众所周知,企业上云是大势所趋。但很多企业上了云过后,却又忧心忡忡,尤其是信息安全问题,近年来频频爆出的数据泄露事件,令企业管理者甚为头疼,总担心哪一天落到自己头上。
波耐蒙研究所《2016数据泄露损失研究》报告指出,每起数据泄露的总损失是400万美元,每一条包含有敏感或个人身份识别信息(PII)的被盗记录带来的损失是158美元。想象一下,数百万条记录失窃时,是多么令人崩溃。
这也难怪,企业管理者的担心还是有道理的。那么企业该怎么办呢?总的来说,企业只有进化自身的安全实践,方可跟上不断变化的技术和相关安全威胁的发展。
具体来说,企业可以采取下列10条安全建议,供企业使用基于云的技术时优先考虑。
1、为敏感文件列个清单
对于企业来说,哪些是重要文件,哪些是非重要文件,重要文件存放在哪里,存储方式是什么,访问方式有哪些等等,都需要做到心里有数。要是连自己有些什么都不知道,谈何找出缺失了哪些东西呢?要想保证文件的安全,就需要对文件做好标记。
2、最小化非必要数据存储
存储非必要信息的唯一用处,就是给网络小偷更多的东西可偷。只需要存储仅够公司正常运营所需的数据即可。老客户的账单信息和前雇员的社会安全号与你的现有业务运营无关,只会成为网络小偷的潜在目标。把文件筛一遍,清除掉系统中的过时或非运营关键信息。
3、确保主机托管有物理防护
信息是数字存储的并不意味着就没必要使用物理防护。服务器应被保管在上锁的安全的地点。如果文件存储在远程数据中心,该中心应具备《鉴证业务准则公告第16号》(SSAE 16)II类认证和全天候的物理安全。所有数据应在其他地方的额外服务器上有备份。
4、使用高级加密协议
为了最大化数据的安全性,采取所有必要的电子安全预防措施是非常有必要的。这包括在传输和平时都利用防火墙和SSL/TLS协议对文件进行高级加密。
5、用多因子身份验证保证口令安全
一大批数据泄露都是口令使用疏忽的结果。口令应是定制的,且包含有宽泛的配置选择。建议采用多因子身份验证结合多次尝试不成功便锁定账户的方式。
6、配置行为跟踪以记录访问历史日志
团队成员、同事、客户、承包商,大量人员有可能对特定文件具有访问权。如果每个访问者都赋予编辑权限,那么非正确修改的风险是避免不了的了。其他风险还包括恶意清除、蓄意破坏和共享机密信息。
行为跟踪功能可留下每个用户访问文件的相关信息,比如用户身份、访问时间、所做修改等。此类文件行为的总结可通过电子邮件或短信即时通报给管理员。
7、保证最小外部访问授权
云的最佳益处之一(任何时候、任何地方都可进行访问),同时也是其最大风险之一。考虑一下被赋予访问文件权限的所有人,其中就可能有你连见都没见过却手握你最敏感数据访问权的人。
无论何时对文件赋予外部访问权,管理员都应该根据赋权角色对权限和控制进行定制。也就是说,每个人都应基于该项目的位置和责任被赋予打开、浏览或编辑信息的权限。就像网站设计顾问无权访问财务信息一样,某个客户也不应该看到你正在为别的客户做所的工作。
8、限制公共Wifi的无线应用
智能手机、平板和笔记本电脑让在外办公变得容易,同时也为安全疏忽开启了方便之门。这些个人设备经常被用于个人事务,意味着可能会带来交叉影响,比如从一个设备向其他设备感染病毒或恶意软件。
另外,如果无线设备被盗或遗失,公司信息就有可能落入他人之手,通信也有可能通过公共WiFi网络被窃听。
使用虚拟数据室可以抵消公私混用设备相关的大多数威胁。
9、培训并认证员工
未经合适的用户培训就授予云访问权这种事绝对不能发生。应该花时间对新员工进行云安全最佳实践培训,甚至可以考虑为所有员工安排安全教育日。
10、使用HIPAA作为指南
即使没有身处医疗保健行业,遵循《健康保险流通与责任法案》(简称HIPAA)设置的隐私指南也不失为保护信息安全和机密的有效方法。
如果能够有效遵循以上建议,你的企业会尽可能地在保证安全的情况下盈利。
不过,估计很多企业管理者看到需要做这么多工作,也会感到压力山大。这不是大大增加了工作量吗?
其实,要执行这样的工作并不难,随着技术的进步,一款产品就能实现以上多条建议。
就拿燕麦云盘为例,基于文件夹的网盘管理,可以把重要文件和非重要文件分别存放在不同文件夹内,一目了然,就相当于为重要文件列清单了;另外,通过容灾备份,可以将数据实时备份到额外的服务器,你只需要找个安全的地方放置服务器就可以了;燕麦云在文件的存储和传输上都使用了高级加密协议,轻松实现网银级别的数据安全。
此外,还有采用了多因子身份验证的动态密令功能,只有在密令正确的情况下,才能访问特定账户或者是指定文件夹;日志审计功能,则有助于管理员跟踪记录访问的历史日志,一手掌控文件状态;文件权限功能,对角色、文件、部门设置权限,就能有效保证最小外部访问权限。
当然,燕麦云也并非唯一的选择。对于企业来说,使用了类似的云存储工具,以上的10条建议,已经完成了一大半。剩下的一些增强员工安全意识的工作,就没有那么大的压力了。
总之,千万不要让云端安全问题,限制了企业上云带来的极大便利。
