什么是云数据安全?
云数据安全是使用云服务时提高数据安全性和隐私性的做法。在现代组织中,您需要跨多个云服务存储、传输和处理数据。组织使用一系列技术、控制措施和工具,为部署在云端的内部数据和客户数据构建安全和隐私防护体系。云数据安全有助于维护良好的声誉和实现合规目标。
为什么云数据安全很重要?
云数据安全在业务环境中很重要,其中几个主要原因如下。
数据丢失防护(DLP)
云数据安全包括:减少不必要的数据泄露、分析流入流量以识别安全事件迹象,以及整合优先考虑组织安全状况的实践。通过在身份和访问管理、网络安全等领域遵循数据安全最佳实践,企业能够帮助保护其云端数据并促进数据丢失防护。
监管遵从性
许多国际数据法律要求落实强有力的数据保护,云环境中的数据也不例外。《通用数据保护条例》(GDPR)和《加州消费者隐私法案》(CCPA)等法规可帮助保护客户的隐私权,要求组织通过严格的控制措施保护个人身份信息(PII)。
HIPAA 和 PCI-DSS 等其他特定于行业的法规也要求组织遵守一套严格的标准,以满足云数据存储和保护标准要求。
减少未经授权的访问
云数据安全实践有助于防止所有云终端和云资产遭受未经授权的访问。通过保护您的组织数据免受未经授权的访问,可以减少不必要的数据泄露,从而帮助确保只有授权用户能够访问敏感数据。
数据隐私和消费者信任
执行和维护云数据安全的高标准还可以提升客户的信心和信任度。通过持续保护存储在组织云端的客户数据,您可以提高声誉,并帮助减轻与意外数据泄露或滥用个人隐私数据相关的负面品牌舆情。
云数据安全的关键考虑因素有哪些?
在开发和部署云数据安全解决方案时,必须考虑几个关键因素。
内部策略
云数据安全实践的依据与组织用于管理本地数据安全的严谨安全框架一脉相承。在迁移到云端和实施云数据安全策略时,您可以参考现有的安全策略、合规义务、访问控制策略和数据留存规则,并将其扩展到这一新环境。
云数据安全策略方面也有新的考虑因素。例如,如果您希望数据始终存储在本国家/地区,则必须考虑数据在静态存储、处理、传输阶段的流转路径。
合规性法规
云数据安全实践必须遵守所有相关的数据隐私和保护框架。对大多数组织而言,一些数据安全框架(如 GDPR)的合规要求具有法律强制力。为了支持监管目标,您必须始终掌握如何收集数据、在何处存储数据、如何加密数据,以及哪些相关方可以访问数据。
云服务提供商通常提供有助于简化合规性的框架,但您有责任确保您的组织符合这些结构。例如,AWS 支持 143 项安全标准和合规性认证,包括 PCI-DSS、HIPAA/HITECH、FedRAMP、GDPR、FIPS 140-3 和 NIST 800-171,可以帮助客户满足全球各地的合规要求。
敏感数据
您存储在云服务提供商处的敏感数据应该获得比非核心数据更高等级的保护。敏感数据包括金融交易、医疗记录等类型。处理敏感数据时,需采用不同的系统、加密方式,以及更严格的访问控制。在组织内部标记敏感数据有助于自动应用这些数据安全边界,并满足合规义务要求。
例如,Amazon Macie 会自动发现您的 AWS S3 云存储中的敏感数据。
云基础设施中的访问控制
访问控制是数据安全的基础支柱之一,并且应扩展到云数据安全管理。了解谁有权访问特定数据、使用权限级别控制数据访问以及严格的访问控制系统都是身份和访问管理中数据安全的基本要素。
例如,AWS Identity and Access Management(IAM)能够在 AWS 云中更安全地管理和扩展工作负载和工作人员访问权限。
选择云服务提供商
各个云服务提供商提供的数据保护框架、策略和控制措施各不相同。在决定云服务提供商合作伙伴前,务必仔细研读其数据保护策略,并选择能够满足自身所有需求的提供商。了解责任共担模式(包括贵组织的责任以及云服务提供商在合规性和云数据保护管理方面提供的服务)至关重要。
有哪些云数据安全技术?
以下几种主流的云数据安全解决方案与技术可帮助保障云系统中的数据安全。
虚拟专用网络(VPN)
虚拟专用网络使组织能够为两个地点之间的数据传输创建更安全的路径。VPN 通过在加密通信中增设一层安全防护来保护传输中数据的安全。云服务提供商会提供云原生 VPN 架构,您可以对其进行配置以满足自身的特定需求。
身份和访问管理(IAM)
身份和访问管理(IAM)使您能够定义谁有权访问特定数据、与数据交互所需的权限级别以及数据存储系统的可见性。
云端 IAM(如 AWS Identity and Access Management)提供多重身份验证、基于角色的访问控制等工具,用于管理用户访问权限和应用精细级别的信息保护。IAM 有助于防止整个云数据架构中的数据遭受未经授权的访问。
加密策略
加密对于管理静态数据和传输中数据的安全性至关重要。根据 AES-256 和 TLS 等领先标准对数据进行加密有助于防止敏感数据受未经授权方侵害。将数据加密标准作为基础安全措施纳入云数据安全框架。
数据控制
数据控制是组织为维护数据治理而采用的基于技术和策略的配置。例如,日志记录和跟踪控制有助于显示数据在整个系统内的流转路径,IAM 控制可以深入分析谁在访问哪些文件,数据驻留控制则可以将所有云端数据限制在特定区域。
数据驻留
数据驻留管理是指您存储数据的地理位置,这是对许多主流数据保护框架的监管要求。领先的云服务提供商支持您选择数据存储位置。根据您的组织、行业、所在地以及遵循的数据保护框架选择单一区域留存或多区域存储。
私有云
切换到私有云环境(在此环境下,组织可以完全控制专属的云存储解决方案)可能是增强特定高敏感性环境安全的切实选择。以单一租户身份拥有私有云让您的组织可以控制您使用的硬件和网络配置,从而最大程度地降低与共享数据架构相关的任何风险。
备份
企业应确保建立完善的自动化备份流程,这有助于在遭遇意外数据丢失或损坏时保持数据的完整性。许多领先的云服务提供商都提供集成的备份服务,您可以在灾难恢复规划流程中使用和配置这些服务。除了建立备份和恢复流程外,您的企业还应定期测试这些环境中是否存在可避免的故障或错误。
自动删除
许多数据保护合规框架的核心部分要求组织不得永久存储用户数据。鉴于这一要求,您必须实施自动数据删除规则,以移除过期数据或不再与系统相关的信息。
移除旧数据还可以减少不必要的数据暴露,从而加强云端数据存储的安全状况。同样,在云环境中,自动删除策略还有助于管理和降低数据存储成本。
AWS 如何支持您的云数据安全?
AWS 旨在提供一个灵活、安全的云计算环境。
通过 AWS,您可以拥有自己的数据,控制其位置以及谁可以访问这些数据。我们对 AWS 服务如何处理您上传至 AWS 账户的个人数据(客户数据)保持透明,并提供支持您加密、删除和监控客户数据处理的功能。
- 我们的欧盟数据保护服务可帮助您在云端满足欧洲客户的数据保护合规要求。AWS 服务、产品控制措施以及最新的标准管理体系能帮助您满足欧盟境内各监管机构的合规要求。
- 我们的数字主权承诺让您可以控制数据位置、对数据访问权限进行可验证的控制、加密任何位置的任何内容,并享受云的韧性。
- AWS 服务的隐私保护功能包括支持您加密或删除数据、监控数据处理过程,以及停用远程访问的功能。
我们的云数据安全服务包括:
- Amazon Macie 通过使用机器学习和模式匹配发现敏感数据,提供对数据安全风险的可见性,并实现自动化保护。可以利用 Amazon Macie 强化您的云安全状况。
- AWS Security Hub:通过统一云安全解决方案中的集中管理功能,帮助您了解整个云环境的安全状况。其中,AWS Security Hub 云安全态势管理(CSPM)功能可自动执行安全最佳实践检查,以帮助您了解各个 AWS 账户的整体云安全状况,包括云数据安全。
立即创建免费账户,开始在 AWS 上使用云数据安全。