内容概述:
云计算中的数据安全。云安全中最大的问题之一是数据保护。该模块涵盖了云的信息生命周期管理以及如何应用安全控制,重点关注公共云。主题包括数据安全生命周期、云存储模型、不同交付模型的数据安全问题以及管理云中的加密,包括客户托管的密码(BYOK)。
知识架构图:
云计算的数据安全域包括(源自于:CSA云安全指南-M4):
**一、云数据存储 & 将数据迁入云中
**
由于云存储是虚拟化的,它支持不同于传统存储技术的不同数据存储类型,常见的存储类包括:对象存储、卷存储、数据库、应用程序/平台(如,CDN)
检测实际迁移监视云使用情况和任何数据传输,一般用到以下工具:CASB、URL过滤、DLP
根据云平台支持的内容,有几种可用于中转加密的选项。一种方法是在发送到云端之前进行加密(客户端加密)。网络加密(TLS / SFTP /等)是另一种选择
二、保护云中数据
云数据访问控制至少可以在三个层面执行:管理平面、公共和内部共享控制、应用程序级别控制。
访问控制选项根据云服务模型和提供商特定功能而有所不同。一般基于平台特定的功能创建一个权限矩阵,这个矩阵记录了用户、组和角色应该访问哪些资源和功能。
加密系统有三个组成部分:数据、加密引擎和密钥管理。数据是您要加密的信息;引擎是加密的数学过程;密钥管理器处理加密密钥。系统的整体设计重点聚焦于每个部件放在哪里。
IaaS加密的方法有:卷存储加密、对象加密和文件存储加密;PaaS加密的方法有:应用层加密、数据库加密、其他加密(如消息队列);SaaS加密的方法有:提供商管理的加密、代理加密。
密钥管理的主要考虑因素是性能、可访问性、延迟和安全性。处理密钥管理有四个潜在的选择:HSM/设备、虚拟设备/软件、云提供商服务、混合。
三、其他数据安全选项
云上应用架构影响数据安全,云提供商提供的功能可以减少攻击面,但确保要求强大的元结构安全性。
云数据监控、审计和告警应该与整体云监控相结合。
云平台或提供商可能具有不在本域其他地方覆盖的数据安全控制。
数据丢失防护(DLP)是通过监视本地系统、网络、电子邮件和其他流量来监控和保护员工访问的数据的方法,在云中一般通过以下方法来提供:CASB(云访问和安全代理)、云提供商功能。
完全DRM:这是使用现有工具的传统全数字版权管理。基于提供者的控制:通过使用本地功能,云平台可能能够强制执行与完全DRM相似的控制。
数据屏蔽和测试数据生成是保护在开发和测试环境中使用的数据的技术,或限制对应用程序中数据的实时访问。
四、云信息治理
数据治理的定义:确保数据和信息的使用遵循组织的策略、标准和战略- —包括监管、合同和商业目标。
存储在云中的数据在信息和数据治理需求方面遇到的影响来自很多方面,包括:多租户、共享的安全责任、管辖边界和数据主权、适用性规则和隐私政策、销毁和删除数据。
云计算对数据治理域产生影响包括:信息分级、信息管理策略、属地和管辖政策、授权、所有权、保管、隐私、合同控制、安全控制。
生命周期包括从创造到废弃的六个阶段,需要使用数据安全生命周期帮助数据处理和控制进行建模。
在数据迁移到云上时,需要对数据结构和生命周期进行重新思考和重新构建,而不是搁置和平移现有的数据架构。
测一测,看看您掌握了多少?
M4:云计算的数据安全域的相关测试:https://jinshuju.net/f/8vzFGH
