部署备份即服务的时候有哪些安全考虑?是否有我们应该设置的具体控制或者要求服务提供商提供的来确保我们的数据安全?
备份即服务吸引了很多企业。至少乍一看,有人会执行备份操作,并且保障你的数据安全。但是在进入备份即服务之前,要确保你的企业有合适的控制和协议。
首先,在备份到第三方之前要考虑你的加密数据需求。在数据离开你的网络之前,你是否需要法规或者其他的策略确保部分或者全部数据加密?是否所有的数据都应该加密或者只有私有的或者敏感的数据应该加密?如果是后者,你对于你的数据分类规程是否足够自信,从而确保没有私有或者敏感数据被遗忘没有实现加密?
如果你的备份服务是必须要做的,这可能是你要被迫合法的移交你的数据。如果这个数据是加密的,而且只有你拥有解密(私有)密钥,然而备份服务就只能移交加密数据。一些企业,比如律师事务所,客户信息是机密可能需要考虑这种场景。
除了保护机密数据,安全团队必须处理数据完整性和可用性。要考虑你将如何核实备份的完整性;定期测试恢复能够帮助减少发现坏掉的备份的风险。
至于可用性,确保同你的备份服务提供商定义恢复点目标以及恢复时间目标。恢复点目标是过去的一个点,有最后一次备份的时间。在那个时间点后,数据可能丢失。一些业务操作可能需要恢复前一天数据,而别的可能需要恢复上一个小时甚至更少时间的数据。此外,一些业务操作可能要求比其他的业务操作更长的冗余恢复时间目标。
任何云服务都应该很好地定义服务水平协议(SLA);其中应该包括性能协议和当SLA失效的客户补偿。
本文作者:张培颖
来源:51CTO
