保护企业数据隐私需合理存储解决方案
在过去一年中,由于大量公开发布的的数据泄露事件,许多企业的首席信息官/首席信息安全官由此终止职业生涯,而且没有迹象表明在不久的将来事情会变得更容易。该行业正面临着数据安全的两个关键趋势:全球各地政府部门的监管要求越来越高,恶意黑客的策略越来越复杂。诸如欧盟的GDPR法规和美国医疗保健行业的HIPAA等法规重新定义了被视为数据泄露的行为,对企业的威胁越来越多地涉及人类目标和社会工程,以获取有价值的个人数据。
保护组织所拥有的个人数据需要全面的方法,而不仅仅是外围防御。它应该是安全的设计,防止员工无意中引发数据泄露的内部威胁,以及现在和将来的数据安全优先事项的轨迹保持一致。
端到端加密(E2EE):万能的解决方案?
因此,最大限度地减少对数据减少的不健康依赖确实是除了数据加密之外,每千兆字节交付可接受成本的唯一选择。与全闪存形成鲜明对比的是,采用软件定义方法实现这一目标的存储解决方案将成为实现当今监管环境和未来网络威胁所需的数据安全水平所需的基础。
数据加密可以在整个数据中心堆栈中从存储阵列内部到应用程序本身的多个级别进行。
加密存储层(静态)数据一直是首选策略,因为存储阵列可以立即加密数据而不会造成任何性能损失。因此,企业CIO对此表示认同,因为他们可以在数据完全安全的印象下检查“加密”框。然而,情况远非如此,因为企业的攻击面比对数据存储和加密的直接攻击更广泛,因为该层无法保护传输中的数据。
根据Verizon公司的2018年数据泄露调查报告,93%的违规行为是由发送给企业内部员工的网络钓鱼攻击造成的。如今的网络钓鱼攻击比以往任何时候都更复杂,利用社交工程,甚至可以欺骗员工点击恶意链接或向欺诈方发送敏感数据。如果企业只对存储级别的数据进行加密,那么这些易错的工作人员能够访问和使用的数据是完全未加密的,因此在数据库、应用程序和虚拟机等层之间进行转换时存在风险。恶意攻击者可以自由访问个人数据。
因此,必须在业务上进一步应用加密,并在整个技术堆栈中更全面地应用加密,这样无论数据驻留在何处或在传输中,它都不受数据泄露和此类事件的后果的影响(参见GDPR法规第34条第3款)。在数据泄露之后,没有采用这种更新的黄金标准来保护客户数据的企业CIO无疑会被问到为什么他们没有这样做。
与现代数据存储的冲突
虽然在应用程序级别实施加密是抵御安全威胁的新兴关键要求,但面对现代数据存储的现实,它可能会带来巨大的问题。此外,数据中心中全闪存阵列(AFA)的普遍使用被许多人誉为未来,正面临着在最需要的地方实施端到端加密(E2EE)的能力。
全闪存阵列(AFA)严重依赖数据减少,以可承受的成本为企业提供高水平的性能。在这种情况下,全闪存阵列(AFA)的存在问题是实施端到端加密(E2EE)的成本从根本上超过了数据减。例如,如果企业的数据减少比率由于加密而从4:1下降到1:1,那么全闪存的已经高成本的成本将增加四倍,这一提议对于企业而言根本站不住脚。
因此,最小化这种对数据减少的不健康依赖实际上是在数据加密的同时提供可接受的每TB成本的唯一选择。与全闪存形成鲜明对比的是,采用软件定义方法实现这一目标的存储解决方案将成为实现当今监管环境和未来网络威胁所需的数据安全水平所需的基础。
企业必须意识到他们的技术投资必须支持他们未来的数据安全轨迹。现在任何无法实施端到端加密的基础设施决策只是技术债务的另一种积累,可能是保护个人数据的失败。