近年来,数据中心安全的格局已经发生了颠覆性的改变。事实上,在2014年秋季之前,数据安全性通常是采用云服务的客户的全部责任,而云计算服务提供商主要承担为客户机房空间,电力和制冷的主要责任,避开了保护客户数据的责任。然而,ISO27018标准的引入彻底改变了二者之间界限,并明确云服务提供商和客户需要共同承担数据安全的责任。
然而,虽然法律责任的界限转移,但在提供数据安全方面并没有发生很多变化。他们的重点仍然放在“网关”安全性上,而对于物理或“端点”安全性的关注经常是事后的想法。那么,云计算服务提供商对此是否过度自信了?
谷歌公司承诺会销毁其硬盘以确保隐私
遵循“一般数据保护条例”(GDPR)
2018年在欧盟实施的“一般数据保护条例”(GDPR)有可能在任何违反数据安全性的情况下,对违规的的企业和个人进行惩罚性罚款,而目前对个人资料的威胁更为严重。人们需要清楚了解数据安全管理的新格局,以及潜在的陷阱在哪里?竞争优势的机会在哪里?
对于云计算的许多用户而言,与数据中心的技术复杂性相比,云计算提供的功能似乎几乎是神奇的。在网络空间中的云端似乎比数据中心的服务器机架更加可靠,也更能带来安慰。这个观点似乎是完全抽象的,而另一个想法完全是真实的,这两个观点之间的区别对每个人都有所帮助,让客户更加放心,并为云计算提供商带来商机。但是,云计算服务提供商本身是否可能沉迷于这个想法,并且在提供数据安全方面会有利于虚拟物理化吗?
到目前为止,网络威胁带来的财务和商业风险一直远远超过物理数据泄露的风险。从2018年5月25日开始实施的欧盟“一般数据保护条例”(GDPR)将对每个调查并证实的数据泄漏事件,实行高达全球营业额的4%的罚款,或2,000万欧元(以金额更大的为准)。无论数据泄露是发生在网络空间还是物理硬盘中,数据的物理安全性面临比以前高得多的风险,并迫使企业快速重新评估其安全优先级,以免遭受这些处罚。
存储,回收,处置或销毁?
如今,人们创建的数据呈指数增长,而数据中心服务器和硬盘驱动器的寿命有限,这意味着数据中心出现了越来越多的冗余数据以及过时的存储数据磁盘驱动器。由于单个磁盘损毁的成本高,因此将通常将硬盘驱动器保存多年之后集中销毁,但这种方式增加了数据泄露的风险。从这些准备销毁的硬件泄漏数据的风险大大增加,然而,安全地销毁数据和硬件设备所需的措施和步骤尚未跟上许多企业的扩张步伐。
用户通过虚拟“FortKnox”网络安全措施在线保护的个人信息数据,但可能会发现这些数据存储在安全性并不高的冗余硬盘驱动器上,准备销毁的硬盘在运输,收集,移除,以及在未经授权的位置处理的环节上面临风险。这显然是数据安全的新的“薄弱环节”,它是物理性的而不是虚拟的。
在某些情况下,存储敏感数据的驱动器甚至在eBay网站上对外销售,被“回收”并销售给第三方,却没有被销毁。而在处理信息技术资产方面,“管理监督链”过程中缺乏明确的安全程序,适当的问责制以及明确的审计跟踪,这对于企业来说,无异于一场潜在的灾难。
担当责任并保持控制
IT资产处置需要专业的机构和人员进行处理,大多数组织通过第三方服务提供商进行这项工作。然而,这些服务提供商的水平和可靠性可能会有很大的差异,因为它们仍然在没有大量专业审查的情况下运行。随着“一般数据保护条例”(GDPR)的实施,并且越来越严格,企业面临巨大的经济处罚的潜力,而将这种责任交给到控制之外的企业,这需要十分的信任。
即使与信誉良好的IT资产处置公司签订了符合ICO标准的保密合同,传统的数据破坏方法也不足以提供100%的可靠性,特别是固态硬盘(SSD),采用磁盘消磁系统或软件覆盖都不能完全确定数据已被删除,并且这两种方法都会使硬盘驱动器物理完好无损,这意味着其数据恢复的潜力仍然存在。
加密擦除已经成为一种越来越流行的数据保护方法,但数据加密本质上并不是数据被破坏。加密是一个不可逾越的数据仓库,直到有人发现了密钥,然后才能授予完整的访问权限。加密不会破坏数据,它只是在有限的时间内隐藏它,这仍有一定的风险。
不要抹去数据要销毁
对于保证数据销毁的唯一的解决办法是,通过切碎硬盘对数据资产本身进行物理销毁。事实证明,这是一些超级安全或高度管制的行业(如金融机构、军事和安全机构)的***。
数据中心所有者和管理人员现在应该考虑如何在数据中心提供极其安全的数据资产销毁措施。在数据中心的高安全性的内部现场提供解决方案,将确保任何数据资产即使在无用时也不会离开安全区域,从而实现保密。而减少可以利用的“监管链”中的环节数量,这将大大降低了灾难性数据泄露的风险。
监管链中的环节越多,数据泄露的机会越多。通过控制销毁过程,并通过安全和取证过程(如生物识别扫描,条形码扫描和实际粉碎过程的视频记录)自动记录资产销毁阶段,创建清晰的审计线索,提供额外的安全级别,可以提高客户的信心。
企业需要提供更高级别安全性的设备,为数据中心所有者和管理人员提供获利的“增值”服务的机会,为客户提供服务。数据中心和云服务提供商可以提供这种新的数据安全性,从竞争对手中脱颖而出,秋将更容易地维护其年度安全认证,并可能因为网络保险费用的降低而受益,提高安全水平。
物理数据安全性是一个迫在眉睫且被忽视的主题,随着“一般数据保护条例”(GDPR)的***期限的到来,这些话题将获得人们更多的关注。管理数据中心数据资产的安全销毁将使数据中心所有者和管理人员更加安心,因为他们知道在数据泄露控制其业务之前,他们已经掌握了这个流程的控制权。