從AWS泄密事件,談云數(shù)據(jù)安全的獨(dú)立性

大數(shù)據(jù)

四年一次的美國(guó)總統(tǒng)大選,無(wú)疑是這片“自由之地”的政治盛會(huì),也是整個(gè)世界政治領(lǐng)域的聚焦點(diǎn)。隨著云計(jì)算飛速發(fā)展,更多的選民信息以及投票通過(guò)互聯(lián)網(wǎng)的形式運(yùn)作。而這份至高使命的承載者,交付于美國(guó)乃至世界認(rèn)為最安全,最頂尖的亞馬遜AWS。

或許,號(hào)稱(chēng)最安全的云服務(wù)廠商也有失誤的時(shí)候。兩個(gè)月之前,美國(guó)一家選票計(jì)算機(jī)公司證實(shí)的一則消息:在AWS上存儲(chǔ)的180萬(wàn)伊利諾伊州選民的信息被泄露,給美國(guó)公民隱私安全和選舉安全蒙上了一層陰影,也給廣大云計(jì)算服務(wù)商以及云計(jì)算服務(wù)使用者提出了一個(gè)無(wú)法回避的問(wèn)題——云端數(shù)據(jù)安全到底該由誰(shuí)來(lái)保護(hù)?云上數(shù)據(jù)安全的路在何方?如果在美國(guó)被視為圣物的“公民隱私”與“選舉公平”都在面臨威脅,那么誰(shuí)才是解決這些安全問(wèn)題的“Right Man”。

我們先來(lái)看一下導(dǎo)致這次的泄露事件的罪魁禍?zhǔn)祝?/strong>

在默認(rèn)狀態(tài)下,亞馬遜的AWS會(huì)將其托管的內(nèi)容設(shè)置為保密狀態(tài)。但是這項(xiàng)操作是可以由用戶(hù)更改的,而被泄露的選民信息極有可能是數(shù)據(jù)庫(kù)管理和設(shè)備合同商Election Systems & Software公司內(nèi)部人員有意或無(wú)意的將安全設(shè)置設(shè)為了“公開(kāi)”,從而使這180萬(wàn)的選民信息暴露在了互聯(lián)網(wǎng)上。從常規(guī)的意義上來(lái)說(shuō),亞馬遜的做法看起來(lái)并沒(méi)有什么問(wèn)題,默認(rèn)選擇是保密態(tài)存儲(chǔ),并將最終選擇權(quán)交給了用戶(hù)。但是巨大的安全隱患恰恰隱藏在這看似“沒(méi)問(wèn)題”的規(guī)則上,在數(shù)據(jù)安全領(lǐng)域中,任何偏差都將會(huì)把“大數(shù)據(jù)”變成“大問(wèn)題”!亞馬遜也普遍代表了各大云平臺(tái)廠商的想法,將控制權(quán)交給用戶(hù),責(zé)任也同時(shí)轉(zhuǎn)交給用戶(hù)?;蛟S泄露就恰恰出現(xiàn)在這個(gè)有權(quán)利的云平臺(tái)身上,也就導(dǎo)致上文所說(shuō)的“有意”或者“無(wú)意”。那這時(shí)候,正是需要一個(gè)獨(dú)立的、在云平臺(tái)與用戶(hù)之間的“隔離帶”,保護(hù)和承擔(dān)起這份數(shù)據(jù)安全的責(zé)任,這才是解決問(wèn)題的根本“答案”。

為何談及“獨(dú)立的第三方”?眾所周知,賽場(chǎng)上,無(wú)論哪個(gè)角色都無(wú)法既擔(dān)任裁判員,又充當(dāng)運(yùn)動(dòng)員。因此,無(wú)論企業(yè)認(rèn)為自己有多好,特別是數(shù)據(jù)安全,老王賣(mài)瓜的話(huà)又有多少公信力?這不是單純由技術(shù)決定的,而是角色定位先天不同。這次公民信息泄密涉及到了公民個(gè)人隱私泄露,一個(gè)處于獨(dú)立位置的“第三方”數(shù)據(jù)安全服務(wù)的在場(chǎng),才應(yīng)該是那個(gè)維護(hù)安全的裁判員?!蔼?dú)立的第三方”不會(huì)與云計(jì)算平臺(tái)涉及任何利益關(guān)聯(lián),只有這樣才能完全客觀的、公正地從安全本身出發(fā)思考問(wèn)題, 交出一份中立的、客觀的解決方案。數(shù)據(jù)安全的保護(hù),需要一個(gè)具備強(qiáng)悍能力進(jìn)行技術(shù)對(duì)抗的硬角色,而“數(shù)據(jù)安全服務(wù)商”代表了其在數(shù)據(jù)安全方面專(zhuān)業(yè)性,無(wú)論是技術(shù)的掌握還是經(jīng)驗(yàn)的積累都具備一定的優(yōu)勢(shì),更有“資格”與“能力”來(lái)解決這個(gè)問(wèn)題。好比足球比賽,不會(huì)請(qǐng)雙方的球員或者工作人員“兼職”比賽裁判,而是會(huì)請(qǐng)專(zhuān)業(yè)的裁判執(zhí)法比賽,在中超賽場(chǎng)上更會(huì)請(qǐng)外籍裁判組來(lái)執(zhí)法比賽,緣何?看中的就是“獨(dú)立”與“專(zhuān)業(yè)”。蒼天大樹(shù)高百尺,仍需要啄木鳥(niǎo)來(lái)醫(yī)蟲(chóng)。鱷魚(yú)作為活化石進(jìn)化了千年,仍需要鳥(niǎo)類(lèi)清潔牙齒。從云計(jì)算行業(yè)出發(fā),直至自然界的平衡,“獨(dú)立的第三方”都是維持安全健康發(fā)展的關(guān)鍵。

因?yàn)橛凶銐蜃杂傻臋?quán)限,將選民數(shù)據(jù)設(shè)為“公開(kāi)”狀態(tài)的Election Systems & Software使這些數(shù)據(jù)脫離了亞馬遜的控制范圍。自此,不再受亞馬遜控制的數(shù)據(jù)便可由用戶(hù)意愿肆意行動(dòng),直到亞馬遜發(fā)現(xiàn)后,整個(gè)泄露事件早已不受控制。作為獨(dú)立的第三方數(shù)據(jù)安全服務(wù)商——安華金和認(rèn)為,如果有第三方數(shù)據(jù)安全服務(wù)商為亞馬遜提供更為優(yōu)秀的備份文件加密能力,或者將事件中的“公開(kāi)”狀態(tài)轉(zhuǎn)化為 “更為細(xì)粒度的”、“更為嚴(yán)格的”、“更為可控”的“安全公開(kāi)”,提供更為細(xì)致的數(shù)據(jù)存儲(chǔ)與共享的權(quán)限控制與告警規(guī)則。而非像亞馬遜這種一切交給客戶(hù)決定的“粗粒度”控制,那么這場(chǎng)選民信息泄露的事件也許不會(huì)上演

安華金和作為獨(dú)立的第三方數(shù)據(jù)安全服務(wù)提供商,我們同樣會(huì)把重要的決定交給用戶(hù)來(lái)定奪。安華金和的角色在于,給數(shù)據(jù)加了一層無(wú)形的鎧甲,即保護(hù)著用戶(hù)數(shù)據(jù)在云端的私密性,又讓用戶(hù)擁有充分的控制權(quán)。這份專(zhuān)注的背后是安華金和經(jīng)過(guò)九年發(fā)展后化繁為簡(jiǎn)的“沉淀”,其背后有一整套細(xì)粒度的權(quán)限控制與告警、應(yīng)急策略。只有專(zhuān)業(yè)數(shù)據(jù)安全的行業(yè)翹楚,才是用戶(hù)可托付的依靠,云計(jì)算廠商的保護(hù)傘。

廣大云計(jì)算服務(wù)商,面對(duì)從線(xiàn)下IDC機(jī)房到線(xiàn)上云計(jì)算服務(wù)器如影隨形的數(shù)據(jù)安全問(wèn)題,難免由于其技術(shù)的瓶頸或經(jīng)驗(yàn)的缺失,無(wú)法做到萬(wàn)無(wú)一失。云數(shù)據(jù)安全問(wèn)題也是妨礙傳統(tǒng)行業(yè)、政府機(jī)關(guān)“上云”的“最后一根稻草”。而為了順應(yīng)科技的發(fā)展和市場(chǎng)的需求,獨(dú)立于云計(jì)算平臺(tái)的第三方數(shù)據(jù)安全服務(wù)商將進(jìn)入云計(jì)算領(lǐng)域,形成“獨(dú)立的第三方數(shù)據(jù)安全服務(wù)提供商——云計(jì)算平臺(tái)——用戶(hù)”這樣的鐵三角,術(shù)業(yè)有專(zhuān)攻,聞道有先后,保障云計(jì)算更為便捷的發(fā)展,保證云數(shù)據(jù)更為安全的使用,是包括安華金和在內(nèi)的任何第三方數(shù)據(jù)安全服務(wù)商義不容辭的責(zé)任。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。

2017-11-02
從AWS泄密事件,談云數(shù)據(jù)安全的獨(dú)立性
四年一次的美國(guó)總統(tǒng)大選,無(wú)疑是這片“自由之地”的政治盛會(huì),也是整個(gè)世界政治領(lǐng)域的聚焦點(diǎn)。隨著云計(jì)算飛速發(fā)展,更多的選民信息以及投票通過(guò)互聯(lián)網(wǎng)的形式運(yùn)作。而這份至

長(zhǎng)按掃碼 閱讀全文