?譯者 | 布加迪

審校 | 孫淑娟

了解如何安全可靠地遷移到云。本文介紹了遷移過程中確保數(shù)據(jù)安全的技巧和步驟。  

越來越多的組織正在將關(guān)鍵任務(wù)系統(tǒng)和數(shù)據(jù)遷移到云端。雖然遷移到所有類型的云服務(wù)和所有類型的云服務(wù)之間遷移帶來了安全挑戰(zhàn)，但遷移到公共云服務(wù)和公共云服務(wù)之間遷移帶來了最大的安全挑戰(zhàn)，稍有不慎可能會(huì)有嚴(yán)重的后果。

本文將介紹公司在云遷移過程中面臨的一些常見的安全威脅，以及為了應(yīng)對(duì)這些威脅應(yīng)該遵循的優(yōu)秀實(shí)踐。

一、云遷移中的數(shù)據(jù)安全嗎？

據(jù)Flexera發(fā)布的《2022年云計(jì)算狀況報(bào)告》顯示，公共云繼續(xù)加快采用，所有受訪者中有一半的工作負(fù)載和數(shù)據(jù)駐留在公共云。由于這種增長(zhǎng)，人們也越來越擔(dān)心云遷移期間的數(shù)據(jù)安全。

其中一些安全問題包括以下方面：

1.API漏洞

用于連接云應(yīng)用程序、數(shù)據(jù)和基礎(chǔ)設(shè)施的應(yīng)用編程接口（API）可能是云數(shù)據(jù)安全的主要漏洞來源。API可能使用薄弱的身份驗(yàn)證和授權(quán)控制、缺少沙盒保護(hù)和擁有過多的特權(quán)。組織將數(shù)據(jù)遷移到云端時(shí)應(yīng)仔細(xì)評(píng)估這些漏洞。

2.安全盲點(diǎn)

由于云基礎(chǔ)設(shè)施中的安全盲點(diǎn)，云數(shù)據(jù)也可能面臨風(fēng)險(xiǎn)。在一些云環(huán)境中，使用軟件即服務(wù)（SaaS）應(yīng)用程序處理敏感數(shù)據(jù)和創(chuàng)建影子IT網(wǎng)絡(luò)等問題很常見。組織在遷移到云端時(shí)應(yīng)意識(shí)到這些潛在的漏洞，并采取措施以緩解漏洞。

3.合規(guī)需求

許多組織在將數(shù)據(jù)遷移到云端時(shí)必須遵守法規(guī)要求。安全合規(guī)需求對(duì)組織來說可能是個(gè)重大挑戰(zhàn)，特別是在云提供商未滿足要求的情況下。

4.數(shù)據(jù)丟失

最后，將數(shù)據(jù)遷移到云端會(huì)增加數(shù)據(jù)丟失的風(fēng)險(xiǎn)。如果云提供商沒有落實(shí)可靠的控制措施以便發(fā)生安全事件時(shí)保護(hù)和恢復(fù)數(shù)據(jù)，尤其如此。

二、云遷移中保護(hù)數(shù)據(jù)的若干技巧

雖然云遷移過程中可能會(huì)出現(xiàn)許多潛在的安全問題，但貴組織的團(tuán)隊(duì)也可以采取一些步驟來更好地保護(hù)應(yīng)用程序和數(shù)據(jù)。我們推薦以下七個(gè)技巧在云遷移期間保護(hù)貴組織的數(shù)據(jù)。

1.了解數(shù)據(jù)

準(zhǔn)備云遷移的公司需要確保它們準(zhǔn)確了解自己的數(shù)據(jù)及其需求。這意味著遷移團(tuán)隊(duì)必須了解其數(shù)據(jù)當(dāng)前和未來的使用情況，以及由公司數(shù)據(jù)治理框架確立的存儲(chǔ)和保留策略。

可以使用各種云管理工具來幫助處理其中一些數(shù)據(jù)理解和優(yōu)化任務(wù)，包括重復(fù)數(shù)據(jù)刪除軟件。保護(hù)云數(shù)據(jù)始于了解云數(shù)據(jù)含有什么以及最終將如何被使用及/或處理。

2.了解數(shù)據(jù)合規(guī)要求

除了了解數(shù)據(jù)本身外，組織還需要了解在云遷移期間適用于其數(shù)據(jù)集的任何合規(guī)要求。

比如說，許多企業(yè)受制于GDPR、PCI-DSS和HIPAA等監(jiān)管框架，這些框架包括了在數(shù)據(jù)遷移前剝離個(gè)人身份信息方面的嚴(yán)格要求。

組織必須確保云基礎(chǔ)設(shè)施提供商滿足合規(guī)要求，或在需要的地方實(shí)施額外的控制措施。

3.確保API安全

將數(shù)據(jù)遷移到云端時(shí)，確?？刂圃L問云應(yīng)用程序和基礎(chǔ)設(shè)施的各種API安全至關(guān)重要。為了增強(qiáng)API安全性，不妨先使用強(qiáng)身份驗(yàn)證和授權(quán)控制措施、保護(hù)API免受惡意或自動(dòng)攻擊，以及消除過多的用戶訪問特權(quán)。

4.傳輸過程中加密數(shù)據(jù)

云遷移中傳輸數(shù)據(jù)可能帶來額外的安全漏洞。保護(hù)敏感信息的一種有效方法是使用端到端加密。

這個(gè)過程通常使用像傳輸層安全（TLS）之類的加密協(xié)議來完成，該協(xié)議在所有數(shù)據(jù)離開開源系統(tǒng)之前對(duì)其進(jìn)行加密，并在數(shù)據(jù)到達(dá)目標(biāo)系統(tǒng)后對(duì)其進(jìn)行解密，從而增添額外的安全層。根據(jù)需要的保護(hù)程度，有多種加密算法可供選擇，不過大多數(shù)使用AES或RSA等現(xiàn)代行業(yè)標(biāo)準(zhǔn)。

公司還應(yīng)確保安全地存儲(chǔ)訪問所需的加密密鑰和憑據(jù)，并定期備份，以防數(shù)據(jù)丟失。利用提供內(nèi)置加密服務(wù)的云提供商可以簡(jiǎn)化這個(gè)過程。在開始遷移之前，公司仍然應(yīng)該進(jìn)行盡職調(diào)查，以確保自己擁有適當(dāng)?shù)墓ぞ吆桶踩胧?/p>

5.云遷移時(shí)限制數(shù)據(jù)訪問

云遷移期間限制對(duì)數(shù)據(jù)的訪問對(duì)于力求安全傳輸信息的企業(yè)來說是至關(guān)重要的一步。您應(yīng)該采取多個(gè)步驟來確保只有預(yù)期的用戶才能在必要時(shí)訪問數(shù)據(jù)。這些步驟包括如下：

• 實(shí)現(xiàn)和實(shí)施用戶級(jí)身份驗(yàn)證和授權(quán)規(guī)則。
• 建立可靠的雙因素身份驗(yàn)證流程。
• 使用來自云提供商的內(nèi)置安全策略。
• 傳輸之前加密所有數(shù)據(jù)。
• 遷移期間定期審計(jì)誰擁有訪問權(quán)。
• 遷移過程中，對(duì)擁有敏感信息的系統(tǒng)完成定期的漏洞掃描。
• 刪除與被解雇員工相關(guān)的任何憑據(jù)或訪問密鑰。

6.考慮分階段遷移策略

一次性遷移數(shù)據(jù)從來都不是一個(gè)好主意，尤其是在處理大量敏感信息時(shí)。分階段遷移策略可以幫助避免數(shù)據(jù)丟失或其他安全問題，讓組織可以確立流程，從而防止數(shù)據(jù)在傳輸過程中未經(jīng)授權(quán)的訪問。

此外，在小范圍內(nèi)實(shí)施安全措施，然后根據(jù)需要逐漸擴(kuò)大范圍通常來得更容易，這讓公司得以主動(dòng)識(shí)別和解決潛在的風(fēng)險(xiǎn)，以免潛在風(fēng)險(xiǎn)變成更嚴(yán)重的問題。

7.實(shí)施停用和消毒活動(dòng)

停用是指檢查仍在數(shù)據(jù)中心中的所有設(shè)備、驅(qū)動(dòng)器和服務(wù)器。制作一份清單，列出所有硬件，這樣您可以確保從當(dāng)前的云或本地存儲(chǔ)服務(wù)器中刪除所有過期的硬件。

您還應(yīng)確保安全地刪除存儲(chǔ)在異地位置的任何數(shù)據(jù)。此外，有必要對(duì)您的云基礎(chǔ)設(shè)施提供商進(jìn)行安全審計(jì)，以確保對(duì)方已落實(shí)可靠的安全措施來保護(hù)和監(jiān)控其系統(tǒng)。

三、如何防止云遷移過程中的數(shù)據(jù)丟失？

企業(yè)可以采取幾個(gè)措施來幫助防止云遷移期間的數(shù)據(jù)丟失，包括如下：

• 為傳輸中的數(shù)據(jù)采用可靠的加密和身份驗(yàn)證工具。
• 遷移期間限制對(duì)敏感數(shù)據(jù)的訪問，并定期審計(jì)擁有訪問權(quán)的人。
• 備份系統(tǒng)中不是遷移計(jì)劃核心部分的關(guān)鍵數(shù)據(jù)。
• 使用允許按部就班地遷移的分階段遷移方法。
• 實(shí)施安全措施，比如停用，這需要從源系統(tǒng)中刪除和消毒所有設(shè)備、驅(qū)動(dòng)器和服務(wù)器。
• 與擁有內(nèi)置安全措施和協(xié)議的云提供商合作，以確保數(shù)據(jù)在整個(gè)遷移過程中受到保護(hù)。

只有在云遷移期間采取積極的步驟來確保數(shù)據(jù)安全，并仔細(xì)規(guī)劃遷移過程以遵守監(jiān)管要求，企業(yè)才能確保最關(guān)鍵的資產(chǎn)在遷移過程中不丟失或受損。

原文鏈接：https://www.techrepublic.com/article/how-to-secure-data-during-cloud-migrations/