Azure、AWS、谷歌云如何處理云中的數(shù)據(jù)銷毀,azure云遷移基本流程-ESG跨境

Azure、AWS、谷歌云如何處理云中的數(shù)據(jù)銷毀,azure云遷移基本流程

來源網(wǎng)絡(luò)
來源網(wǎng)絡(luò)
2022-04-29
點(diǎn)贊icon 0
查看icon 702

Azure、AWS、谷歌云如何處理云中的數(shù)據(jù)銷毀,azure云遷移基本流程Azure、AWS、谷歌云如何處理云中的數(shù)據(jù)銷毀數(shù)據(jù)銷毀是一個(gè)直到最近才被廣泛討論的話題。無(wú)論組織采用哪些云計(jì)算服務(wù),了解全球三個(gè)云計(jì)算巨頭的數(shù)據(jù)銷毀的做法將會(huì)提高其盡職調(diào)查水平。安全機(jī)構(gòu)Cybersecurity Insiders公司發(fā)布的一份......

Azure、AWS、谷歌云如何處理云中的數(shù)據(jù)銷毀,azure云遷移基本流程





Azure、AWS、谷歌云如何處理云中的數(shù)據(jù)銷毀

數(shù)據(jù)銷毀是一個(gè)直到最近才被廣泛討論的話題。無(wú)論組織采用哪些云計(jì)算服務(wù),了解全球三個(gè)云計(jì)算巨頭的數(shù)據(jù)銷毀的做法將會(huì)提高其盡職調(diào)查水平。

安全機(jī)構(gòu)Cybersecurity Insiders公司發(fā)布的一份市場(chǎng)研究報(bào)告表明,93%的組織對(duì)于公共云的安全性感到擔(dān)憂,這種不信任可能源于缺乏信息。而云計(jì)算服務(wù)提供商了解他們的客戶,也了解一些問題,并開發(fā)了大量的文檔和銷售擔(dān)保合同以獲得客戶的信任。行業(yè)領(lǐng)先的云計(jì)算提供商主要的文檔改進(jìn)措施之一是與數(shù)據(jù)銷毀有關(guān)的透明性。通過對(duì)這些文檔的分析,可以了解當(dāng)云計(jì)算服務(wù)提供商刪除客戶的數(shù)據(jù)時(shí)到底發(fā)生了什么。

組織需要了解云計(jì)算提供商進(jìn)行數(shù)據(jù)銷毀的問題,這是組織在與云計(jì)算服務(wù)提供商(CSP)合作之前要進(jìn)行審查的眾多安全控制措施之一。當(dāng)涉及云計(jì)算安全性時(shí),給定的安全控制措施只能減輕特定的風(fēng)險(xiǎn),而在網(wǎng)絡(luò)安全方面,沒有一個(gè)萬(wàn)能的解決方案。因此,必須了解特定的安全控制措施可以解決哪些問題,以及不能解決哪些問題。

但是為什么數(shù)據(jù)銷毀是一項(xiàng)重要的安全控制措施?當(dāng)不再需要保存敏感數(shù)據(jù)以防止未經(jīng)授權(quán)的訪問時(shí),必須將其銷毀。組織在銷毀數(shù)據(jù)之前,必須對(duì)其進(jìn)行適當(dāng)?shù)谋Wo(hù)。而那些未經(jīng)授權(quán)的人員如何訪問云中未被正確銷毀的敏感信息?他們可以:

●使用取證工具從云計(jì)算服務(wù)提供商的硬盤中提取數(shù)據(jù);

●獲取其他用戶的數(shù)據(jù)殘留;

●使用云計(jì)算提供商提供的內(nèi)部人員特權(quán)訪問數(shù)據(jù);

●從備份中恢復(fù)敏感數(shù)據(jù)。

對(duì)于許多人而言,想獲得未經(jīng)授權(quán)訪問敏感信息的第一個(gè)策略就是以某種方式獲得硬盤,并使用取證工具從硬盤中提取數(shù)據(jù)。

硬盤的物理安全性

技術(shù)成熟的大型云計(jì)算服務(wù)提供商在物理安全性方面表現(xiàn)出色。通常只有幾名有權(quán)進(jìn)入云計(jì)算服務(wù)提供商數(shù)據(jù)中心的人員可以訪問,并且有專門負(fù)責(zé)管理硬盤的人員。機(jī)械硬盤(HDD)的使用壽命有限,而云計(jì)算服務(wù)提供商每年可能銷毀成千上萬(wàn)塊硬盤。云計(jì)算服務(wù)提供商使用軟件通過序列號(hào)跟蹤每塊機(jī)械硬盤(HDD),并在任何時(shí)間點(diǎn)說明其確切位置。當(dāng)硬盤的使用壽命到期時(shí),云計(jì)算服務(wù)提供商將其粉碎或使用類似的方式進(jìn)行完全的物理銷毀。而獨(dú)立審計(jì)公司將嚴(yán)密監(jiān)督和審查這一過程。

數(shù)據(jù)提取

如果網(wǎng)絡(luò)攻擊者以某種方式能夠訪問物理硬盤,則他們可能會(huì)嘗試使用各種取證技術(shù)從硬盤設(shè)備中提取敏感數(shù)據(jù)。但是與用戶電腦中的硬盤不同的是,云計(jì)算服務(wù)提供商采用的每塊硬盤都包含來自潛在數(shù)百個(gè)不同用戶的數(shù)據(jù)片段。即使沒有對(duì)這些片段進(jìn)行加密,網(wǎng)絡(luò)攻擊者也幾乎不可能將片段與特定租戶相關(guān)聯(lián)。因?yàn)檫@種片段可能只包含一個(gè)標(biāo)識(shí)數(shù)據(jù)元素,并且缺少映射信息,網(wǎng)絡(luò)攻擊者將不可能識(shí)別特定目標(biāo)的硬盤。以下將介紹使用用戶特定密鑰加密數(shù)據(jù)的好處。

來自其他用戶的數(shù)據(jù)殘留

很多人都有租房的經(jīng)歷,通常會(huì)發(fā)現(xiàn)之前的租戶會(huì)留下一些垃圾和個(gè)人物品。而當(dāng)組織成為云平臺(tái)中的租戶時(shí),當(dāng)然不希望發(fā)生這種情況。AWS、Microsoft Azure和谷歌云平臺(tái)對(duì)他們的云計(jì)算系統(tǒng)進(jìn)行了安全設(shè)計(jì)來防止這種情況的發(fā)生。

AWS公司發(fā)布的一份名為“AWS的安全流程概述”白皮書指出:“在Amazon S3刪除對(duì)象之后,從公共名稱到對(duì)象的映射的刪除將立即開始,并且通常在幾秒鐘內(nèi)通過分布式系統(tǒng)進(jìn)行處理。一旦映射被刪除,就不能對(duì)已刪除對(duì)象進(jìn)行遠(yuǎn)程訪問,然后再回收底層存儲(chǔ)區(qū)域以供系統(tǒng)使用?!?/p>

Amazon EBS卷以未格式化的塊設(shè)備的形式呈現(xiàn)給用戶,這些設(shè)備在可供使用之前已被擦除。

對(duì)于Amazon EBS來說,在根據(jù)技術(shù)規(guī)范調(diào)整大小之前,為用戶提供的EBS卷難以安全擦除數(shù)據(jù)。

有些人最初可能會(huì)擔(dān)心AWS公司可能會(huì)等到數(shù)據(jù)為新用戶重新配置時(shí)才會(huì)刪除。然而這是最有效的,并延長(zhǎng)了固態(tài)硬盤的工作壽命。另外,不要錯(cuò)誤地假設(shè)EBS卷托管在一個(gè)物理硬盤上。AWS文檔指出,“Amazon EBS卷數(shù)據(jù)是在一個(gè)可用區(qū)域中跨多個(gè)服務(wù)器復(fù)制的,以防止任何單個(gè)組件發(fā)生故障而丟失數(shù)據(jù)。”

微軟公司高級(jí)程序經(jīng)理John Molesky發(fā)表了類似的聲明:“與硬盤上與刪除的數(shù)據(jù)相關(guān)聯(lián)的扇區(qū)立即可供重用,當(dāng)相關(guān)的存儲(chǔ)塊被重新用于存儲(chǔ)其他數(shù)據(jù)時(shí),這些扇區(qū)將被覆蓋。其覆蓋時(shí)間取決于硬盤利用率和活動(dòng),但很少超過兩天。這與日志結(jié)構(gòu)文件系統(tǒng)的操作是一致的。Azure存儲(chǔ)接口不允許直接讀取硬盤,從而降低了另一個(gè)客戶(甚至是同一個(gè)客戶)在被覆蓋之前訪問已刪除數(shù)據(jù)的風(fēng)險(xiǎn)。”

這是微軟公司在博客摘錄中提供的附加信息,因?yàn)檫@是客戶需要云服務(wù)提供商披露的信息類型。微軟公司最近聲明,即在新客戶提供數(shù)據(jù)之前,數(shù)據(jù)是不會(huì)被擦除的,并且Azure云平臺(tái)提供了額外場(chǎng)景,由于高使用率,這些高度優(yōu)化的資源在幾天內(nèi)會(huì)被自然覆蓋。

需要注意的是,谷歌云平臺(tái)也使用日志結(jié)構(gòu)的文件系統(tǒng)。希望看到所有云計(jì)算服務(wù)提供商提供這些系統(tǒng)的附加技術(shù)細(xì)節(jié)以及相關(guān)的安全含義??紤]到云計(jì)算服務(wù)提供商對(duì)其硬盤保持嚴(yán)格的物理安全性,這種數(shù)據(jù)處理對(duì)于適合存儲(chǔ)在公共云中的任何數(shù)據(jù)分類都是可以接受的。

內(nèi)部人員特權(quán)

云計(jì)算用戶期望在其整個(gè)生命周期內(nèi)對(duì)其數(shù)據(jù)進(jìn)行保護(hù),并且直到數(shù)據(jù)被銷毀無(wú)法再訪問為止。還有一些適當(dāng)?shù)谋Wo(hù)措施可以防止用戶數(shù)據(jù)在銷毀之前受到外部的攻擊,但是如何保護(hù)數(shù)據(jù)免受可信任內(nèi)部人員的侵害呢 AWS、Azure、谷歌云平臺(tái)提供的安全文檔涵蓋了適用的安全控制措施,其中包括背景審查、職責(zé)分離、監(jiān)督和特權(quán)訪問監(jiān)控等。

組織面臨的內(nèi)部威脅主要問題是員工和承包商具有豐富的系統(tǒng)知識(shí),并且可以訪問未暴露給公共云客戶的較低級(jí)別的系統(tǒng)。美國(guó)CERT國(guó)家內(nèi)部威脅中心提供詳細(xì)的指導(dǎo),云計(jì)算用戶應(yīng)該探索有哪些控制措施來保護(hù)已經(jīng)刪除并等待銷毀的數(shù)據(jù)。當(dāng)技術(shù)客戶向他們的云計(jì)算服務(wù)提供商提出試探性的問題時(shí),服務(wù)良好的云計(jì)算服務(wù)提供商將會(huì)傾聽并以越來越透明的文檔進(jìn)行回應(yīng)。

加密是一種安全控制措施,可以在應(yīng)用時(shí)緩解未經(jīng)授權(quán)的內(nèi)部人員訪問。一些用戶在聽到這個(gè)服務(wù)使用加密后就不再詢問棘手的問題。加密是一種控制訪問的技術(shù),可以控制沒有加密密鑰的人員或系統(tǒng)進(jìn)行訪問。例如,使用數(shù)據(jù)庫(kù)加密,采用數(shù)據(jù)庫(kù)管理系統(tǒng)控制密鑰控制訪問。數(shù)據(jù)庫(kù)管理員(DBA)可以直接查詢數(shù)據(jù),但數(shù)據(jù)庫(kù)使用的存儲(chǔ)系統(tǒng)的管理員只能看到密文。但是如果通過應(yīng)用程序控制密鑰,則數(shù)據(jù)庫(kù)管理員(DBA)和存儲(chǔ)系統(tǒng)管理員都能看到密文。

使用加密擦除技術(shù),加密密鑰的唯一副本將被銷毀,從而使加密的數(shù)據(jù)不可恢復(fù)。NIST特別出版物80088第1版將加密擦除視為在公共云環(huán)境中易于實(shí)施的特定參數(shù)內(nèi)的有效數(shù)據(jù)銷毀技術(shù)。

Azure文檔指出,加密對(duì)所有存儲(chǔ)帳戶都是啟用的,不能被禁用。谷歌云也是一樣。然而,在AWS云平臺(tái)中,它是S3和EBS等服務(wù)的配置選項(xiàng)。

不過,即使AWS和Azure正在使用加密擦除技術(shù)來銷毀用戶數(shù)據(jù),也未能充分利用它們。此外,通常還不清楚云計(jì)算服務(wù)提供商何時(shí)使用租戶特定的加密密鑰對(duì)其各種服務(wù)進(jìn)行靜態(tài)加密。當(dāng)特定于用戶的加密密鑰與加密擦除結(jié)合使用時(shí),只會(huì)銷毀屬于單個(gè)租戶的數(shù)據(jù)。加密擦除是覆蓋數(shù)據(jù)的一種非常有吸引力的替代方案,特別是對(duì)于在云存儲(chǔ)中擁有數(shù)百PB數(shù)據(jù)的客戶來說。

從備份中恢復(fù)數(shù)據(jù)

最后一種攻擊手段是網(wǎng)絡(luò)攻擊者試圖從數(shù)據(jù)備份中恢復(fù)敏感數(shù)據(jù)。而用戶不要以為云計(jì)算服務(wù)提供商會(huì)幫助備份數(shù)據(jù),除非合同明確規(guī)定提供這項(xiàng)服務(wù)。云計(jì)算服務(wù)提供商主要使用備份或快照技術(shù)來滿足有關(guān)數(shù)據(jù)持久性和可用性的服務(wù)級(jí)別協(xié)議。

如果需要備份數(shù)據(jù),則必須至少以與主數(shù)據(jù)存儲(chǔ)相同的安全級(jí)別保護(hù)備份。在三大云計(jì)算服務(wù)提供商中,谷歌公司的一份名為“谷歌云平臺(tái)的數(shù)據(jù)刪除”文檔提供了如何刪除過期數(shù)據(jù)的信息,以及如何在其每天/每周/每月備份周期的180天方案中輪換出來的信息。值得稱贊的是,該文檔甚至涵蓋了加密擦除在數(shù)據(jù)從所有備份中過期之前保護(hù)數(shù)據(jù)的重要作用。

毫無(wú)疑問,全球三個(gè)主要云計(jì)算服務(wù)提供商已付出巨大的努力來確保其系統(tǒng)安全。所有云計(jì)算服務(wù)提供商都必須權(quán)衡保護(hù)防止泄露過多信息的需求,同時(shí)提供足夠的透明度以維護(hù)其客戶的信任。隨著云計(jì)算用戶與他們的云計(jì)算服務(wù)提供商進(jìn)行溝通和協(xié)商,并尋求適當(dāng)信息以做出明智的風(fēng)險(xiǎn)決策,云計(jì)算服務(wù)提供商針對(duì)安全保護(hù)的解釋進(jìn)行改進(jìn)。


文章推薦
Google Play開發(fā)者最常見的九大違規(guī)行為,googleplay投訴開發(fā)者
德國(guó)超高舊收割機(jī)運(yùn)輸?shù)教旖驁?bào)關(guān),荷蘭舊收割機(jī)進(jìn)口報(bào)關(guān)服務(wù)
FB廣告投放沒效果,fb廣告投放是做什么的
Audience Network 原生、橫幅和插屏版位 視頻廣告發(fā)布指南,audience使用方法視頻


特別聲明:以上文章內(nèi)容僅代表作者本人觀點(diǎn),不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。

搜索 放大鏡
韓國(guó)平臺(tái)交流群
加入
韓國(guó)平臺(tái)交流群
掃碼進(jìn)群
歐洲多平臺(tái)交流群
加入
歐洲多平臺(tái)交流群
掃碼進(jìn)群
美國(guó)賣家交流群
加入
美國(guó)賣家交流群
掃碼進(jìn)群
ESG跨境專屬福利分享群
加入
ESG跨境專屬福利分享群
掃碼進(jìn)群
拉美電商交流群
加入
拉美電商交流群
掃碼進(jìn)群
亞馬遜跨境增長(zhǎng)交流群
加入
亞馬遜跨境增長(zhǎng)交流群
掃碼進(jìn)群
亞馬遜跨境增長(zhǎng)交流群
加入
亞馬遜跨境增長(zhǎng)交流群
掃碼進(jìn)群
拉美電商交流群
加入
拉美電商交流群
掃碼進(jìn)群
ESG獨(dú)家招商-PHH GROUP賣家交流群
加入
ESG獨(dú)家招商-PHH GROUP賣家交流群
掃碼進(jìn)群
《TikTok官方運(yùn)營(yíng)干貨合集》
《TikTok綜合運(yùn)營(yíng)手冊(cè)》
《TikTok短視頻運(yùn)營(yíng)手冊(cè)》
《TikTok直播運(yùn)營(yíng)手冊(cè)》
《TikTok全球趨勢(shì)報(bào)告》
《韓國(guó)節(jié)日營(yíng)銷指南》
《開店大全-全球合集》
《開店大全-主流平臺(tái)篇》
《開店大全-東南亞篇》
《CD平臺(tái)自注冊(cè)指南》
通過ESG入駐平臺(tái),您將解鎖
綠色通道,更高的入駐成功率
專業(yè)1v1客戶經(jīng)理服務(wù)
運(yùn)營(yíng)實(shí)操指導(dǎo)
運(yùn)營(yíng)提效資源福利
平臺(tái)官方專屬優(yōu)惠

立即登記,定期獲得更多資訊

訂閱
聯(lián)系顧問

平臺(tái)顧問

平臺(tái)顧問 平臺(tái)顧問

微信掃一掃
馬上聯(lián)系在線顧問

icon icon

小程序

微信小程序

ESG跨境小程序
手機(jī)入駐更便捷

icon icon

返回頂部

【免費(fèi)領(lǐng)取】全球跨境電商運(yùn)營(yíng)干貨 關(guān)閉
進(jìn)行中
進(jìn)行中
TikTok運(yùn)營(yíng)必備干貨包
包含8個(gè)TikTok最新運(yùn)營(yíng)指南(市場(chǎng)趨勢(shì)、運(yùn)營(yíng)手冊(cè)、節(jié)日攻略等),官方出品,專業(yè)全面!
免費(fèi)領(lǐng)取
進(jìn)行中
進(jìn)行中
韓國(guó)電商節(jié)日營(yíng)銷指南
10+韓國(guó)電商重要營(yíng)銷節(jié)點(diǎn)詳細(xì)解讀;2024各節(jié)日熱度選品助力引爆訂單增長(zhǎng);8大節(jié)日營(yíng)銷技巧輕松撬動(dòng)大促流量密碼。
免費(fèi)領(lǐng)取
進(jìn)行中
進(jìn)行中
全球平臺(tái)詳解——全球合集
涵括全球100+個(gè)電商平臺(tái)的核心信息,包括平臺(tái)精煉簡(jiǎn)介、競(jìng)爭(zhēng)優(yōu)勢(shì)、熱銷品類、入駐要求以及入駐須知等關(guān)鍵內(nèi)容。
立即領(lǐng)取
進(jìn)行中
進(jìn)行中
全球平臺(tái)詳解——主流平臺(tái)篇
火爆全球的跨境電商平臺(tái)合集,平臺(tái)優(yōu)勢(shì)、開店選品、入駐條件盡在掌握
立即領(lǐng)取
進(jìn)行中
進(jìn)行中
全球平臺(tái)詳解——拉美篇
涵蓋9大熱門拉美電商平臺(tái),成熟的市場(chǎng)是跨境賣家的熱門選擇!
立即領(lǐng)取
進(jìn)行中
進(jìn)行中
全球平臺(tái)詳解——日韓篇
涵蓋10+日韓電商平臺(tái),入駐條件一看就懂,優(yōu)勢(shì)熱銷品應(yīng)有盡有
立即領(lǐng)取
進(jìn)行中
進(jìn)行中
全球平臺(tái)詳解——?dú)W洲篇
涵蓋20+歐洲電商平臺(tái),詳細(xì)解讀優(yōu)勢(shì)、入駐條件、熱銷品等
立即領(lǐng)取