傳統(tǒng)上，存儲和安全在IT部門中是相互獨立的學科。雖然在數(shù)據(jù)中心中這兩個團隊會有一些重疊的關(guān)注點，并且在一些項目上一起工作，但它們在很大程度上是截然不同的。

傳統(tǒng)上，存儲和安全在IT部門中是相互獨立的學科。雖然在數(shù)據(jù)中心中這兩個團隊會有一些重疊的關(guān)注點，并且在一些項目上一起工作，但它們在很大程度上是截然不同的。

現(xiàn)在，這種模式正在發(fā)生變化。Sels、達美航空、Panera Bread、Saks Fifth Avenue、Lord&Taylor、MyFitnessPal、Orbitz、聯(lián)邦快遞等一些公司的安全漏洞持續(xù)不斷的消息讓企業(yè)IT非常關(guān)注自己面臨的風險。

許多人正在采用DevSecOps，而這種方法可以使組織中的每個人都對安全負責。對于存儲人員來說，這意味著需要更加關(guān)注數(shù)據(jù)存儲安全性。 

什么是數(shù)據(jù)存儲安全?

數(shù)據(jù)存儲安全性是IT安全領(lǐng)域的一個子集，專門用于保護存儲設(shè)備和系統(tǒng)。

而存儲網(wǎng)絡(luò)行業(yè)協(xié)會(SNIA)詞典則提供了數(shù)據(jù)存儲安全性的定義：

存儲安全：應(yīng)用物理、技術(shù)和管理控制來保護存儲系統(tǒng)和基礎(chǔ)設(shè)施以及存儲在其中的數(shù)據(jù)。存儲安全專注于保護數(shù)據(jù)(及其存儲基礎(chǔ)設(shè)施)，防止未經(jīng)授權(quán)的泄露、修改或破壞，同時確保授權(quán)用戶的可用性。這些控制措施可能是預(yù)防性的、偵查性的、糾正性的、威懾性的、恢復(fù)性的或補償性的。

SNIA還指出，安全存儲“也可能是針對對手的一道防線，但前提是存儲管理人員和管理員花費時間和精力實施和激活可用的存儲安全控制?！?/p>

對于存儲管理人員和管理員來說，確保正確的數(shù)據(jù)存儲安全性是一個謹慎的平衡行為。他們必須權(quán)衡首字母縮略詞CIA涵蓋的三個主要問題：機密性(confidenTIality)，完整性(integrity)和可用性(availability)。他們必須使敏感數(shù)據(jù)不受未授權(quán)用戶的影響，他們必須確保系統(tǒng)中的數(shù)據(jù)是可靠的，同時還要確保組織中需要訪問數(shù)據(jù)的每個人都可以使用這些數(shù)據(jù)。

同時，他們需要非常了解成本和數(shù)據(jù)的價值。沒有人希望數(shù)據(jù)存儲安全系統(tǒng)終比他們所保護的數(shù)據(jù)價值更加昂貴。然而，組織也需要有足夠強的安全系統(tǒng)進行保護，這就要求潛在的攻擊者花費更多的時間和資源，而不是數(shù)據(jù)終的價值。 

數(shù)據(jù)安全與數(shù)據(jù)保護

存儲安全和數(shù)據(jù)安全與數(shù)據(jù)保護密切相關(guān)。數(shù)據(jù)安全主要包括防止將私人信息泄露給未經(jīng)授權(quán)的人。它還包括保護數(shù)據(jù)免受其他類型攻擊的影響，例如阻止訪問信息的勒索軟件或改變數(shù)據(jù)的攻擊，使其不可靠。

數(shù)據(jù)保護更關(guān)注的是確保數(shù)據(jù)在惡性事件發(fā)生后保持可用，這些事件例如系統(tǒng)或組件故障，甚至自然災(zāi)害。

而為了確保信息的可靠性和可用性，以及需要從可能威脅組織數(shù)據(jù)的任何事件中恢復(fù)過來，數(shù)據(jù)安全和數(shù)據(jù)保護這二者的共同需求重疊。存儲人員經(jīng)常發(fā)現(xiàn)他們自己同時處理數(shù)據(jù)安全和數(shù)據(jù)保護問題，并且采用一些相同的實踐可以幫助解決這兩個問題。

數(shù)據(jù)安全和數(shù)據(jù)保護顯然是重疊的問題 

數(shù)據(jù)存儲安全的關(guān)鍵驅(qū)動因素

近的一些趨勢正在增加企業(yè)對數(shù)據(jù)安全的興趣。它們包括以下內(nèi)容：

?數(shù)據(jù)增長 - 據(jù)調(diào)研機構(gòu)IDC稱，計算機系統(tǒng)存儲的數(shù)據(jù)量每兩年大約翻一番。對于企業(yè)來說，這意味著不斷需要添加新的存儲設(shè)備以滿足業(yè)務(wù)需求。而隨著存儲量的增長，它們作為目標變得更有價值，并且更難以保護。

?網(wǎng)絡(luò)攻擊增長 – Verizon公司2018年數(shù)據(jù)泄露調(diào)查表明，2017年發(fā)現(xiàn)了53,000起安全事件，其中包括2,216起數(shù)據(jù)泄露事件，而這只是組織實際發(fā)生事件的一小部分。英國政府機構(gòu)近發(fā)布的一份顯示，2017年的網(wǎng)絡(luò)攻擊比其他任何一年都多。幾乎每天都有這樣的消息出現(xiàn)在新聞中，這讓企業(yè)擔心自己的安全狀況。

?數(shù)據(jù)泄露的成本 - 數(shù)據(jù)泄露恢復(fù)成本非常高昂。波洛蒙研究所對2017年數(shù)據(jù)泄露成本的調(diào)查研究中發(fā)現(xiàn)，在2017年發(fā)生的安全事件中，發(fā)生違規(guī)事件的企業(yè)平均每個事件損失約為362萬美元，這些費用可以成為提高數(shù)據(jù)安全性的強大壓力。

?提高數(shù)據(jù)價值 - 由于大數(shù)據(jù)分析的興起，企業(yè)比以往任何時候都更加意識到數(shù)據(jù)的價值。根據(jù)調(diào)研機構(gòu)Gartner公司的調(diào)查，近年來大數(shù)據(jù)分析市場增長高達63.6%，到2020年，企業(yè)可能會花費228億美元購買工具，幫助他們發(fā)現(xiàn)有價值的數(shù)據(jù)見解。但為了讓分析證明有用，企業(yè)需要能夠確保數(shù)據(jù)的真實性，這意味著企業(yè)將更多地投資于安全性。

?無邊界網(wǎng)絡(luò) - 由于像云計算和物聯(lián)網(wǎng)(IoT)這樣的新興技術(shù)的發(fā)展，企業(yè)現(xiàn)在的數(shù)據(jù)分布比以往更多、更廣泛。企業(yè)網(wǎng)絡(luò)不再具有組織可以采用防火墻定義和保護的硬性優(yōu)勢。相反，他們必須更加深入地依靠深度防御，包括存儲安全來保護他們的信息。

?規(guī)例 - 政府部門對數(shù)據(jù)安全越來越感興趣，并因此制定了更強大的法律。歐盟的一般數(shù)據(jù)保護條例(GDPR)將于2018年5月25日生效，這迫使在經(jīng)營的企業(yè)采取更強有力的措施保護客戶隱私，同時也會影響存儲安全。

?需要業(yè)務(wù)連續(xù)性 - 2017年是美國自然災(zāi)害創(chuàng)紀錄的一年，突出了業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)能力的需求。這推動了對安全備份和其他存儲安全技術(shù)的需求。

?DevSecOps方法 - 據(jù)調(diào)研機構(gòu)Forrester稱，63%的組織已經(jīng)實施了DevOps，另有27%計劃這樣做。隨著DevOps的發(fā)展，越來越多的企業(yè)開始對其越來越感興趣，DevSecOps將安全整合到方法中，并在整個組織中傳播安全責任，其中包括數(shù)據(jù)存儲團隊。

存儲系統(tǒng)的漏洞

數(shù)據(jù)存儲安全性的另一個重要推動因素是存儲系統(tǒng)固有的漏洞。它們包括以下內(nèi)容：

?缺乏加密 - 盡管一些高端NAS和SAN設(shè)備包含自動加密功能，但市場上的許多產(chǎn)品并不包含這些功能。這意味著組織需要安裝單獨的軟件或加密設(shè)備，以確保其數(shù)據(jù)已加密。

?云存儲 - 越來越多的企業(yè)選擇將部分或全部數(shù)據(jù)存儲在云中。盡管有人認為云存儲比內(nèi)部部署的存儲更安全，但云計算增加了存儲環(huán)境的復(fù)雜性，并且通常需要存儲人員學習新工具，并實施新程序，以確保數(shù)據(jù)得到充分保護。

?不完整的數(shù)據(jù)銷毀 - 從硬盤或其他存儲介質(zhì)中刪除數(shù)據(jù)時，可能會留下可能導(dǎo)致未經(jīng)授權(quán)的人員恢復(fù)該信息的痕跡。存儲管理人員和管理者需要確保從存儲中刪除的任何數(shù)據(jù)都被覆蓋，以至于無法恢復(fù)。

?缺乏物理安全性 - 有些組織對其存儲設(shè)備的物理安全性沒有足夠的重視。在某些情況下，他們沒有考慮到內(nèi)部人員(例如員工或清潔團隊的成員)可能能夠訪問物理存儲設(shè)備，并提取數(shù)據(jù)，從而繞過所有精心策劃的基于網(wǎng)絡(luò)的安全措施的情況。 

數(shù)據(jù)安全實踐

為了應(yīng)對這些技術(shù)趨勢并處理其存儲系統(tǒng)固有的安全漏洞，建議組織實施以下數(shù)據(jù)安全實踐：

1.數(shù)據(jù)存儲安全策略 - 企業(yè)應(yīng)該制定書面策略，為其擁有的不同類型的數(shù)據(jù)指定適當?shù)陌踩墑e。顯然，公共數(shù)據(jù)所需要的安全性遠遠低于限制或機密數(shù)據(jù)，組織需要有適當?shù)陌踩Ｐ?、過程和工具來實施適當?shù)谋Ｗo措施。這些策略還包括應(yīng)該在組織的存儲設(shè)備上部署的安全措施的詳細信息。

2.訪問控制 - 基于角色的訪問控制是安全數(shù)據(jù)存儲系統(tǒng)的必備條件，在某些情況下，多因素可能是合適的。管理員還應(yīng)確保更改其存儲設(shè)備上的任何默認密碼，并強制用戶使用強密碼。

3.加密 - 數(shù)據(jù)在傳輸過程中以及在存儲系統(tǒng)中靜止時都應(yīng)該加密。存儲管理員還需要有一個安全的密鑰管理系統(tǒng)來跟蹤他們的加密密鑰。

4.數(shù)據(jù)丟失預(yù)防 - 許多認為僅靠加密不足以提供全面的數(shù)據(jù)安全。他們建議組織還部署數(shù)據(jù)丟失防護(DLP)解決方案，以幫助查找和阻止正在進行的任何攻擊。

5.強大的網(wǎng)絡(luò)安全性 - 存儲系統(tǒng)并不存在于真空中，它們應(yīng)該被強大的網(wǎng)絡(luò)安全系統(tǒng)所包圍，例如防火墻、反惡意軟件防護、安全網(wǎng)關(guān)、入侵檢測系統(tǒng)，以及可能的分析和基于機器學習的安全解決方案。這些措施應(yīng)該可以防止大多數(shù)網(wǎng)絡(luò)攻擊者獲得對存儲設(shè)備的訪問權(quán)限。

6.強大的端點安全性 - 同樣，組織也需要確保他們在個人電腦、智能手機和其他訪問存儲數(shù)據(jù)的設(shè)備上擁有適當?shù)陌踩胧?。這些端點(尤其是移動設(shè)備)可能會成為組織網(wǎng)絡(luò)攻擊的薄弱環(huán)節(jié)。

7.冗余性 - 包括RAID技術(shù)在內(nèi)的冗余存儲不僅有助于提高可用性和性能，在某些情況下還可以幫助組織緩解安全事件。

8.備份和恢復(fù) - 一些成功的惡意軟件或勒索軟件攻擊如此完全地破壞企業(yè)網(wǎng)絡(luò)，的恢復(fù)方法是從備份恢復(fù)。存儲管理人員需要確保他們的備份系統(tǒng)和流程適合這些類型的事件以及災(zāi)難恢復(fù)的目的。另外，他們需要確保備份系統(tǒng)與主系統(tǒng)具有相同的數(shù)據(jù)安全級別。