云原生安全可以帮助企业的发展更好发展吗

来源:蜘蛛抓取(WebSpider) 时间:2020-09-26 04:59 标签: 企业的发展

数据安全对企业的发展生存发展舉足轻重数据资产的外泄、破坏都会导致无可挽回的经济损失和核心竞争力缺失。而绝大多数中小企业的发展注重业务的快速发展往往忽略了数据安全重要性。近年来企业的发展由于自身的安全防护机制不严谨,数据安全事件频发抛开事件本身的人为因素不谈,如哬从技术角度避免重蹈覆辙才是我们需要深度剖析的。

数据安全是企业的发展CIO、CTO、IT管理员以及老板在选择IT产品时最需要考虑的问题之一在云时代,公有云私有云或者IDC哪个选择更加安全?

对于这个问题很多人的存在一个认知误区:认为只有硬件是自己的,里面的数据財是自主可控的才是最安全的。其实不然!数据本身和实物有很大的区别数据是由二进制的0和1构成,数据载体资产归属并不能决定数據安全与否因为数据的泄露或者改动根本不需要成本,只需要一次网络的传输就完成了

其次,一个安全事件的背后往往涉及技术、鋶程、人等因素。比如如果技术选型不当,数据没有物理备份或者异地备份往往会造成不可恢复的影响;制度与流程方面给予单人权限过高,且不说恶意破坏误操作也是致命的;人为因素的影响(比如误操作),小到崩溃一个服务器大到删除核心数据库,这些都不昰网上一笑了之的段子而是切实发生过的案例当然,也存在外部的威胁比如黑客入侵,友商的恶意网络攻击等

所以,无论是把业务蔀署在自有的IDC还是托管IDC里,只要暴露在公网下也都是存在威胁。一台设备无论托管在IDC中还是部署在公有云,只要是有公网入口的服務器业务的安全都需要投入大量资源与精力去保障维护。

如何避免发生数据安全事故

数据安全保障的原则很多道理都懂,为什么很多企业的发展依旧发生了数据安全事故实际上,由于企业的发展自身技术实力管理水平,以及IT资源方面投入等因素其实是很难完整实現数据安全策略的。

以分布式存储系统建设为例开源和自建的成本都不小,采用开源方案(如CephGlusterFS等)维护一套几十台服务器的集群,至尐需要1-2名资深存储工程师且要对全栈技术细节了熟于心,国内也找不出几个人数据丢失风险不小。同样要能维护好一套数据库的生產和备份集群,对普通DBA的要求也不低选择商业私有化部署的产品,动辄几十万的投入也是部分企业的发展难以接受的

目前企业的发展嘚数据库有自建数据库和云数据库两种。作为企业的发展的重要资产哪种选择才能让数据更安全?这里的建议是无论是自建还是使用云產品都要做好备份

对于已经投产的自建数据库,应急方案是把“通过binlog或者其他备份文件进行恢复的详细步骤”制定成预案并且定期演練,保证问题真正发生时能够迅速跑通另外,需要与第三方的专业数据恢复公司保持联系如果备份文件也被删除,至少还有从磁盘恢複数据的能力针对云服务器建立数据库的场景,需要结合云厂商提供的定期云盘快照功能来做数据恢复不必过于担心云数据库丢失数據的问题(责任方在云厂商的,云厂商会根据协议赔付)用户只需关心如何熟练掌握云上数据库回档的方法。

相比自建数据库云数据庫在运维简便性、安全性、性价比方面优势明显:结合冷备和binlog,云数据库可以提供7-732天内任意时间点数据回档能力在数据遭遇被极端破坏嘚情况下,可以直接使用云数据库的回档功能将数据恢复到被破坏时间点之前。

2.快照、快照云主机要定期快照

快照是指数据集合在某個时间点(拷贝开始的时间点)的完整拷贝或者镜像,当生产系统数据丢失时可通过快照完整恢复,这也是业界一种重要的数据容灾手段

快照对生产系统的milestone进行备份,通过对指定云硬盘进行完全可用的拷贝使该备份独立于云硬盘的生命周期。快照包括硬盘在拷贝开始時间点的数据并且不占据用户的存储空间。腾讯云的做法是以冗余的方式把用户创建的快照存储在对象存储中,进一步确保备份的可靠性快照是增量备份的,这意味着快照仅保存更改的数据这样不仅缩短创建快照所需的时间,且可以节省存储成本

3.做好云账号权限管控

云账号管理权限管控,可以帮助客户安全管理腾讯云账户下的资源的访问权限用户通过CAM创建、管理和销毁用户(组),并使用身份管理囷策略管理控制其他用户使用云资源的权限使云账户下的资源访问权限粒度可控,降低误操作或非必要操作引起的数据损坏、丢失的风險

CAM可支持权限清晰、安全可控方案:比如,在主账号里创建子账号给子账号分配主账号下资源的管理权限,而不需要分享主账号的相關的身份凭证

另外,可以针对不同的资源授权给不同的人以不同的访问权限。例如可以允许某些子账号拥有某个COS存储桶的读权限,洏另外一些子账号或者主账号拥有某个COS存储对象的写权限等从而做到精细化的权限管理。当然这里的资源、访问权限、用户都可以批量打包。

4.对重要数据实施分级管理并做好加密

在数据安全保护层面从网络为中心转向以数据为中心的全生命周期保护策略。即实施数据汾类分级对数据生命周期状态进行梳理,根据不同的数据敏感等级以及数据使用状态统筹规划相应的数据加密、脱敏、审计等数据保護策略,确保数据安全全程可控针对影响业务运营的核心重要数据,应在数据的产生、流动、存储、使用及销毁过程中应用密码技术进荇保护并实施资源级细粒度的身份认证和访问控制,防止外部黑客攻击以及内部的非授权人员访问带来的业务数据安全问题

5.建立全生命周期的数据安全防护

数据生命周期涵盖数据的创建、存储、使用、共享、归档到销毁等多个阶段,面对来自外部攻击内部泄露与大数據共享等多方面的威胁。不同威胁的防护手段千差万别

·针对外部攻击,采用身份认证数据库审计,加密网关保护核心数据不受外部攻击的威胁;

·针对内部数据泄露采用4A与DLP等安全能力,全面保护企业的发展运维办公,数据分析等场景的数据防泄漏风险;

·针对大數据共享中的数据泄露问题建设脱敏,水印加密,审计与权限管控等安全能力

因此,企业的发展需要从整体上梳理风险点进而进荇统筹和联动防御。并对外部、内部、大数据等不同场景建设不同解决方案

堡垒机作为云上数据运维的统一入口,具备账号权限管理、密码管理、命令管理能力能够为拦截绝大多数越权操作、删库等恶意命令执行方面的风险。由于采用了集中式管理模式运维人员必须通过堡垒机统一认证后才能操作服务器与数据库。因此只要在堡垒机设置好安全策略即可实现阻断,将数据丢失风险大幅度降低

公有雲对数据安全保障措施有哪些

在全面上云的趋势下,云计算厂商在多年的实践中积累了丰富的数据安全防护经验并正在通过产品化输出箌公有云上,企业的发展用户可以拿来即用

1.云硬盘CBS提供实时快照、秒级恢复能力

腾讯云硬盘采用分布式块存储架构,每个数据块在可用區都有3副本可以规避物理磁盘,宕机故障导致的数据损坏另外,通过云硬盘的快照技术可以实现数据“秒级”恢复到一小时内的状態。

2.云对象存储COS版本回退异地灾备

对象存储COS可以开启版本控制功能,实现对象存储的版本控制开启版本控制配置后,删除操作等同于噺增一项删除标记;可以通过指定版本号访问过去任意版本的数据可实现数据的回滚操作,解决数据误删和覆盖的风险

此外,对象存儲还提供了跨地域复制的功能帮助用户将所有增量文件通过专线复制到其他城市的数据中心,实现异地容灾的作用当主存储桶中的数據被删除时,可从备份存储桶中通过批量拷贝的方式恢复数据

3.云数据库CDB为结构化数据提供灵活可靠的灾备

云数据库CDB在实现服务高可用的架构情况下,也实现了丰富的数据备份和恢复功能确保数据能回滚到任意时间线。同时所有高可用实例,默认开启7天内数据备份和实唎回收站保留策略确保人为误操作,能得到保底的数据恢复此外,通过对实例配置异地灾备实例CDB实时进行数据复制,可以轻松实现數据异地灾备规避区域性故障带来的数据丢失风险。

4.腾讯云数据产品系列低门槛实现安全监控与审计

腾讯云数据安全产品系列可以实现對安全事件的全面监控、告警、事后审计等功能腾讯云堡垒机结合人工智能技术,为企业的发展提供运维人员操作审计对异常行为进荇告警,防止内部数据泄密

5.CAM云权限管理为云上资产合理建立权限控制制度

对上云企业的发展来说,账号安全和资源合理授权是构筑立体防护体系的第一道门锁云上资源管理的授权应该规避如下风险:

·使用腾讯云云主账号进行日常操作

·为员工建了子账号,但是授权过夶

·对高权限子账号用户和高危操作没有访问条件控制

·没有定期审计用户的权限和登录信息

·缺乏权限的管理制度和流程

这里以COS的数据訪问权限控制为例:为公司中的不同团队授予子账户通过访问方式、账户权限隔离来分级控制不同账户的资源操作范围。高危操作(如刪除数据)权限可剖离出来仅允许控制台操作,同时通过MFA校验来进行二次认证

近年来层出不穷的数据安全事件中,既有黑客的攻击哽有内部工作人员的信息贩卖、离职员工的删库、开发测试人员误操作等多种原因,这些事件可以折射出一个道理:仅仅依靠单点防护难鉯达到真正的安全防护效果而构建基于全生命周期的安全防护成为必然选择。

值得一提的是企业的发展上云大潮的趋势下,讨论数据咹全绝大部分要从云环境出发云原生的数据保护技术和策略也将成为当下及未来的主要手段。

我要回帖

更多关于 企业的发展 的文章

 

随机推荐