【51CTO.com快譯】云存儲(chǔ)供應(yīng)商無(wú)法為全部IT管理員提供理想的方案平衡點(diǎn)，但配合第三方選項(xiàng)則能夠有效解決問(wèn)題。

　　云存儲(chǔ)具備諸多優(yōu)勢(shì)，其可幫助IT部門(mén)以集中方式管理、保護(hù)及備份企業(yè)文件。另外，其亦允許用戶隨時(shí)隨地利用認(rèn)證設(shè)備操作文件，并將文件內(nèi)容在多種設(shè)備間進(jìn)行同步(包括工作計(jì)算機(jī)、家用計(jì)算機(jī)以及移動(dòng)設(shè)備等)。

[[178882]]

　　然而潛在的安全缺口往往意味著云存儲(chǔ)無(wú)法提供令人滿意的數(shù)據(jù)安全性水平，且目前尚無(wú)理想的解決方案一次性搞定這項(xiàng)難題。

　　另外，以下場(chǎng)景亦相當(dāng)常見(jiàn)：IT部門(mén)鼓勵(lì)或者要求用戶將全部工作文檔存儲(chǔ)在企業(yè)OneDrive、Dropbox、Box或者Google Drive當(dāng)中。基本上，這些云存儲(chǔ)方案用于全面取代原本的Windows我的文檔文件夾或者M(jìn)acOS中的文稿文件夾。為了高效完成這項(xiàng)目標(biāo)，同時(shí)保證用戶計(jì)算機(jī)軟件的可用性，用戶需要運(yùn)行本地虛擬磁盤(pán)客戶端以支持OneDrive、Dropbox、Box乃至Google Drive。通過(guò)這種方式，我們得以徹底告別U盤(pán)、郵件附件以及其它大家所熟知的資料共享途徑。

　　但其中的風(fēng)險(xiǎn)在于：一旦運(yùn)行有虛擬驅(qū)動(dòng)器軟件的Windows PC或Mac設(shè)備遭到竊取或者為無(wú)關(guān)人士所訪問(wèn)，那么除非IT部門(mén)及時(shí)切斷其與云存儲(chǔ)服務(wù)間的連接，否則虛擬驅(qū)動(dòng)器應(yīng)用仍會(huì)不斷將文檔副本發(fā)送至這些設(shè)備當(dāng)中。如此一來(lái)，數(shù)據(jù)竊賊將輕松獲得持續(xù)更新的企業(yè)文檔及個(gè)中秘密。

　　沒(méi)錯(cuò)，各類(lèi)虛擬驅(qū)動(dòng)器應(yīng)用皆允許用戶選定特定的待同步文件夾，確保用戶計(jì)算機(jī)上不至保留有全部文件。然而，IT部門(mén)無(wú)法管理這些設(shè)置，這意味著企業(yè)文件仍然可能被發(fā)送至遭遇入侵的設(shè)備當(dāng)中。

　　這些虛擬驅(qū)動(dòng)器應(yīng)用出于以下三項(xiàng)理由保留本地副本 ：

　　1. 離線訪問(wèn)，這種能力對(duì)于身在航班上、旅館中以及會(huì)議室內(nèi)的用戶非常重要。另外，即使擁有公共Wi-Fi資源可用，很多企業(yè)也建議用戶不要接入以避免遭遇中間人攻擊。

　　2. 更佳性能，本地文件在打開(kāi)與保存速度上要遠(yuǎn)優(yōu)于互聯(lián)網(wǎng)存儲(chǔ)文件。

　　3. 應(yīng)用程序兼容性與文件可用性，意味著用戶能夠?qū)⒃拼鎯?chǔ)中的文件如本地網(wǎng)絡(luò)驅(qū)動(dòng)器一樣進(jìn)行訪問(wèn)。通過(guò)這種方式，用戶可直接打開(kāi)其設(shè)備上的應(yīng)用程序，而無(wú)論其通過(guò)Excel、Acrobat或者郵件附件等具體方式操作。使用虛擬驅(qū)動(dòng)器還意味著用戶能夠直接管理文件與文件夾，具體包括移除文件、刪除文件、重命名文件、創(chuàng)建文件夾等等。換言之，云存儲(chǔ)的使用效果與本地存儲(chǔ)幾乎一致。

　　云存儲(chǔ)服務(wù)的Web界面不允許本地應(yīng)用打開(kāi)其中文件，且此類(lèi)Web界面通常很難用于文件管理——大家倒是能夠輕松對(duì)文件進(jìn)行重命名及刪除，但其它操作則相當(dāng)困難。虛擬驅(qū)動(dòng)器應(yīng)用是“最、最、最重要的Dropbox用戶服務(wù)接入載體，因此我們鼓勵(lì)用戶利用此類(lèi)應(yīng)用進(jìn)行操作，而非使用局限巨大的Web界面，”Dropbox公司業(yè)務(wù)與企業(yè)產(chǎn)品經(jīng)理Rob Baesman表示。IT部門(mén)可能更傾向于純Web云存儲(chǔ)用例帶來(lái)的理想安全水平，但這種導(dǎo)向在可行性方面實(shí)在太過(guò)薄弱。

　　微軟公司的Office 2016應(yīng)用能夠直接打開(kāi)存儲(chǔ)于OneDrive中的Office文件，但這種介于Office 2016與云存儲(chǔ)Office文件間的直接鏈接不適用于其它文件格式或者應(yīng)用。同樣的，谷歌的純移動(dòng)端G Suite生產(chǎn)力應(yīng)用也存在類(lèi)似的問(wèn)題。很明顯，二者都不足以解決問(wèn)題。

　　最后一個(gè)問(wèn)題——即應(yīng)用程序兼容性與文件可用性——亦非常重要，這意味著企業(yè)必須在安全性與用戶生產(chǎn)效率之間作出取舍。如果企業(yè)僅允許通過(guò)Web界面訪問(wèn)云存儲(chǔ)文檔，那么結(jié)果將顯而易見(jiàn)：用戶會(huì)直接下載文件或者虛擬驅(qū)動(dòng)器應(yīng)用以提升操作感受，或者盡可能拖延工作——特別是在差旅途中。用戶傾向于選擇感受更好的工作方式，因此一味禁止起不到任何積極作用。

　　好消息是，移動(dòng)iOS與Android虛擬驅(qū)動(dòng)器應(yīng)用不會(huì)將Box、Dropbox、Google Drive以及OneDrive中的文件保存在本地。但遺憾的是，Windows及MacOS版應(yīng)用會(huì)保存本地副本，這意味著計(jì)算機(jī)在文檔處理安全性方面遠(yuǎn)低于移動(dòng)設(shè)備。

　　另外，移動(dòng)云存儲(chǔ)應(yīng)用可能將很快引入本地?cái)?shù)據(jù)副本存儲(chǔ)以實(shí)現(xiàn)離線使用。事實(shí)上，Dropbox公司日前宣布其即將允許用戶在iOS及Android設(shè)備上保留本地同步副本以供離線使用。

　　當(dāng)然，不同數(shù)據(jù)所帶來(lái)的潛在風(fēng)險(xiǎn)程度亦有所區(qū)別。對(duì)于普通數(shù)據(jù)而言，云存儲(chǔ)供應(yīng)商往往提供非本地同步或者其它保護(hù)選項(xiàng)。

　　然而如果您的數(shù)據(jù)非常關(guān)鍵，那么目前在計(jì)算機(jī)端尚不存在理想的解決方案。不過(guò)IT部門(mén)可以考慮其它一些選項(xiàng)以降低必須使用虛擬驅(qū)動(dòng)器訪問(wèn)應(yīng)用時(shí)的風(fēng)險(xiǎn)水平。

　　選項(xiàng)一：強(qiáng)制執(zhí)行或提供加密機(jī)制

　　辦法之一在于立足用戶設(shè)備強(qiáng)制執(zhí)行加密。這一目標(biāo)在iOS與Android設(shè)備上易于實(shí)現(xiàn)，但在Windows與MacOS平臺(tái)上則較為困難——特別是在用戶的個(gè)人計(jì)算機(jī)當(dāng)中。另外，大家也可以使用管理策略以避免來(lái)自未加密計(jì)算機(jī)的企業(yè)信息訪問(wèn)操作。加密機(jī)制能夠有效屏蔽大多數(shù)未授權(quán)訪問(wèn)——當(dāng)然，前提是用戶密碼擁有理想的長(zhǎng)度與強(qiáng)度。

　　目前市面上存在多種第三方工具可實(shí)現(xiàn)云存儲(chǔ)文件加密，Secomba公司的Boxcryptor就能夠很好地完成任務(wù)。其面向Windows、MacOS、iOS與Android四大主流系統(tǒng)平臺(tái)，同時(shí)亦在Chrome OS上推出了beta測(cè)試版本。批量許可價(jià)格為每用戶每月8美元。

　　此類(lèi)跨平臺(tái)加密方案能夠阻止數(shù)據(jù)失竊，但其亦要求用戶以手動(dòng)方式加密文件或者將其移動(dòng)至加密文件夾內(nèi)。因此，其實(shí)際效果取決于用戶的實(shí)際操作——這顯然不夠可靠。

　　選項(xiàng)二：使用數(shù)字化版權(quán)管理

　　另一種方案是利用數(shù)字化版權(quán)管理軟件將訪問(wèn)管理與加密機(jī)制相結(jié)合。此類(lèi)工具成本高昂且需要配合IT部門(mén)管理方可起效。不過(guò)如果數(shù)據(jù)安全對(duì)您的企業(yè)而言非常重要，那么其仍然物有所值。

　　如果大家身為微軟用戶——如同大多數(shù)企業(yè)一樣——并使用OneDrive及/或SharePoint，則意味著您應(yīng)當(dāng)選擇微軟的Azure信息保護(hù)技術(shù)，其屬于Office 365訂閱服務(wù)的附加選項(xiàng)。此工具集能夠利用數(shù)字化版權(quán)管理機(jī)制進(jìn)行文件封包，并要求提供密鑰以進(jìn)行訪問(wèn)——類(lèi)似于特定文件加密機(jī)制。

　　Azure信息保護(hù)技術(shù)分為多個(gè)版本，大家可以根據(jù)自身預(yù)算情況進(jìn)行選擇。但需要注意的是，非微軟應(yīng)用、文件格式以及操作系統(tǒng)往往不受支持。舉例來(lái)說(shuō)，Azure信息保護(hù)服務(wù)目前僅支持Windows用戶，不過(guò)微軟方面表示其未來(lái)“將”支持MacOS、iOS與Android用戶。

　　另外我們亦可從各類(lèi)第三方訪問(wèn)管理及云存儲(chǔ)加密供應(yīng)商中作出選擇，具體包括Vera(面向Box、Dropbox以及OneDrive)、Barracuda Network公司的子公司Sookasa(面向Dropbox與Google Drive)以及nCrypted Cloud(面向Box、Dropbox、Google Drive以及OneDrive)。

　　大家還可以徹底移除虛擬驅(qū)動(dòng)器應(yīng)用及其文件，轉(zhuǎn)而使用Box或Dropbox提供的企業(yè)版管理員控制臺(tái)或企業(yè)移動(dòng)管理套件。不過(guò)仍有相當(dāng)一部分企業(yè)移動(dòng)管理工具并不支持對(duì)Windows或MacOS平臺(tái)中的云存儲(chǔ)內(nèi)容進(jìn)行選擇性清除。具體來(lái)講，只要不接入網(wǎng)絡(luò)，落入盜竊者手中的設(shè)備就不會(huì)觸發(fā)遠(yuǎn)程清除、系統(tǒng)鎖定或者其它遠(yuǎn)程IT限制功能。

　　選項(xiàng)三：使用第三方虛擬化驅(qū)動(dòng)器應(yīng)用

　　對(duì)于Windows及MacOS平臺(tái)，ExpanDrive能夠面向Amazon S3、Box、Dropbox、FTP與SFTP、Google Drvie、OneDrive、WebDAV服務(wù)器以及其它一些冷門(mén)存儲(chǔ)服務(wù)創(chuàng)建虛擬驅(qū)動(dòng)器。

　　與Box、Dropbox、Google Drive以及OneDrive提供的原生虛擬驅(qū)動(dòng)器應(yīng)用不同，ExpanDrive的虛擬驅(qū)動(dòng)器不會(huì)進(jìn)行本地副本同步; 所有文件皆保存在云服務(wù)當(dāng)中(當(dāng)然，亦駐留于當(dāng)前設(shè)備的內(nèi)存中)。這意味著用戶需要擁有互聯(lián)網(wǎng)連接方可操作云存儲(chǔ)文件。但這同時(shí)意味著不存在可能被未授權(quán)人士窺探的本地副本。

　　純Mac平臺(tái)選項(xiàng)則推薦Eltima Software公司的CloudMounter，其能夠面向Amazon S3、Dropbox、FTP與SFTP、Google Drive、OneDrive以及WebDAV服務(wù)器創(chuàng)建虛擬驅(qū)動(dòng)器。(注意，其中不包括Box)。其運(yùn)作方式與ExpanDrive基本一致。

　　ExpanDrive與CloudMounter皆提供設(shè)置選項(xiàng)以自動(dòng)掛載其虛擬云驅(qū)動(dòng)器，因此一旦設(shè)置完成，用戶即可訪問(wèn)云存儲(chǔ)文件。雖然這類(lèi)方案能夠較好滿足IT部門(mén)的需求，但其實(shí)際應(yīng)用范圍并不甚廣。這是因?yàn)锽ox、Dropbox、Google Drive與OneDrive提供的原生應(yīng)用才是用戶們的最?lèi)?ài)。而如果IT部門(mén)禁止接入云服務(wù)，那么ExpanDrive與CloudMounter也將無(wú)能為力——而且在這種情況下，后兩者還不提供任何本地副本可供操作。

　　需要注意的是，ExpanDrive與CloudMounter還存在以下缺陷：

　　· 即使計(jì)算機(jī)失去互聯(lián)網(wǎng)連接，二者仍會(huì)掛載最終打開(kāi)過(guò)的文件——這意味著在重啟設(shè)備之前，您的計(jì)算機(jī)中仍保留有緩存副本。

　　· 二者在文件訪問(wèn)與更新方面存在巨大延遲，因此如果某個(gè)文件已經(jīng)被刪除或者移動(dòng)至其它位置，大家可能在數(shù)秒甚至數(shù)分鐘內(nèi)都不會(huì)看到對(duì)應(yīng)變化。

　　· 兩款應(yīng)用都無(wú)法更新文件重命名操作，因此大家的文件名不在本地虛擬驅(qū)動(dòng)器與云存儲(chǔ)間的同步范圍之內(nèi)。

　　· 部分文件類(lèi)型不支持文件版本控制功能。

　　另外，即使擁有ExpanDrive或者CloudMounter，IT部門(mén)仍然很難阻止用戶安裝云存儲(chǔ)服務(wù)的原生應(yīng)用以實(shí)現(xiàn)離線訪問(wèn)。不過(guò)大家可以阻止用戶在管理控制下的計(jì)算機(jī)及移動(dòng)設(shè)備上安裝此類(lèi)應(yīng)用。目前最大的問(wèn)題在于如何對(duì)用戶的個(gè)人設(shè)備進(jìn)行控制，特別是考慮到確實(shí)有很多人傾向于在自有設(shè)備上使用云存儲(chǔ)服務(wù)。

　　如果以上局限在您的承受范圍內(nèi)，ExpanDrive可用于Windows及MacOS平臺(tái)，且每位用戶的許可費(fèi)用為50美元(注意，單用戶而非單計(jì)算機(jī))。三用戶許可為130美元，五用戶許可200美元，十用戶許可為350美元，二十五用戶許可則為750美元。如果大家希望預(yù)付未來(lái)全部升級(jí)費(fèi)用，則每用戶還需要額外支付 75美元——否則，每一輪升級(jí)都要求各用戶再次付費(fèi)。

　　而如果能夠接受相關(guān)局限，CloudMounter的單Mac設(shè)備(注意，單設(shè)備而非單用戶)價(jià)格為30美元，五Mac設(shè)備為100美元，五十臺(tái)Mac設(shè)備則要價(jià)150美元。大家也可以為未來(lái)的一切升級(jí)進(jìn)行預(yù)付費(fèi)，價(jià)格為每Mac設(shè)備15美元，五Mac設(shè)備50美元，五十臺(tái)Mac設(shè)備75美元。該公司表示，其計(jì)劃于明年推出iOS版本，且未來(lái)還將陸續(xù)推出Windows與Android版本。

　　最后，在Windows環(huán)境下配合OneDrive時(shí)，大家也可以將OneDrive(以及SharePoint)設(shè)置為網(wǎng)絡(luò)驅(qū)動(dòng)器，即非基于應(yīng)用型虛擬驅(qū)動(dòng)器。網(wǎng)絡(luò)驅(qū)動(dòng)器不會(huì)在PC上保留文件同步副本; 另外，其亦不像OneDrive應(yīng)用那樣支持OneDrive中的多種共享及協(xié)作功能。

　　云存儲(chǔ)供應(yīng)商的可選方案——及未加采用的理由

　　對(duì)于Box、Dropbox、Google Drive以及OneDrive而言，其可在Windows與MacOS平臺(tái)上實(shí)現(xiàn)以下功能以解決問(wèn)題：

　　· 提供非本地副本選項(xiàng)，用以實(shí)現(xiàn)類(lèi)似于ExpanDrive或CloudMounter的效果。

　　· 加密本地副本選項(xiàng)，要求使用密碼以在每次計(jì)算機(jī)重啟后訪問(wèn)此類(lèi)副本(類(lèi)似于Boxcryptor，但面向全部云同步文件)。

　　這兩種選項(xiàng)都能夠滿足IT部門(mén)的管理需求，當(dāng)然，其也會(huì)導(dǎo)致ExpanDrive與CloudMounter再無(wú)用武之地。

　　對(duì)于第一種選項(xiàng)，微軟的OneDrive可實(shí)現(xiàn)這種使用方式，即為云存儲(chǔ)條目提供占位符(別名)而非實(shí)際本地副本。然而微軟公司在Windows 8.1版本中取消了這項(xiàng)功能，理由是該功能令用戶搞不清楚其中哪些是本地同步文件，而哪些是云存儲(chǔ)文件。

　　微軟方面同時(shí)指出，其計(jì)劃在2017年年內(nèi)推出一項(xiàng)名為On-Demand的新型占位符功能，但尚不清楚其工作機(jī)制以及是否可在Windows平臺(tái)之外使用。(微軟表示，‘我們目前對(duì)此無(wú)可奉告’。)要真正實(shí)現(xiàn)IT層面的可行意義，管理員需要有能力設(shè)置本地同步的具體權(quán)限，但無(wú)論是在OneDrive內(nèi)還是現(xiàn)有Azure信息保護(hù)服務(wù)中，微軟都從未提供過(guò)類(lèi)似的功能。

　　Dropbox公司也擁有自己的占位符技術(shù)，名為Infinite項(xiàng)目; 其目前處于內(nèi)部beta測(cè)試階段。該項(xiàng)目?jī)H同步用戶實(shí)際打開(kāi)的文件，而非像現(xiàn)有Dropbox客戶端那樣同步全部文件。不過(guò)Dropbox公司的Baesman解釋稱，由于用戶調(diào)查顯示操作速度太慢，因此其不會(huì)提供純同步選項(xiàng)。他個(gè)人建議使用第三方加密工具解決此類(lèi)問(wèn)題。

　　對(duì)于第二種選項(xiàng)，Baesman同樣建議利用第三方工具實(shí)現(xiàn)密碼保護(hù)型本地存儲(chǔ)內(nèi)容加密。

　　我個(gè)人的觀點(diǎn)是，目前的云存儲(chǔ)安全性困局在可預(yù)見(jiàn)的未來(lái)不會(huì)發(fā)生任何改變。本地同步的便利性與生產(chǎn)效率優(yōu)勢(shì)遠(yuǎn)大于計(jì)算機(jī)丟失或者被盜的風(fēng)險(xiǎn)。另外，我們亦可利用其它工具降低計(jì)算機(jī)遭受入侵的風(fēng)險(xiǎn)，特別是設(shè)備鎖定、遠(yuǎn)程清除、強(qiáng)制性設(shè)備加密以及利用權(quán)限管理進(jìn)行個(gè)人文件加密等選項(xiàng)。事實(shí)上，這些技術(shù)不僅能夠保護(hù)云存儲(chǔ)信息，對(duì)于本地文件亦有著很好的保護(hù)效果。

　　原文鏈接：http://www.infoworld.com/article/3146135/cloud-storage/the-cloud-storage-security-gap-and-how-to-close-it.html

　　原文標(biāo)題：The cloud storage security gap -- and how to close it

　　原文作者：Galen Gruman

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】 

 　　了解更多熱點(diǎn)新聞，請(qǐng)關(guān)注51CTO《科技新聞早報(bào)》欄目!