什麼是雲端資料保護?
目錄
雲端資料保護是在雲端環境中保障公司資料安全的作法,不論資料位於何處,不論資料是靜止或移動中,也不論資料是由公司內部或外部第三方管理。
隨著越來越多的公司從建立和管理自己的資料中心,轉而將應用程式和資料儲存於雲端,這種做法變得越來越重要。知名科技媒體 IDG 在 2018 年的調查指出,有 73% 的公司在雲端擁有應用程式或基礎架構,另有 17% 的公司預計將在未來一年內進行移轉1。
為何企業需要雲端資料保護
公司正在收集大量資料,從高度機密的商業、財務和客戶資料到相當不重要的資訊。他們也將越來越多的資料移到雲端,並將資料儲存到比以往更多的地方 - 公共雲端、私人雲端和混合雲端、雲端儲存環境、軟體即服務應用程式等。
在這樣做的過程中,企業發現在多種環境中保護所有資料是多麼複雜。例如:
- 他們不再知道他們所有的應用程式和資料在哪裡。
- 由於大部分的應用程式和資料都存放在第三方基礎架構上,因此公司再也無法掌握誰在存取和使用其應用程式和資料、使用哪些裝置進行存取,或其資料可能如何被使用或共用。
- 他們無法深入瞭解雲端供應商如何儲存和保護他們的資料。
- 即使大多數雲端供應商都有最先進的安全性,但這種安全性是有限的。畢竟,企業和雲端供應商 共同承擔 雲端安全的 責任。
- 不同的雲端供應商有不同的能力,這可能導致雲端資料保護和安全性不一致。
除此之外,公司還面臨著一系列的安全挑戰,包括可能出現以下情況:
- 安全漏洞
- 敏感資料遺失或遭竊
- 應用程式漏洞與惡意軟體傳播
公司還必須遵守資料保護和隱私權的法律法規,例如歐盟的《一般資料保護條例》(General Data Protection Regulation,簡稱 GDPR)、美國的《1996 年健康保險可攜性與責任法案》(Health Insurance Portability and Accountability Act of 1996,簡稱 HIPAA)等。然而,企業要在多個雲端環境中持續建立並執行安全政策是非常困難的,更遑論要向稽核人員證明合規性。
基於這些原因,每 10 位網路安全專業人員中就有 9 位關心雲端安全,這並不令人意外。他們表示最大的挑戰是防範資料遺失與洩漏 (67%)、資料隱私受到威脅 (61%) 以及違反機密 (53%)。
這也解釋了為什麼資料保護市場預計將在 2024 年突破 1,580 億美元。
企業如何在雲端環境中更好地保護資料
要成功保護雲端環境中的資料並確保其安全性,企業必須先瞭解:
- 他們擁有哪些資料以及這些資料的位置。
- 哪些資料會曝光、如何曝光,以及潛在風險。
- 哪些應用程式正在被存取,以及由誰存取。
- 他們的應用程式內幕發生了什麼事(例如,人們如何存取和使用這些應用程式)。
- 他們需要保護哪些資料,以及保護的層級。
有了這些資訊,公司就必須提供一致、統一和自動化的雲端資料保護服務,協助他們在多種環境中發現、分類、監控、保護應用程式和資料,並確保其安全性.。此產品還必須能夠區分日常活動和潛在可疑活動。
雲端資料保護的好處
在雲端資料保護的好處中,它能讓公司:
- 跨多重環境保護應用程式和資料的安全,同時維持所有使用者、資料夾和檔案活動的完整可見性。
- 主動識別並降低風險,例如安全威脅、可疑使用者行為、惡意軟體及其他。
- 更好的管理存取。
- 定義政策。
- 預防和偵測資料遺失與中斷。
雲端資料保護常見問題
雲端資料加密包括使用加密演算法將明文資料轉換為密文,以確保只有授權使用者才能讀取。加密可應用於靜止中的資料,例如儲存於資料庫或檔案系統中的資料,以及傳輸中的資料,例如在網路傳輸期間的資料。進階加密標準 (AES) 和 RSA 等技術是常用的技術。雲端供應商通常會提供加密服務,讓客戶能夠透過金鑰管理服務 (KMS) 管理自己的金鑰。加密可確保資料的機密性和完整性,防止未經授權的存取和外洩。
雲端環境中的存取控制涉及管理誰可以存取資源,以及他們可以執行哪些動作。它使用政策和機制來限制存取,確保只有授權使用者和應用程式才能與敏感資料和服務互動。基於角色的存取控制 (RBAC) 和基於屬性的存取控制 (ABAC) 是常見的模式。實作存取控制包括定義角色與權限、使用身分與存取管理 (IAM) 工具,以及執行最低權限存苃原則。有效的存取控制可降低未經授權存取和潛在資料外洩的風險,強化整體雲端的安全性。
雲端資料遺失防護 (DLP) 是指使用技術和實務來偵測、監控和保護敏感資料,以防止未經授權的存取、洩漏或外洩。DLP 解決方案可辨識敏感資訊並加以分類,例如個人識別資訊 (PII) 和智慧財產,並應用政策來防止其未經授權的傳輸。技術包括內容檢驗、情境分析和使用者行為分析。DLP 工具可與雲端服務整合,強制執行資料共用、儲存及傳輸的政策。實作 DLP 可協助組織符合監管需求,並保護雲端的敏感資料。
雲端資料分類涉及根據資料的敏感度和對組織的重要性來組織資料。它透過指定公開、內部、機密或限制等類別,協助識別和保護敏感資訊。自動化工具使用模式匹配、機器學習和上下文分析等技術來分類資料。分類政策指導資料應如何處理、儲存和共用。有效的資料分類可確保針對不同的資料類型實施適當的控制,協助合規性和風險管理工作,從而增強安全性。
雲端儲存安全包含政策、技術和實務,旨在保護雲端環境中儲存的資料。它包括資料加密、存取控制和定期安全稽核等措施。雲端供應商提供的功能包括靜止和傳輸中加密、身分和存取管理 (IAM) 以及異常偵測。安全設定儲存服務、監控未經授權的存取,以及實作備份和災難復原計劃,都是不可或缺的重要環節。確保雲端儲存的安全性可防止資料外洩、遺失和未經授權的存取,維持資料的完整性和機密性。
雲端的身分與存取管理 (IAM) 涉及管理使用者身分和控制雲端資源的存取。IAM 系統會根據定義的政策來驗證使用者並授權他們的動作。它們支援單一登入 (SSO)、MFA 及角色式存取控制 (RBAC) 等功能。雲端 IAM 服務提供身分的集中管理,讓管理員能夠執行安全政策並監控存取活動。實作穩健的 IAM 作業可確保只有授權使用者才能存取敏感資料和應用程式,降低未經授權存取的風險,並提升安全性。
雲端安全的多重要素驗證要求使用者提供兩個或以上的驗證要素,藉此強化驗證程序。這些因素通常包括使用者知道的東西 (密碼)、使用者擁有的東西 (安全代碼或行動使用者裝置) 以及使用者本身的東西 (生物特徵驗證)。MFA 能大幅降低未經授權存取的風險,因為它能確保即使一個因素 (例如密碼) 遭到攻擊,攻擊者也無法在沒有其他因素的情況下取得存取權。將 MFA 與雲端服務整合可加強安全性,保護敏感資料和應用程式免於未經授權的存取。
雲端資料居住地是指在雲端環境中儲存和處理資料的實體位置。它受到監管和合規性需求的影響,這些需求規定資料必須儲存於特定的地理範圍內。組織必須確保雲端供應商遵守資料居住地法律,這可能會影響資料主權和隱私權。雲端供應商提供選擇資料儲存區域的選項,讓組織能夠履行法律義務。瞭解和管理資料的居住地,對於確保符合地區性的合規性以及維護資料隱私和安全性至關重要。
雲端資料完整性可確保儲存於雲端的資料在儲存或傳輸過程中保持精確、一致和不變。加密雜湊和數位簽章等技術可驗證資料的完整性。定期的完整性檢查和驗證程序可偵測任何未經授權的變更。實作強大的存取控制和加密可進一步保護資料的完整性。監控工具可以提醒管理員潛在的完整性漏洞。確保資料完整性對雲端環境中維持信任、合規性和作業可靠性至關重要。
雲端資料備份與復原涉及建立資料複本,並將其儲存在獨立位置,以防止資料遺失。自動備份解決方案會定期擷取資料,確保提供最新的副本。復原程序可在意外刪除、損毀或網路攻擊等事件發生後快速還原資料。雲端供應商提供可擴充的儲存選項和災難復原服務,以盡量減少停機時間。實作穩健的備份和復原策略可確保業務的持續性和資料的復原能力。
雲端安全中的金鑰管理涉及密碼金鑰的建立、分發、儲存和生命週期管理。有效的金鑰管理可確保金鑰受到保護、定期輪換,並在不再需要時予以廢止。雲端供應商提供金鑰管理服務 (KMS),以自動化和簡化這些流程。使用硬體安全模組 (HSM) 可提供安全的金鑰儲存環境,從而加強金鑰保護。適當的金鑰管理對於維護雲端加密資料的機密性、完整性和可用性至關重要。
雲端資料匿名化涉及轉換資料,以防止個人識別,同時保留其效用。技術包括資料遮蔽、假名化和泛化。匿名化可以保護敏感資訊免於未經授權的存取,確保符合 GDPR 等隱私權合規性。實作匿名化流程可讓組織在不影響隱私權的情況下,使用並分享資料進行分析與研究。確保有效的匿名化需要謹慎的規劃和健全的方法,以平衡資料的效用和隱私。
雲端資料遮蔽涉及混淆敏感資料元素,以保護這些元素,同時維持資料的可用性。技術包括以虛擬資料取代真實資料、洗牌資料值或應用加密。資料遮蔽用於非生產環境,例如測試和開發,以防止敏感資料暴露防護。實作資料遮蔽可確保敏感資料不受未經授權的存取,並降低資料外洩的風險。有效的資料遮蔽策略可在資料保護與實際測試資料需求之間取得平衡。
雲端資料稽核涉及有系統地檢閱和驗證儲存於雲端的資料的完整性、存取和使用。稽核工具可追蹤和記錄資料存取、修改和刪除等活動。定期稽核可確保符合監管需求和組織政策。自動化稽核解決方案提供即時監控,針對可疑活動產生警示。進行徹底的資料稽核有助於找出雲端環境中的安全漏洞、執行資料管理並維持責任。
雲端安全中的代號化是以非敏感的等同物或代號取代敏感的資料元素,這些等同物或代號保留資料的格式,但沒有可利用的價值。代幣與安全代幣庫中的原始資料對應。令牌化通常用於保護支付卡資訊和個人資料。實作標記可確保敏感資訊不會以原始形式儲存或傳輸,從而降低資料外洩的風險。有效的 tokenization 策略可加強資料安全性,並符合監管標準。
