從AWS泄密事件,談云數(shù)據(jù)安全的獨立性

大數(shù)據(jù)

四年一次的美國總統(tǒng)大選,無疑是這片“自由之地”的政治盛會,也是整個世界政治領域的聚焦點。隨著云計算飛速發(fā)展,更多的選民信息以及投票通過互聯(lián)網(wǎng)的形式運作。而這份至高使命的承載者,交付于美國乃至世界認為最安全,最頂尖的亞馬遜AWS。

或許,號稱最安全的云服務廠商也有失誤的時候。兩個月之前,美國一家選票計算機公司證實的一則消息:在AWS上存儲的180萬伊利諾伊州選民的信息被泄露,給美國公民隱私安全和選舉安全蒙上了一層陰影,也給廣大云計算服務商以及云計算服務使用者提出了一個無法回避的問題——云端數(shù)據(jù)安全到底該由誰來保護?云上數(shù)據(jù)安全的路在何方?如果在美國被視為圣物的“公民隱私”與“選舉公平”都在面臨威脅,那么誰才是解決這些安全問題的“Right Man”。

我們先來看一下導致這次的泄露事件的罪魁禍首:

在默認狀態(tài)下,亞馬遜的AWS會將其托管的內(nèi)容設置為保密狀態(tài)。但是這項操作是可以由用戶更改的,而被泄露的選民信息極有可能是數(shù)據(jù)庫管理和設備合同商Election Systems & Software公司內(nèi)部人員有意或無意的將安全設置設為了“公開”,從而使這180萬的選民信息暴露在了互聯(lián)網(wǎng)上。從常規(guī)的意義上來說,亞馬遜的做法看起來并沒有什么問題,默認選擇是保密態(tài)存儲,并將最終選擇權交給了用戶。但是巨大的安全隱患恰恰隱藏在這看似“沒問題”的規(guī)則上,在數(shù)據(jù)安全領域中,任何偏差都將會把“大數(shù)據(jù)”變成“大問題”!亞馬遜也普遍代表了各大云平臺廠商的想法,將控制權交給用戶,責任也同時轉交給用戶?;蛟S泄露就恰恰出現(xiàn)在這個有權利的云平臺身上,也就導致上文所說的“有意”或者“無意”。那這時候,正是需要一個獨立的、在云平臺與用戶之間的“隔離帶”,保護和承擔起這份數(shù)據(jù)安全的責任,這才是解決問題的根本“答案”。

為何談及“獨立的第三方”?眾所周知,賽場上,無論哪個角色都無法既擔任裁判員,又充當運動員。因此,無論企業(yè)認為自己有多好,特別是數(shù)據(jù)安全,老王賣瓜的話又有多少公信力?這不是單純由技術決定的,而是角色定位先天不同。這次公民信息泄密涉及到了公民個人隱私泄露,一個處于獨立位置的“第三方”數(shù)據(jù)安全服務的在場,才應該是那個維護安全的裁判員?!蔼毩⒌牡谌健辈粫c云計算平臺涉及任何利益關聯(lián),只有這樣才能完全客觀的、公正地從安全本身出發(fā)思考問題, 交出一份中立的、客觀的解決方案。數(shù)據(jù)安全的保護,需要一個具備強悍能力進行技術對抗的硬角色,而“數(shù)據(jù)安全服務商”代表了其在數(shù)據(jù)安全方面專業(yè)性,無論是技術的掌握還是經(jīng)驗的積累都具備一定的優(yōu)勢,更有“資格”與“能力”來解決這個問題。好比足球比賽,不會請雙方的球員或者工作人員“兼職”比賽裁判,而是會請專業(yè)的裁判執(zhí)法比賽,在中超賽場上更會請外籍裁判組來執(zhí)法比賽,緣何?看中的就是“獨立”與“專業(yè)”。蒼天大樹高百尺,仍需要啄木鳥來醫(yī)蟲。鱷魚作為活化石進化了千年,仍需要鳥類清潔牙齒。從云計算行業(yè)出發(fā),直至自然界的平衡,“獨立的第三方”都是維持安全健康發(fā)展的關鍵。

因為有足夠自由的權限,將選民數(shù)據(jù)設為“公開”狀態(tài)的Election Systems & Software使這些數(shù)據(jù)脫離了亞馬遜的控制范圍。自此,不再受亞馬遜控制的數(shù)據(jù)便可由用戶意愿肆意行動,直到亞馬遜發(fā)現(xiàn)后,整個泄露事件早已不受控制。作為獨立的第三方數(shù)據(jù)安全服務商——安華金和認為,如果有第三方數(shù)據(jù)安全服務商為亞馬遜提供更為優(yōu)秀的備份文件加密能力,或者將事件中的“公開”狀態(tài)轉化為 “更為細粒度的”、“更為嚴格的”、“更為可控”的“安全公開”,提供更為細致的數(shù)據(jù)存儲與共享的權限控制與告警規(guī)則。而非像亞馬遜這種一切交給客戶決定的“粗粒度”控制,那么這場選民信息泄露的事件也許不會上演

安華金和作為獨立的第三方數(shù)據(jù)安全服務提供商,我們同樣會把重要的決定交給用戶來定奪。安華金和的角色在于,給數(shù)據(jù)加了一層無形的鎧甲,即保護著用戶數(shù)據(jù)在云端的私密性,又讓用戶擁有充分的控制權。這份專注的背后是安華金和經(jīng)過九年發(fā)展后化繁為簡的“沉淀”,其背后有一整套細粒度的權限控制與告警、應急策略。只有專業(yè)數(shù)據(jù)安全的行業(yè)翹楚,才是用戶可托付的依靠,云計算廠商的保護傘。

廣大云計算服務商,面對從線下IDC機房到線上云計算服務器如影隨形的數(shù)據(jù)安全問題,難免由于其技術的瓶頸或經(jīng)驗的缺失,無法做到萬無一失。云數(shù)據(jù)安全問題也是妨礙傳統(tǒng)行業(yè)、政府機關“上云”的“最后一根稻草”。而為了順應科技的發(fā)展和市場的需求,獨立于云計算平臺的第三方數(shù)據(jù)安全服務商將進入云計算領域,形成“獨立的第三方數(shù)據(jù)安全服務提供商——云計算平臺——用戶”這樣的鐵三角,術業(yè)有專攻,聞道有先后,保障云計算更為便捷的發(fā)展,保證云數(shù)據(jù)更為安全的使用,是包括安華金和在內(nèi)的任何第三方數(shù)據(jù)安全服務商義不容辭的責任。

極客網(wǎng)企業(yè)會員

免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。

2017-11-02
從AWS泄密事件,談云數(shù)據(jù)安全的獨立性
四年一次的美國總統(tǒng)大選,無疑是這片“自由之地”的政治盛會,也是整個世界政治領域的聚焦點。隨著云計算飛速發(fā)展,更多的選民信息以及投票通過互聯(lián)網(wǎng)的形式運作。而這份至

長按掃碼 閱讀全文