《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 數(shù)據(jù)蔓延:云數(shù)據(jù)挑戰(zhàn)

數(shù)據(jù)蔓延:云數(shù)據(jù)挑戰(zhàn)

2021-08-28
來(lái)源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心

  用于存儲(chǔ)和管理數(shù)據(jù)的傳統(tǒng)安全方法已經(jīng)不足以滿足當(dāng)今云世界的需求。為什么?云與敏捷云開(kāi)發(fā)勢(shì)不可擋的力量正在推動(dòng)企業(yè)構(gòu)建、部署和運(yùn)行應(yīng)用程序的方式發(fā)生重大變化。因此,當(dāng)今的運(yùn)營(yíng)需求要求對(duì)數(shù)據(jù)的管理和保護(hù)方式進(jìn)行范式轉(zhuǎn)變。

  數(shù)據(jù)蔓延(也稱(chēng)為數(shù)據(jù)傳播/分散)是利用云服務(wù)的組織面臨的最大挑戰(zhàn)之一。事實(shí)上,根據(jù)CSC 的一項(xiàng)研究,只有 33% 的組織能夠在所有云中維護(hù)其數(shù)據(jù)的單一視圖,并且只有 60% 可以安全地在云提供商之間共享數(shù)據(jù)。

  為了應(yīng)對(duì)云數(shù)據(jù)蔓延的挑戰(zhàn),組織必須實(shí)施一種數(shù)據(jù)控制策略,以幫助從一個(gè)地方管理多個(gè)應(yīng)用程序和云存儲(chǔ)提供商。在云環(huán)境中,制定數(shù)據(jù)管理計(jì)劃尤為必要,以便在所有云環(huán)境中擁有單一的數(shù)據(jù)視圖,并確保只有經(jīng)過(guò)授權(quán)的身份才能查看和使用特定信息。

  在數(shù)據(jù)得到控制之前,企業(yè)可能會(huì)花費(fèi)大量時(shí)間和金錢(qián)來(lái)減輕負(fù)面后果。事實(shí)上,他們平均可以在五年內(nèi)花費(fèi) 1600 萬(wàn)美元來(lái)管理數(shù)據(jù)蔓延。為了降低這種風(fēng)險(xiǎn),IT 領(lǐng)導(dǎo)者應(yīng)該了解四個(gè)非常重要的注意事項(xiàng)。

  傳統(tǒng)數(shù)據(jù)中心幾乎消亡

  Gartner 假設(shè),到 2025 年,80% 的企業(yè)將關(guān)閉其傳統(tǒng)數(shù)據(jù)中心。事實(shí)上,10% 的組織已經(jīng)擁有其云數(shù)據(jù)中心。許多組織正在根據(jù)網(wǎng)絡(luò)延遲、客戶群和地緣政治限制重新考慮應(yīng)用程序的放置——例如,歐盟的通用數(shù)據(jù)保護(hù)條例 (GDPR) 或監(jiān)管限制。

  由于高資本成本,擁有舊數(shù)據(jù)中心的企業(yè)不想重建或建立新的數(shù)據(jù)中心。他們寧愿讓其他人管理物理基礎(chǔ)設(shè)施。Gartner 的 IT Key Metrics 數(shù)據(jù)顯示,過(guò)去幾年,用于數(shù)據(jù)中心的 IT 預(yù)算占 IT 預(yù)算的百分比有所下降,現(xiàn)在僅占總數(shù)的 17%。

  根據(jù)2020 IDG 云計(jì)算研究,92% 的公司已經(jīng)采用了云技術(shù)。IDG 分析預(yù)測(cè),云技術(shù)將繼續(xù)積極轉(zhuǎn)變,并預(yù)測(cè)在 18 個(gè)月內(nèi),SaaS 將有 95% 的公司使用,IaaS 為 83%,PaaS 為 73%。還預(yù)測(cè)云計(jì)算預(yù)算正在增加,因?yàn)轭A(yù)計(jì)未來(lái) 12 個(gè)月內(nèi)將有 32% 的 IT 預(yù)算分配給云計(jì)算。

  如今,基礎(chǔ)設(shè)施和運(yùn)營(yíng) (I&O) 領(lǐng)導(dǎo)者面臨著艱巨的挑戰(zhàn)。他們已經(jīng)了解了幾十年的 IT 正在發(fā)生根本性的變化。在本地工作的傳統(tǒng)安全方法不再適用于云。

  云和云帳戶將成倍增加

  RightScale表示,80% 的云公司都采用了多云戰(zhàn)略,使用多個(gè)供應(yīng)商,如亞馬遜、微軟、谷歌、IBM、甲骨文和阿里巴巴。此外,創(chuàng)建云帳戶的便捷性和優(yōu)勢(shì)確保擁有多個(gè) AWS 或 GCP 云帳戶或 Azure 訂閱成為常態(tài)。企業(yè)擁有數(shù)百個(gè)甚至數(shù)千個(gè)云帳戶并不罕見(jiàn)。

  我們還不知道每個(gè)企業(yè)在這么多不同的云上運(yùn)行多少計(jì)算能力,但讓我們做一些粗略的數(shù)學(xué)計(jì)算:

  大多數(shù)企業(yè)擁有數(shù)百個(gè) AWS 賬戶,許多企業(yè)擁有超過(guò) 1000 個(gè)(甚至 10,000 個(gè))。我看到的數(shù)字表明,財(cái)富 500 強(qiáng)公司中有 83% 是公共云的消費(fèi)者。如果是這樣,那么這意味著截至今天,全球大約有 130,000 個(gè)企業(yè)規(guī)模的 AWS 云帳戶,這些帳戶僅在 AWS 中運(yùn)行就構(gòu)成了大量實(shí)例。

  每個(gè)公司也有至少一個(gè) Google VM 或 Compute Engine 實(shí)例的可能性也很大。我看到的數(shù)字表明,財(cái)富 500 強(qiáng)中有 49% 也是 Google Cloud Platform (GCP) 的用戶。我認(rèn)為可以安全地假設(shè),如果企業(yè)擁有 AWS 賬戶,那么他們就有一個(gè) GCP 賬戶。能夠使用多個(gè)云是公司在需要時(shí)擴(kuò)展其容量的同時(shí)利用一些冗余的一種方式。

  如果我們做一些簡(jiǎn)單的數(shù)學(xué)計(jì)算:根據(jù)一組估計(jì),來(lái)自?xún)蓚€(gè)提供商的 130,000 x 2 = 260,000 個(gè)云帳戶總數(shù)可能比這個(gè)數(shù)字多得多。這些只是帳戶,我們甚至還沒(méi)有觸及云中身份數(shù)量的表面層級(jí)。

  任何閱讀本文的人也可能很好地猜測(cè)有多少云帳戶來(lái)自他們自己的公司,因此我們甚至不要嘗試估計(jì)單個(gè)組織的員工可能有權(quán)訪問(wèn)的身份數(shù)量。我們只會(huì)說(shuō)“讓它成為一百萬(wàn)”。

  創(chuàng)新催生了許多新的數(shù)據(jù)儲(chǔ)

  選擇有限的可管理數(shù)據(jù)存儲(chǔ)(例如 Oracle、IBM 和 MS SQL)的日子已經(jīng)一去不復(fù)返了。敏捷云開(kāi)發(fā)方面的創(chuàng)新導(dǎo)致新數(shù)據(jù)存儲(chǔ)選項(xiàng)激增,團(tuán)隊(duì)使用 Amazon MongoDB、Elasticsearch、CouchDB、Cassandra、Dynamo DB、HashiCorp Vault 等等。將這些添加到 AWS S3 和 Azure Blob 等對(duì)象存儲(chǔ)中,不言而喻,新的企業(yè)基礎(chǔ)設(shè)施沒(méi)有“數(shù)據(jù)中心”的物理或邏輯概念。

  臨時(shí)計(jì)算會(huì)覆蓋您的數(shù)據(jù)

  對(duì)于容器編排,容器的典型生命周期為12小時(shí)。無(wú)服務(wù)器功能——已經(jīng)被22%的公司采用——在幾秒鐘內(nèi)來(lái)去匆匆。數(shù)據(jù)是數(shù)字時(shí)代的石油,但在這個(gè)時(shí)代,石油鉆井平臺(tái)轉(zhuǎn)瞬即逝,數(shù)不勝數(shù)。EC2 實(shí)例、Spot 實(shí)例、容器、無(wú)服務(wù)器功能、管理員和敏捷開(kāi)發(fā)團(tuán)隊(duì)是數(shù)不清的鉆探數(shù)據(jù)轉(zhuǎn)瞬即逝的設(shè)備。

  我們的新世界存在數(shù)據(jù)控制問(wèn)題

  難怪53% 的使用云的組織都在線公開(kāi)了數(shù)據(jù)?雖然所有這些靈活性和敏捷性都有利于創(chuàng)新和靈活性,但它也帶來(lái)了新的挑戰(zhàn)。特別是,我們有一個(gè)跟蹤和控制云數(shù)據(jù)以及可以訪問(wèn)它的內(nèi)容。

  我們的 Breach Watch 頁(yè)面上列出了一小部分廣為人知的云數(shù)據(jù)丟失事件示例,但我們可以確信,隨著云平臺(tái)的快速采用和新開(kāi)發(fā)技術(shù)的持續(xù)有增無(wú)減,數(shù)據(jù)控制問(wèn)題將會(huì)加劇。

  當(dāng)然,我們不僅僅有安全問(wèn)題。PCI、HIPAA、歐洲的 GDPR、加利福尼亞的 CCPA、巴西的 LDPD、加拿大的 PIPEDA 等合規(guī)性要求要求對(duì)數(shù)據(jù)和這些控制的審計(jì)/報(bào)告進(jìn)行廣泛的安全控制。

  現(xiàn)有工具無(wú)法管理云數(shù)據(jù)蔓延

  隨著云和敏捷成為主流,傳統(tǒng)的數(shù)據(jù)中心和網(wǎng)絡(luò)管理工具都停留在過(guò)去。以從業(yè)者為中心的云提供商工具也無(wú)法勝任這項(xiàng)任務(wù)。AWS、Azure、GCP 和其他云提供商中存在明顯不同的身份和數(shù)據(jù)模型。訪問(wèn)控制列表、內(nèi)聯(lián)策略、組內(nèi)聯(lián)策略、角色內(nèi)聯(lián)策略、代入角色、切換角色聯(lián)合和托管策略都會(huì)影響訪問(wèn)資源的內(nèi)容。

  我們必須了解多個(gè)云提供商身份和數(shù)據(jù)模型,并跟蹤對(duì)主要 AWS、GCP 和 Azure 云平臺(tái)中使用的第三方數(shù)據(jù)存儲(chǔ)的訪問(wèn)。當(dāng)公司需要跟蹤跨多個(gè)云、大量云帳戶和數(shù)千個(gè)數(shù)據(jù)存儲(chǔ)的數(shù)據(jù)訪問(wèn)和移動(dòng)時(shí),該公司該何去何從?

  技術(shù)可以提供幫助

  目前已有需要的云技術(shù)為跨云帳戶、云提供商和第三方數(shù)據(jù)存儲(chǔ)的所有身份和數(shù)據(jù)關(guān)系、活動(dòng)和數(shù)據(jù)移動(dòng)提供完整的風(fēng)險(xiǎn)模型。服務(wù)重點(diǎn)是所有有權(quán)訪問(wèn)數(shù)據(jù)的實(shí)體的數(shù)據(jù)+身份——跨云提供商和第三方數(shù)據(jù)存儲(chǔ)。最后,云技術(shù)在 DevOps 和安全團(tuán)隊(duì)之間架起了橋梁,以:

  1、提高數(shù)據(jù)安全性并降低風(fēng)險(xiǎn)。用戶配置風(fēng)險(xiǎn)和公共數(shù)據(jù)暴露風(fēng)險(xiǎn)都是跨云提供商、賬戶、國(guó)家、團(tuán)隊(duì)和應(yīng)用程序報(bào)告的。

  2、確保合規(guī)。數(shù)據(jù)主權(quán)、數(shù)據(jù)移動(dòng)和身份關(guān)系都受到監(jiān)控,以確保符合主權(quán)、GDPR、HIPAA和其他合規(guī)性要求。

  3、提高 DevOps效率。云提供商管理模型通過(guò)數(shù)百個(gè)AWS和Google Cloud帳戶以及Azure 訂閱/資源組的集中分析和視圖進(jìn)行標(biāo)準(zhǔn)化。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。