隔离、虚拟化和Multi-tenancy等方案实现不同租户之间数据和配置信息的安全隔离,以保护每个租户数据的安全与隐私。
2.数据访问控制
在数据的访问控制方面,可通过采用基于身份认证的权限控制方式,进行实时的身份监控、权限认证和证书检查,防止用户间的非法越权访问。如可采用默认“denyall”的访问控制策略,仅在有数据访问需求时才显性打开对应的端口或开启相关访问策略。在虚拟应用环境下,可设置虚拟环境下的逻辑边界安全访问控制策略,如通过加载虚拟防火墙等方式实现虚拟机间、虚拟机组内部精细化的数据访问控制策略。
3.数据加密存储
对数据进行加密是实现数据保护的一个重要方法,即使该数据被人非法窃取,对他们来说也只是一堆乱码,而无法知道具体的信息内容。在加密算法选择方面,应选择加密性能较高的对称加密算法,如AES、3DES等国际通用算法,或我国国有商密算法SCB2等。在加密密钥管理方面,应采用集中化的用户密钥管理与分发机制,实现对用户信息存储的高效安全管理与维护。对云存储类服务,云计算系统应支持提供加密服务,对数据进行加密存储,防止数据被他人非法窥探;对于虚拟机等服务,则建议用户对重要的用户数据在上传、存储前自行进行加密。
4.数据加密传输
在云计算应用环境下,数据的网络传输不可避免,因此保障数据传输的安全性也很重要。数据传输加密可以选择在链路层、网络层、传输层等层面实现,采用网络传输加密技术保证网络传输数据信息的机密性、完整性、可用性。对于管理信息加密传输,可采用SSH、SSL等方式为云计算系统内部的维护管理提供数据加密通道,保障维护管理信息安全。对于用户数据加密传输,可采用IPSecVPN、SSL等VPN技术提高用户数据的网络传输安全性。
5.数据备份与恢复
不论数据存放在何处,用户都应该慎重考虑数据丢失风险,为应对突发的云计算平台的系统性故障或灾难事件,对数据进行备份及进行快速恢复十分重要。如在虚拟化环境下,应能支持基于磁盘的备份与恢复,实现快速的虚拟机恢复,应支持文件级完整与增量备份,保存增量更改以提高备份效率。
6.剩余信息保护
由于用户数据在云计算平台中是共享存储的,今天分配给某一用户的存储空间,明天可能分配给另外一个用户,因此需要做好剩余信息的保护措施。所以要求云计算系统在将存储资源重分配给新的用户之前,必须进行完整的数据擦除,在对存储的用户文件/对象删除后,对对应的存储区进行完整的数据擦除或标识为只写(只能被新的数据覆写),防止被非法恶意恢复。
腾讯云原生安全防护体系,推荐给你,已搭建了包含安全治理、数据安全、应用安全、计算安全、网络安全等五个领域的完备云原生安全防护体系。
#岑中泥# 云计算中的安全风险都有哪些?
(18217736024): 云计算-安全风险 尽管使用云计算服务的好处听起来如此诱人,但更多人却抱以观望的态度.这种谨慎来自于对安全问题的考虑.云计算意味着数据被转移到用户主权掌控...
#岑中泥# 什么是云安全?
(18217736024): 紧随云计算、云存储之后,云安全也出现了.云安全是我国企业创造的概念,在国际云计算领域独树一帜. “云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概...
#岑中泥# 数据放在哪里更安全,是自家的数据中心还是公有云 -
(18217736024): 感觉这个问题,可以类比为“钱放在哪里更安全,是自己家里还是银行里?” 放在自己家里的钱,总是能让人觉得有控制权,看起来是更放心一点,但是,万一有天家里进了贼、出现了火灾等等不可控的事件时,可能就没了.放在银行里的钱,看起来是交给别人帮忙保管,但是因为签订了协议,如果丢失,银行是会负有责任的.其实银行总是会有一定的应急措施,至少不会跟上述情况一样化为乌有.所以,我觉得,有时候把数据放在公有云,比放在自家的数据中心更有保障一些.个人意见,仅供参考.
#岑中泥# 企业数据保护产品有哪些? -
(18217736024): 可以买机房、买软件、买服务进行数据的备份,也可以使用多备份这种互联网产品进行备份,现在是云时代了,个人推荐后者,节省成本,安全性也高.
#岑中泥# 云计算和大数据是什么关系 -
(18217736024): 原发布者:天成信息 云计算与大数据的关系 从技术上来看,大数据和云计算的关系就像一枚硬币的正反面一样密不可分.大数据必然无法用单台的计算机进行处理,必须采用分布式架构.它的特色在于对海量数据进行分布式数据挖掘,但它...
#岑中泥# 云计算储存跟传统的储存有什么区别 -
(18217736024): 云计算储存跟传统的储存区别有:当云计算系统运算和处理的核心是大量数据的存储和管理时,云计算系统中就需要配置大量的存储设备,那么云计算系统就转变成为一个云存储系统,所以云存储是一个以数据存储和管理为核心的云计算系统....
#岑中泥# 云时代的安全软件盈利模式的核心还是用户市场的细分,不同的用户群采?
(18217736024): 不同的用户群采用不同的策略,目标用户群分为计算机,个人用户、中小企业、企业用户,以及数据中心用户.个人用户以轻薄、简单实用为主.中小企业以不需要专业IT人员的产品为主.企业用户跟数据中心用户必须伴随专业的技术人员,帮助企业客户布建与持续加强安全防护.
#岑中泥# 云时代,VPN与SD - WAN如何更好结合?
(18217736024): 在互联网时代,虚拟专网成为企业远程接入技术的基础,如今安全服务SD-WAN试图通过现代化的云计算作为新手段搅动已经稳定的企业组网市场.SD-WAN核心技术是基于云的网站安全平台,能帮助企业减少对外连接的风险.反之,通过其新...
#岑中泥# 请问trendmicro如何理解与应对云时代的安全趋势呢?
(18217736024): 消费者端也许是免费的,但是提供云服务的云计算平台,更需要安全防护.趋势科技加强在云计算平台上的安全产品与服务,是我们的竞争优势.
#岑中泥# 云计算时代我们需要什么样的数据存储?
(18217736024): 从计算机应用初期由于资源匮乏而不得不采取的计算资源大集中模式到如今IT技术高度发展而带来的云计算时代,IT架构用半个多世纪的时间完成了一个轮回,在这个轮回...
