云存储领域的那些安全难题与解决途径

译文
存储 容灾备份 新闻
云存储具备诸多优势,其可帮助IT部门以集中方式管理、保护及备份企业文件。另外,其亦允许用户随时随地利用认证设备操作文件,并将文件内容在多种设备间进行同步(包括工作计算机、家用计算机以及移动设备等)。

  【51CTO.com快译】云存储供应商无法为全部IT管理员提供理想的方案平衡点,但配合第三方选项则能够有效解决问题。

  云存储具备诸多优势,其可帮助IT部门以集中方式管理、保护及备份企业文件。另外,其亦允许用户随时随地利用认证设备操作文件,并将文件内容在多种设备间进行同步(包括工作计算机、家用计算机以及移动设备等)。

[[178882]]

  然而潜在的安全缺口往往意味着云存储无法提供令人满意的数据安全性水平,且目前尚无理想的解决方案一次性搞定这项难题。

  另外,以下场景亦相当常见:IT部门鼓励或者要求用户将全部工作文档存储在企业OneDrive、Dropbox、Box或者Google Drive当中。基本上,这些云存储方案用于全面取代原本的Windows我的文档文件夹或者MacOS中的文稿文件夹。为了高效完成这项目标,同时保证用户计算机软件的可用性,用户需要运行本地虚拟磁盘客户端以支持OneDrive、Dropbox、Box乃至Google Drive。通过这种方式,我们得以彻底告别U盘、邮件附件以及其它大家所熟知的资料共享途径。

  但其中的风险在于:一旦运行有虚拟驱动器软件的Windows PC或Mac设备遭到窃取或者为无关人士所访问,那么除非IT部门及时切断其与云存储服务间的连接,否则虚拟驱动器应用仍会不断将文档副本发送至这些设备当中。如此一来,数据窃贼将轻松获得持续更新的企业文档及个中秘密。

  没错,各类虚拟驱动器应用皆允许用户选定特定的待同步文件夹,确保用户计算机上不至保留有全部文件。然而,IT部门无法管理这些设置,这意味着企业文件仍然可能被发送至遭遇入侵的设备当中。

  这些虚拟驱动器应用出于以下三项理由保留本地副本 :

  1. 离线访问,这种能力对于身在航班上、旅馆中以及会议室内的用户非常重要。另外,即使拥有公共Wi-Fi资源可用,很多企业也建议用户不要接入以避免遭遇中间人攻击。

  2. 更佳性能,本地文件在打开与保存速度上要远优于互联网存储文件。

  3. 应用程序兼容性与文件可用性,意味着用户能够将云存储中的文件如本地网络驱动器一样进行访问。通过这种方式,用户可直接打开其设备上的应用程序,而无论其通过Excel、Acrobat或者邮件附件等具体方式操作。使用虚拟驱动器还意味着用户能够直接管理文件与文件夹,具体包括移除文件、删除文件、重命名文件、创建文件夹等等。换言之,云存储的使用效果与本地存储几乎一致。

  云存储服务的Web界面不允许本地应用打开其中文件,且此类Web界面通常很难用于文件管理——大家倒是能够轻松对文件进行重命名及删除,但其它操作则相当困难。虚拟驱动器应用是“最、最、最重要的Dropbox用户服务接入载体,因此我们鼓励用户利用此类应用进行操作,而非使用局限巨大的Web界面,”Dropbox公司业务与企业产品经理Rob Baesman表示。IT部门可能更倾向于纯Web云存储用例带来的理想安全水平,但这种导向在可行性方面实在太过薄弱。

  微软公司的Office 2016应用能够直接打开存储于OneDrive中的Office文件,但这种介于Office 2016与云存储Office文件间的直接链接不适用于其它文件格式或者应用。同样的,谷歌的纯移动端G Suite生产力应用也存在类似的问题。很明显,二者都不足以解决问题。

  最后一个问题——即应用程序兼容性与文件可用性——亦非常重要,这意味着企业必须在安全性与用户生产效率之间作出取舍。如果企业仅允许通过Web界面访问云存储文档,那么结果将显而易见:用户会直接下载文件或者虚拟驱动器应用以提升操作感受,或者尽可能拖延工作——特别是在差旅途中。用户倾向于选择感受更好的工作方式,因此一味禁止起不到任何积极作用。

  好消息是,移动iOS与Android虚拟驱动器应用不会将Box、Dropbox、Google Drive以及OneDrive中的文件保存在本地。但遗憾的是,Windows及MacOS版应用会保存本地副本,这意味着计算机在文档处理安全性方面远低于移动设备。

  另外,移动云存储应用可能将很快引入本地数据副本存储以实现离线使用。事实上,Dropbox公司日前宣布其即将允许用户在iOS及Android设备上保留本地同步副本以供离线使用。

  当然,不同数据所带来的潜在风险程度亦有所区别。对于普通数据而言,云存储供应商往往提供非本地同步或者其它保护选项。

  然而如果您的数据非常关键,那么目前在计算机端尚不存在理想的解决方案。不过IT部门可以考虑其它一些选项以降低必须使用虚拟驱动器访问应用时的风险水平。

  选项一:强制执行或提供加密机制

  办法之一在于立足用户设备强制执行加密。这一目标在iOS与Android设备上易于实现,但在Windows与MacOS平台上则较为困难——特别是在用户的个人计算机当中。另外,大家也可以使用管理策略以避免来自未加密计算机的企业信息访问操作。加密机制能够有效屏蔽大多数未授权访问——当然,前提是用户密码拥有理想的长度与强度。

  目前市面上存在多种第三方工具可实现云存储文件加密,Secomba公司的Boxcryptor就能够很好地完成任务。其面向Windows、MacOS、iOS与Android四大主流系统平台,同时亦在Chrome OS上推出了beta测试版本。批量许可价格为每用户每月8美元。

  此类跨平台加密方案能够阻止数据失窃,但其亦要求用户以手动方式加密文件或者将其移动至加密文件夹内。因此,其实际效果取决于用户的实际操作——这显然不够可靠。

  选项二:使用数字化版权管理

  另一种方案是利用数字化版权管理软件将访问管理与加密机制相结合。此类工具成本高昂且需要配合IT部门管理方可起效。不过如果数据安全对您的企业而言非常重要,那么其仍然物有所值。

  如果大家身为微软用户——如同大多数企业一样——并使用OneDrive及/或SharePoint,则意味着您应当选择微软的Azure信息保护技术,其属于Office 365订阅服务的附加选项。此工具集能够利用数字化版权管理机制进行文件封包,并要求提供密钥以进行访问——类似于特定文件加密机制。

  Azure信息保护技术分为多个版本,大家可以根据自身预算情况进行选择。但需要注意的是,非微软应用、文件格式以及操作系统往往不受支持。举例来说,Azure信息保护服务目前仅支持Windows用户,不过微软方面表示其未来“将”支持MacOS、iOS与Android用户。

  另外我们亦可从各类第三方访问管理及云存储加密供应商中作出选择,具体包括Vera(面向Box、Dropbox以及OneDrive)、Barracuda Network公司的子公司Sookasa(面向Dropbox与Google Drive)以及nCrypted Cloud(面向Box、Dropbox、Google Drive以及OneDrive)。

  大家还可以彻底移除虚拟驱动器应用及其文件,转而使用Box或Dropbox提供的企业版管理员控制台或企业移动管理套件。不过仍有相当一部分企业移动管理工具并不支持对Windows或MacOS平台中的云存储内容进行选择性清除。具体来讲,只要不接入网络,落入盗窃者手中的设备就不会触发远程清除、系统锁定或者其它远程IT限制功能。

  选项三:使用第三方虚拟化驱动器应用

  对于Windows及MacOS平台,ExpanDrive能够面向Amazon S3、Box、Dropbox、FTP与SFTP、Google Drvie、OneDrive、WebDAV服务器以及其它一些冷门存储服务创建虚拟驱动器。

  与Box、Dropbox、Google Drive以及OneDrive提供的原生虚拟驱动器应用不同,ExpanDrive的虚拟驱动器不会进行本地副本同步; 所有文件皆保存在云服务当中(当然,亦驻留于当前设备的内存中)。这意味着用户需要拥有互联网连接方可操作云存储文件。但这同时意味着不存在可能被未授权人士窥探的本地副本。

  纯Mac平台选项则推荐Eltima Software公司的CloudMounter,其能够面向Amazon S3、Dropbox、FTP与SFTP、Google Drive、OneDrive以及WebDAV服务器创建虚拟驱动器。(注意,其中不包括Box)。其运作方式与ExpanDrive基本一致。

  ExpanDrive与CloudMounter皆提供设置选项以自动挂载其虚拟云驱动器,因此一旦设置完成,用户即可访问云存储文件。虽然这类方案能够较好满足IT部门的需求,但其实际应用范围并不甚广。这是因为Box、Dropbox、Google Drive与OneDrive提供的原生应用才是用户们的最爱。而如果IT部门禁止接入云服务,那么ExpanDrive与CloudMounter也将无能为力——而且在这种情况下,后两者还不提供任何本地副本可供操作。

  需要注意的是,ExpanDrive与CloudMounter还存在以下缺陷:

  · 即使计算机失去互联网连接,二者仍会挂载最终打开过的文件——这意味着在重启设备之前,您的计算机中仍保留有缓存副本。

  · 二者在文件访问与更新方面存在巨大延迟,因此如果某个文件已经被删除或者移动至其它位置,大家可能在数秒甚至数分钟内都不会看到对应变化。

  · 两款应用都无法更新文件重命名操作,因此大家的文件名不在本地虚拟驱动器与云存储间的同步范围之内。

  · 部分文件类型不支持文件版本控制功能。

  另外,即使拥有ExpanDrive或者CloudMounter,IT部门仍然很难阻止用户安装云存储服务的原生应用以实现离线访问。不过大家可以阻止用户在管理控制下的计算机及移动设备上安装此类应用。目前最大的问题在于如何对用户的个人设备进行控制,特别是考虑到确实有很多人倾向于在自有设备上使用云存储服务。

  如果以上局限在您的承受范围内,ExpanDrive可用于Windows及MacOS平台,且每位用户的许可费用为50美元(注意,单用户而非单计算机)。三用户许可为130美元,五用户许可200美元,十用户许可为350美元,二十五用户许可则为750美元。如果大家希望预付未来全部升级费用,则每用户还需要额外支付 75美元——否则,每一轮升级都要求各用户再次付费。

  而如果能够接受相关局限,CloudMounter的单Mac设备(注意,单设备而非单用户)价格为30美元,五Mac设备为100美元,五十台Mac设备则要价150美元。大家也可以为未来的一切升级进行预付费,价格为每Mac设备15美元,五Mac设备50美元,五十台Mac设备75美元。该公司表示,其计划于明年推出iOS版本,且未来还将陆续推出Windows与Android版本。

  最后,在Windows环境下配合OneDrive时,大家也可以将OneDrive(以及SharePoint)设置为网络驱动器,即非基于应用型虚拟驱动器。网络驱动器不会在PC上保留文件同步副本; 另外,其亦不像OneDrive应用那样支持OneDrive中的多种共享及协作功能。

  云存储供应商的可选方案——及未加采用的理由

  对于Box、Dropbox、Google Drive以及OneDrive而言,其可在Windows与MacOS平台上实现以下功能以解决问题:

  · 提供非本地副本选项,用以实现类似于ExpanDrive或CloudMounter的效果。

  · 加密本地副本选项,要求使用密码以在每次计算机重启后访问此类副本(类似于Boxcryptor,但面向全部云同步文件)。

  这两种选项都能够满足IT部门的管理需求,当然,其也会导致ExpanDrive与CloudMounter再无用武之地。

  对于第一种选项,微软的OneDrive可实现这种使用方式,即为云存储条目提供占位符(别名)而非实际本地副本。然而微软公司在Windows 8.1版本中取消了这项功能,理由是该功能令用户搞不清楚其中哪些是本地同步文件,而哪些是云存储文件。

  微软方面同时指出,其计划在2017年年内推出一项名为On-Demand的新型占位符功能,但尚不清楚其工作机制以及是否可在Windows平台之外使用。(微软表示,‘我们目前对此无可奉告’。)要真正实现IT层面的可行意义,管理员需要有能力设置本地同步的具体权限,但无论是在OneDrive内还是现有Azure信息保护服务中,微软都从未提供过类似的功能。

  Dropbox公司也拥有自己的占位符技术,名为Infinite项目; 其目前处于内部beta测试阶段。该项目仅同步用户实际打开的文件,而非像现有Dropbox客户端那样同步全部文件。不过Dropbox公司的Baesman解释称,由于用户调查显示操作速度太慢,因此其不会提供纯同步选项。他个人建议使用第三方加密工具解决此类问题。

  对于第二种选项,Baesman同样建议利用第三方工具实现密码保护型本地存储内容加密。

  我个人的观点是,目前的云存储安全性困局在可预见的未来不会发生任何改变。本地同步的便利性与生产效率优势远大于计算机丢失或者被盗的风险。另外,我们亦可利用其它工具降低计算机遭受入侵的风险,特别是设备锁定、远程清除、强制性设备加密以及利用权限管理进行个人文件加密等选项。事实上,这些技术不仅能够保护云存储信息,对于本地文件亦有着很好的保护效果。

  原文链接:http://www.infoworld.com/article/3146135/cloud-storage/the-cloud-storage-security-gap-and-how-to-close-it.html

  原文标题:The cloud storage security gap -- and how to close it

  原文作者:Galen Gruman

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】 

 

   了解更多热点新闻,请关注51CTO《科技新闻早报》栏目!

责任编辑:张诚 来源: 51CTO
相关推荐

2013-09-10 18:23:01

桌面虚拟化

2014-06-06 16:08:17

初志科技

2017-10-13 15:42:35

2014-02-24 16:26:15

云存储

2013-03-27 10:50:40

云计算领域

2015-01-26 12:31:59

混合云云存储

2023-11-17 16:29:38

2011-07-05 09:29:47

戴尔云计算存储

2015-01-06 14:39:41

云计算云存储数据迁移

2018-08-29 12:05:54

云数据存储安全

2013-08-14 09:11:43

云数据存储云存储云安全

2010-05-05 15:04:04

云计算

2017-02-06 19:26:10

开发业务应用

2012-01-13 08:52:44

2012-01-12 14:39:03

2012-12-24 10:03:35

2014-07-10 15:35:28

2010-08-02 08:51:05

Web

2010-05-06 10:58:24

2010-05-12 14:04:50

点赞
收藏

51CTO技术栈公众号