傳統上, 存儲和安全在IT部門中是相互獨立的學科。 雖然在資料中心中這兩個團隊會有一些重疊的關注點, 並且在一些項目上一起工作, 但它們在很大程度上是截然不同的。
現在, 這種模式正在發生變化。 Sels、達美航空、Panera Bread、Saks Fifth Avenue、Lord&Taylor、MyFitnessPal、Orbitz、聯邦快遞等一些知名公司的安全性漏洞持續不斷的消息讓企業IT領導者非常關注自己面臨的風險。
許多人正在採用DevSecOps, 而這種方法可以使組織中的每個人都對安全負責。 對於存儲專業人員來說, 這意味著需要更加關注資料存儲安全性。
什麼是資料存儲安全?
資料存儲安全性是IT安全領域的一個子集,
而存儲網路行業協會(SNIA)詞典則提供了資料存儲安全性的定義:
存儲安全:應用物理、技術和管理控制來保護存儲系統和基礎設施以及存儲在其中的資料。 存儲安全專注於保護資料(及其存儲基礎設施), 防止未經授權的洩露、修改或破壞, 同時確保授權使用者的可用性。 這些控制措施可能是預防性的、偵查性的、糾正性的、威懾性的、恢復性的或補償性的。
SNIA還指出, 安全存儲“也可能是針對對手的最後一道防線, 但前提是存儲管理人員和管理員花費時間和精力實施和啟動可用的存儲安全控制。 ”
對於存儲管理人員和管理員來說, 確保正確的資料存儲安全性是一個謹慎的平衡行為。
同時, 他們需要非常瞭解成本和資料的價值。 沒有人希望資料存儲安全系統最終比他們所保護的資料價值更加昂貴。 然而, 組織也需要有足夠強的安全系統進行保護, 這就要求潛在的攻擊者花費更多的時間和資源, 而不是資料最終的價值。
資料安全與資料保護
存儲安全和資料安全與資料保護密切相關。 資料安全主要包括防止將私人資訊洩露給未經授權的人。
資料保護更關注的是確保資料在惡性事件發生後保持可用, 這些事件例如系統或元件故障, 甚至自然災害。
而為了確保資訊的可靠性和可用性, 以及需要從可能威脅組織資料的任何事件中恢復過來, 資料安全和資料保護這二者的共同需求重疊。 存儲專業人員經常發現他們自己同時處理資料安全和資料保護問題, 並且採用一些相同的最佳實踐可以幫助解決這兩個問題。
資料安全和資料保護顯然是重疊的問題
資料存儲安全的關鍵驅動因素
最近的一些趨勢正在增加企業對資料安全的興趣。 它們包括以下內容:
•資料增長 - 據調研機構IDC稱, 全球電腦系統存儲的資料量每兩年大約翻一番。 對於企業來說, 這意味著不斷需要添加新的存放裝置以滿足業務需求。 而隨著存儲量的增長, 它們作為目標變得更有價值, 並且更難以保護。
•網路攻擊增長 – Verizon公司2018年資料洩露調查報告表明,
•資料洩露的成本 - 資料洩露恢復成本非常高昂。 波洛蒙研究所對2017年資料洩露成本的調查研究中發現, 在2017年發生的安全事件中, 發生違規事件的企業平均每個事件損失約為362萬美元, 這些費用可以成為提高資料安全性的強大壓力。
•無邊界網路 - 由於像雲計算和物聯網(IoT)這樣的新興技術的發展, 企業現在的資料分佈比以往更多、更廣泛。 企業網路不再具有組織可以採用防火牆定義和保護的硬性優勢。 相反,他們必須更加深入地依靠深度防禦,包括存儲安全來保護他們的資訊。
•規例 - 政府部門對資料安全越來越感興趣,並因此制定了更強大的法律。歐盟的一般資料保護條例(GDPR)將於2018年5月25日生效,這迫使在全球經營的企業採取更強有力的措施保護客戶隱私,同時也會影響存儲安全。
•需要業務連續性 - 2017年是美國自然災害創紀錄的一年,突出了業務連續性和災難恢復能力的需求。這推動了對安全備份和其他存儲安全技術的需求。
•DevSecOps方法 - 據調研機構Forrester稱,63%的組織已經實施了DevOps,另有27%計畫這樣做。隨著DevOps的發展,越來越多的企業開始對其越來越感興趣,DevSecOps將安全整合到方法中,並在整個組織中傳播安全責任,其中包括資料存儲團隊。
存儲系統的漏洞
資料存儲安全性的另一個重要推動因素是存儲系統固有的漏洞。它們包括以下內容:
•缺乏加密 - 儘管一些高端NAS和SAN設備包含自動加密功能,但市場上的許多產品並不包含這些功能。這意味著組織需要安裝單獨的軟體或加密設備,以確保其資料已加密。
•雲存儲 - 越來越多的企業選擇將部分或全部資料存儲在雲中。儘管有人認為雲存儲比內部部署的存儲更安全,但雲計算增加了存儲環境的複雜性,並且通常需要存儲人員學習新工具,並實施新程式,以確保資料得到充分保護。
•不完整的資料銷毀 - 從硬碟或其他存儲介質中刪除資料時,可能會留下可能導致未經授權的人員恢復該資訊的痕跡。存儲管理人員和管理者需要確保從存儲中刪除的任何資料都被覆蓋,以至於無法恢復。
•缺乏物理安全性 - 有些組織對其存放裝置的物理安全性沒有足夠的重視。在某些情況下,他們沒有考慮到內部人員(例如員工或清潔團隊的成員)可能能夠訪問物理存放裝置,並提取資料,從而繞過所有精心策劃的基於網路的安全措施的情況。
資料安全最佳實踐
為了應對這些技術趨勢並處理其存儲系統固有的安全性漏洞,專家建議組織實施以下資料最佳安全實踐:
1.資料存儲安全性原則 - 企業應該制定書面策略,為其擁有的不同類型的資料指定適當的安全級別。顯然,公共資料所需要的安全性遠遠低於限制或機密資料,組織需要有適當的安全模型、過程和工具來實施適當的保護措施。這些策略還包括應該在組織的存放裝置上部署的安全措施的詳細資訊。
2.存取控制 - 基於角色的存取控制是安全資料存儲系統的必備條件,在某些情況下,多因素認證可能是合適的。管理員還應確保更改其存放裝置上的任何預設密碼,並強制使用者使用強式密碼。
3.加密 - 資料在傳輸過程中以及在存儲系統中靜止時都應該加密。存儲管理員還需要有一個安全的金鑰管理系統來跟蹤他們的加密金鑰。
4.資料丟失預防 - 許多專家認為僅靠加密不足以提供全面的資料安全。他們建議組織還部署資料丟失防護(DLP)解決方案,以幫助查找和阻止正在進行的任何攻擊。
5.強大的網路安全性 - 存儲系統並不存在於真空中,它們應該被強大的網路安全系統所包圍,例如防火牆、反惡意軟體防護、安全閘道、入侵偵測系統,以及可能的高級分析和基於機器學習的安全解決方案。這些措施應該可以防止大多數網路攻擊者獲得對存放裝置的存取權限。
6.強大的端點安全性 - 同樣,組織也需要確保他們在個人電腦、智慧手機和其他訪問存儲資料的設備上擁有適當的安全措施。這些端點(尤其是移動設備)可能會成為組織網路攻擊的薄弱環節。
7.冗餘性 - 包括RAID技術在內的冗餘存儲不僅有助於提高可用性和性能,在某些情況下還可以説明組織緩解安全事件。
8.備份和恢復 - 一些成功的惡意軟體或勒索軟體攻擊如此完全地破壞企業網路,唯一的恢復方法是從備份恢復。存儲管理人員需要確保他們的備份系統和流程適合這些類型的事件以及災難恢復的目的。另外,他們需要確保備份系統與主系統具有相同的資料安全級別。
8個資料安全最佳實踐1編寫並執行包含資料安全模型的資料安全性原則2在適當的情況下實施基於角色的存取控制並使用多因素身份驗證3加密傳輸中和靜止的資料4部署資料丟失預防解決方案5針對存放裝置採用強大的網路安全措施6以適當的端點安全保護使用者設備7通過RAID和其他技術提供存儲冗余8使用安全的備份和恢復解決方案 相反,他們必須更加深入地依靠深度防禦,包括存儲安全來保護他們的資訊。•規例 - 政府部門對資料安全越來越感興趣,並因此制定了更強大的法律。歐盟的一般資料保護條例(GDPR)將於2018年5月25日生效,這迫使在全球經營的企業採取更強有力的措施保護客戶隱私,同時也會影響存儲安全。
•需要業務連續性 - 2017年是美國自然災害創紀錄的一年,突出了業務連續性和災難恢復能力的需求。這推動了對安全備份和其他存儲安全技術的需求。
•DevSecOps方法 - 據調研機構Forrester稱,63%的組織已經實施了DevOps,另有27%計畫這樣做。隨著DevOps的發展,越來越多的企業開始對其越來越感興趣,DevSecOps將安全整合到方法中,並在整個組織中傳播安全責任,其中包括資料存儲團隊。
存儲系統的漏洞
資料存儲安全性的另一個重要推動因素是存儲系統固有的漏洞。它們包括以下內容:
•缺乏加密 - 儘管一些高端NAS和SAN設備包含自動加密功能,但市場上的許多產品並不包含這些功能。這意味著組織需要安裝單獨的軟體或加密設備,以確保其資料已加密。
•雲存儲 - 越來越多的企業選擇將部分或全部資料存儲在雲中。儘管有人認為雲存儲比內部部署的存儲更安全,但雲計算增加了存儲環境的複雜性,並且通常需要存儲人員學習新工具,並實施新程式,以確保資料得到充分保護。
•不完整的資料銷毀 - 從硬碟或其他存儲介質中刪除資料時,可能會留下可能導致未經授權的人員恢復該資訊的痕跡。存儲管理人員和管理者需要確保從存儲中刪除的任何資料都被覆蓋,以至於無法恢復。
•缺乏物理安全性 - 有些組織對其存放裝置的物理安全性沒有足夠的重視。在某些情況下,他們沒有考慮到內部人員(例如員工或清潔團隊的成員)可能能夠訪問物理存放裝置,並提取資料,從而繞過所有精心策劃的基於網路的安全措施的情況。
資料安全最佳實踐
為了應對這些技術趨勢並處理其存儲系統固有的安全性漏洞,專家建議組織實施以下資料最佳安全實踐:
1.資料存儲安全性原則 - 企業應該制定書面策略,為其擁有的不同類型的資料指定適當的安全級別。顯然,公共資料所需要的安全性遠遠低於限制或機密資料,組織需要有適當的安全模型、過程和工具來實施適當的保護措施。這些策略還包括應該在組織的存放裝置上部署的安全措施的詳細資訊。
2.存取控制 - 基於角色的存取控制是安全資料存儲系統的必備條件,在某些情況下,多因素認證可能是合適的。管理員還應確保更改其存放裝置上的任何預設密碼,並強制使用者使用強式密碼。
3.加密 - 資料在傳輸過程中以及在存儲系統中靜止時都應該加密。存儲管理員還需要有一個安全的金鑰管理系統來跟蹤他們的加密金鑰。
4.資料丟失預防 - 許多專家認為僅靠加密不足以提供全面的資料安全。他們建議組織還部署資料丟失防護(DLP)解決方案,以幫助查找和阻止正在進行的任何攻擊。
5.強大的網路安全性 - 存儲系統並不存在於真空中,它們應該被強大的網路安全系統所包圍,例如防火牆、反惡意軟體防護、安全閘道、入侵偵測系統,以及可能的高級分析和基於機器學習的安全解決方案。這些措施應該可以防止大多數網路攻擊者獲得對存放裝置的存取權限。
6.強大的端點安全性 - 同樣,組織也需要確保他們在個人電腦、智慧手機和其他訪問存儲資料的設備上擁有適當的安全措施。這些端點(尤其是移動設備)可能會成為組織網路攻擊的薄弱環節。
7.冗餘性 - 包括RAID技術在內的冗餘存儲不僅有助於提高可用性和性能,在某些情況下還可以説明組織緩解安全事件。
8.備份和恢復 - 一些成功的惡意軟體或勒索軟體攻擊如此完全地破壞企業網路,唯一的恢復方法是從備份恢復。存儲管理人員需要確保他們的備份系統和流程適合這些類型的事件以及災難恢復的目的。另外,他們需要確保備份系統與主系統具有相同的資料安全級別。
8個資料安全最佳實踐1編寫並執行包含資料安全模型的資料安全性原則2在適當的情況下實施基於角色的存取控制並使用多因素身份驗證3加密傳輸中和靜止的資料4部署資料丟失預防解決方案5針對存放裝置採用強大的網路安全措施6以適當的端點安全保護使用者設備7通過RAID和其他技術提供存儲冗余8使用安全的備份和恢復解決方案