什么是數(shù)據(jù)存儲(chǔ)安全?數(shù)據(jù)安全與數(shù)據(jù)保護(hù)專(zhuān)業(yè)分析

傳統(tǒng)上，存儲(chǔ)和安全在IT部門(mén)中是相互獨(dú)立的學(xué)科。雖然在數(shù)據(jù)中心中這兩個(gè)團(tuán)隊(duì)會(huì)有一些重疊的關(guān)注點(diǎn)，并且在一些項(xiàng)目上一起工作，但它們?cè)诤艽蟪潭壬鲜墙厝徊煌摹?/p>

傳統(tǒng)上，存儲(chǔ)和安全在IT部門(mén)中是相互獨(dú)立的學(xué)科。雖然在數(shù)據(jù)中心中這兩個(gè)團(tuán)隊(duì)會(huì)有一些重疊的關(guān)注點(diǎn)，并且在一些項(xiàng)目上一起工作，但它們?cè)诤艽蟪潭壬鲜墙厝徊煌摹?/p>

現(xiàn)在，這種模式正在發(fā)生變化。Sels、達(dá)美航空、Panera Bread、Saks Fifth Avenue、Lord&Taylor、MyFitnessPal、Orbitz、聯(lián)邦快遞等一些知名公司的安全漏洞持續(xù)不斷的消息讓企業(yè)IT領(lǐng)導(dǎo)者非常關(guān)注自己面臨的風(fēng)險(xiǎn)。

許多人正在采用DevSecOps，而這種方法可以使組織中的每個(gè)人都對(duì)安全負(fù)責(zé)。對(duì)于存儲(chǔ)專(zhuān)業(yè)人員來(lái)說(shuō)，這意味著需要更加關(guān)注數(shù)據(jù)存儲(chǔ)安全性。 

數(shù)據(jù)存儲(chǔ)安全性是IT安全領(lǐng)域的一個(gè)子集，專(zhuān)門(mén)用于保護(hù)存儲(chǔ)設(shè)備和系統(tǒng)。

而存儲(chǔ)網(wǎng)絡(luò)行業(yè)協(xié)會(huì)(SNIA)詞典則提供了數(shù)據(jù)存儲(chǔ)安全性的定義：

存儲(chǔ)安全：應(yīng)用物理、技術(shù)和管理控制來(lái)保護(hù)存儲(chǔ)系統(tǒng)和基礎(chǔ)設(shè)施以及存儲(chǔ)在其中的數(shù)據(jù)。存儲(chǔ)安全專(zhuān)注于保護(hù)數(shù)據(jù)(及其存儲(chǔ)基礎(chǔ)設(shè)施)，防止未經(jīng)授權(quán)的泄露、修改或破壞，同時(shí)確保授權(quán)用戶(hù)的可用性。這些控制措施可能是預(yù)防性的、偵查性的、糾正性的、威懾性的、恢復(fù)性的或補(bǔ)償性的。

SNIA還指出，安全存儲(chǔ)“也可能是針對(duì)對(duì)手的最后一道防線(xiàn)，但前提是存儲(chǔ)管理人員和管理員花費(fèi)時(shí)間和精力實(shí)施和激活可用的存儲(chǔ)安全控制。”

對(duì)于存儲(chǔ)管理人員和管理員來(lái)說(shuō)，確保正確的數(shù)據(jù)存儲(chǔ)安全性是一個(gè)謹(jǐn)慎的平衡行為。他們必須權(quán)衡首字母縮略詞CIA涵蓋的三個(gè)主要問(wèn)題：機(jī)密性(confidenTIality)，完整性(integrity)和可用性(availability)。他們必須使敏感數(shù)據(jù)不受未授權(quán)用戶(hù)的影響，他們必須確保系統(tǒng)中的數(shù)據(jù)是可靠的，同時(shí)還要確保組織中需要訪(fǎng)問(wèn)數(shù)據(jù)的每個(gè)人都可以使用這些數(shù)據(jù)。

同時(shí)，他們需要非常了解成本和數(shù)據(jù)的價(jià)值。沒(méi)有人希望數(shù)據(jù)存儲(chǔ)安全系統(tǒng)最終比他們所保護(hù)的數(shù)據(jù)價(jià)值更加昂貴。然而，組織也需要有足夠強(qiáng)的安全系統(tǒng)進(jìn)行保護(hù)，這就要求潛在的攻擊者花費(fèi)更多的時(shí)間和資源，而不是數(shù)據(jù)最終的價(jià)值。 

存儲(chǔ)安全和數(shù)據(jù)安全與數(shù)據(jù)保護(hù)密切相關(guān)。數(shù)據(jù)安全主要包括防止將私人信息泄露給未經(jīng)授權(quán)的人。它還包括保護(hù)數(shù)據(jù)免受其他類(lèi)型攻擊的影響，例如阻止訪(fǎng)問(wèn)信息的勒索軟件或改變數(shù)據(jù)的攻擊，使其不可靠。

數(shù)據(jù)保護(hù)更關(guān)注的是確保數(shù)據(jù)在惡性事件發(fā)生后保持可用，這些事件例如系統(tǒng)或組件故障，甚至自然災(zāi)害。

而為了確保信息的可靠性和可用性，以及需要從可能威脅組織數(shù)據(jù)的任何事件中恢復(fù)過(guò)來(lái)，數(shù)據(jù)安全和數(shù)據(jù)保護(hù)這二者的共同需求重疊。存儲(chǔ)專(zhuān)業(yè)人員經(jīng)常發(fā)現(xiàn)他們自己同時(shí)處理數(shù)據(jù)安全和數(shù)據(jù)保護(hù)問(wèn)題，并且采用一些相同的最佳實(shí)踐可以幫助解決這兩個(gè)問(wèn)題。

數(shù)據(jù)安全和數(shù)據(jù)保護(hù)顯然是重疊的問(wèn)題 

最近的一些趨勢(shì)正在增加企業(yè)對(duì)數(shù)據(jù)安全的興趣。它們包括以下內(nèi)容：

•數(shù)據(jù)增長(zhǎng) - 據(jù)調(diào)研機(jī)構(gòu)IDC稱(chēng)，全球計(jì)算機(jī)系統(tǒng)存儲(chǔ)的數(shù)據(jù)量每?jī)赡甏蠹s翻一番。對(duì)于企業(yè)來(lái)說(shuō)，這意味著不斷需要添加新的存儲(chǔ)設(shè)備以滿(mǎn)足業(yè)務(wù)需求。而隨著存儲(chǔ)量的增長(zhǎng)，它們作為目標(biāo)變得更有價(jià)值，并且更難以保護(hù)。

•網(wǎng)絡(luò)攻擊增長(zhǎng) – Verizon公司2018年數(shù)據(jù)泄露調(diào)查報(bào)告表明，2017年發(fā)現(xiàn)了53,000起安全事件，其中包括2,216起數(shù)據(jù)泄露事件，而這只是組織實(shí)際發(fā)生事件的一小部分。英國(guó)政府機(jī)構(gòu)最近發(fā)布的一份報(bào)告顯示，2017年的網(wǎng)絡(luò)攻擊比其他任何一年都多。幾乎每天都有這樣的消息出現(xiàn)在新聞中，這讓企業(yè)擔(dān)心自己的安全狀況。

•數(shù)據(jù)泄露的成本 - 數(shù)據(jù)泄露恢復(fù)成本非常高昂。波洛蒙研究所對(duì)2017年數(shù)據(jù)泄露成本的調(diào)查研究中發(fā)現(xiàn)，在2017年發(fā)生的安全事件中，發(fā)生違規(guī)事件的企業(yè)平均每個(gè)事件損失約為362萬(wàn)美元，這些費(fèi)用可以成為提高數(shù)據(jù)安全性的強(qiáng)大壓力。

•提高數(shù)據(jù)價(jià)值 - 由于大數(shù)據(jù)分析的興起，企業(yè)比以往任何時(shí)候都更加意識(shí)到數(shù)據(jù)的價(jià)值。根據(jù)調(diào)研機(jī)構(gòu)Gartner公司的調(diào)查，近年來(lái)大數(shù)據(jù)分析市場(chǎng)增長(zhǎng)高達(dá)63.6%，到2020年，企業(yè)可能會(huì)花費(fèi)228億美元購(gòu)買(mǎi)工具，幫助他們發(fā)現(xiàn)有價(jià)值的數(shù)據(jù)見(jiàn)解。但為了讓分析證明有用，企業(yè)需要能夠確保數(shù)據(jù)的真實(shí)性，這意味著企業(yè)將更多地投資于安全性。

•無(wú)邊界網(wǎng)絡(luò) - 由于像云計(jì)算和物聯(lián)網(wǎng)(IoT)這樣的新興技術(shù)的發(fā)展，企業(yè)現(xiàn)在的數(shù)據(jù)分布比以往更多、更廣泛。企業(yè)網(wǎng)絡(luò)不再具有組織可以采用防火墻定義和保護(hù)的硬性?xún)?yōu)勢(shì)。相反，他們必須更加深入地依靠深度防御，包括存儲(chǔ)安全來(lái)保護(hù)他們的信息。

•規(guī)例 - 政府部門(mén)對(duì)數(shù)據(jù)安全越來(lái)越感興趣，并因此制定了更強(qiáng)大的法律。歐盟的一般數(shù)據(jù)保護(hù)條例(GDPR)將于2018年5月25日生效，這迫使在全球經(jīng)營(yíng)的企業(yè)采取更強(qiáng)有力的措施保護(hù)客戶(hù)隱私，同時(shí)也會(huì)影響存儲(chǔ)安全。

•需要業(yè)務(wù)連續(xù)性 - 2017年是美國(guó)自然災(zāi)害創(chuàng)紀(jì)錄的一年，突出了業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)能力的需求。這推動(dòng)了對(duì)安全備份和其他存儲(chǔ)安全技術(shù)的需求。

•DevSecOps方法 - 據(jù)調(diào)研機(jī)構(gòu)Forrester稱(chēng)，63%的組織已經(jīng)實(shí)施了DevOps，另有27%計(jì)劃這樣做。隨著DevOps的發(fā)展，越來(lái)越多的企業(yè)開(kāi)始對(duì)其越來(lái)越感興趣，DevSecOps將安全整合到方法中，并在整個(gè)組織中傳播安全責(zé)任，其中包括數(shù)據(jù)存儲(chǔ)團(tuán)隊(duì)。

存儲(chǔ)系統(tǒng)的漏洞

數(shù)據(jù)存儲(chǔ)安全性的另一個(gè)重要推動(dòng)因素是存儲(chǔ)系統(tǒng)固有的漏洞。它們包括以下內(nèi)容：

•缺乏加密 - 盡管一些高端NAS和SAN設(shè)備包含自動(dòng)加密功能，但市場(chǎng)上的許多產(chǎn)品并不包含這些功能。這意味著組織需要安裝單獨(dú)的軟件或加密設(shè)備，以確保其數(shù)據(jù)已加密。

•云存儲(chǔ) - 越來(lái)越多的企業(yè)選擇將部分或全部數(shù)據(jù)存儲(chǔ)在云中。盡管有人認(rèn)為云存儲(chǔ)比內(nèi)部部署的存儲(chǔ)更安全，但云計(jì)算增加了存儲(chǔ)環(huán)境的復(fù)雜性，并且通常需要存儲(chǔ)人員學(xué)習(xí)新工具，并實(shí)施新程序，以確保數(shù)據(jù)得到充分保護(hù)。

•不完整的數(shù)據(jù)銷(xiāo)毀 - 從硬盤(pán)或其他存儲(chǔ)介質(zhì)中刪除數(shù)據(jù)時(shí)，可能會(huì)留下可能導(dǎo)致未經(jīng)授權(quán)的人員恢復(fù)該信息的痕跡。存儲(chǔ)管理人員和管理者需要確保從存儲(chǔ)中刪除的任何數(shù)據(jù)都被覆蓋，以至于無(wú)法恢復(fù)。

•缺乏物理安全性 - 有些組織對(duì)其存儲(chǔ)設(shè)備的物理安全性沒(méi)有足夠的重視。在某些情況下，他們沒(méi)有考慮到內(nèi)部人員(例如員工或清潔團(tuán)隊(duì)的成員)可能能夠訪(fǎng)問(wèn)物理存儲(chǔ)設(shè)備，并提取數(shù)據(jù)，從而繞過(guò)所有精心策劃的基于網(wǎng)絡(luò)的安全措施的情況。 

數(shù)據(jù)安全最佳實(shí)踐

為了應(yīng)對(duì)這些技術(shù)趨勢(shì)并處理其存儲(chǔ)系統(tǒng)固有的安全漏洞，專(zhuān)家建議組織實(shí)施以下數(shù)據(jù)最佳安全實(shí)踐：

1.數(shù)據(jù)存儲(chǔ)安全策略 - 企業(yè)應(yīng)該制定書(shū)面策略，為其擁有的不同類(lèi)型的數(shù)據(jù)指定適當(dāng)?shù)陌踩?jí)別。顯然，公共數(shù)據(jù)所需要的安全性遠(yuǎn)遠(yuǎn)低于限制或機(jī)密數(shù)據(jù)，組織需要有適當(dāng)?shù)陌踩Ｐ?、過(guò)程和工具來(lái)實(shí)施適當(dāng)?shù)谋Ｗo(hù)措施。這些策略還包括應(yīng)該在組織的存儲(chǔ)設(shè)備上部署的安全措施的詳細(xì)信息。

2.訪(fǎng)問(wèn)控制 - 基于角色的訪(fǎng)問(wèn)控制是安全數(shù)據(jù)存儲(chǔ)系統(tǒng)的必備條件，在某些情況下，多因素認(rèn)證可能是合適的。管理員還應(yīng)確保更改其存儲(chǔ)設(shè)備上的任何默認(rèn)密碼，并強(qiáng)制用戶(hù)使用強(qiáng)密碼。

3.加密 - 數(shù)據(jù)在傳輸過(guò)程中以及在存儲(chǔ)系統(tǒng)中靜止時(shí)都應(yīng)該加密。存儲(chǔ)管理員還需要有一個(gè)安全的密鑰管理系統(tǒng)來(lái)跟蹤他們的加密密鑰。

4.數(shù)據(jù)丟失預(yù)防 - 許多專(zhuān)家認(rèn)為僅靠加密不足以提供全面的數(shù)據(jù)安全。他們建議組織還部署數(shù)據(jù)丟失防護(hù)(DLP)解決方案，以幫助查找和阻止正在進(jìn)行的任何攻擊。

5.強(qiáng)大的網(wǎng)絡(luò)安全性 - 存儲(chǔ)系統(tǒng)并不存在于真空中，它們應(yīng)該被強(qiáng)大的網(wǎng)絡(luò)安全系統(tǒng)所包圍，例如防火墻、反惡意軟件防護(hù)、安全網(wǎng)關(guān)、入侵檢測(cè)系統(tǒng)，以及可能的高級(jí)分析和基于機(jī)器學(xué)習(xí)的安全解決方案。這些措施應(yīng)該可以防止大多數(shù)網(wǎng)絡(luò)攻擊者獲得對(duì)存儲(chǔ)設(shè)備的訪(fǎng)問(wèn)權(quán)限。

6.強(qiáng)大的端點(diǎn)安全性 - 同樣，組織也需要確保他們?cè)趥€(gè)人電腦、智能手機(jī)和其他訪(fǎng)問(wèn)存儲(chǔ)數(shù)據(jù)的設(shè)備上擁有適當(dāng)?shù)陌踩胧＿@些端點(diǎn)(尤其是移動(dòng)設(shè)備)可能會(huì)成為組織網(wǎng)絡(luò)攻擊的薄弱環(huán)節(jié)。

7.冗余性 - 包括RAID技術(shù)在內(nèi)的冗余存儲(chǔ)不僅有助于提高可用性和性能，在某些情況下還可以幫助組織緩解安全事件。

8.備份和恢復(fù) - 一些成功的惡意軟件或勒索軟件攻擊如此完全地破壞企業(yè)網(wǎng)絡(luò)，唯一的恢復(fù)方法是從備份恢復(fù)。存儲(chǔ)管理人員需要確保他們的備份系統(tǒng)和流程適合這些類(lèi)型的事件以及災(zāi)難恢復(fù)的目的。另外，他們需要確保備份系統(tǒng)與主系統(tǒng)具有相同的數(shù)據(jù)安全級(jí)別。