数据销毁是一个直到最近才被广泛讨论的话题。无论组织采用哪些云计算服务,了解全球三个云计算巨头的数据销毁的做法将会提高其尽职调查水平。
安全机构Cybersecurity Insiders公司发布的一份市场研究报告表明,93%的组织对于公共云的安全性感到担忧,这种不信任可能源于缺乏信息。而云计算服务提供商了解他们的客户,也了解一些问题,并开发了大量的文档和销售担保合同以获得客户的信任。行业领先的云计算提供商主要的文档改进措施之一是与数据销毁有关的透明性。通过对这些文档的分析,可以了解当云计算服务提供商删除客户的数据时到底发生了什么。
组织需要了解云计算提供商进行数据销毁的问题,这是组织在与云计算服务提供商(CSP)合作之前要进行审查的众多安全控制措施之一。当涉及云计算安全性时,给定的安全控制措施只能减轻特定的风险,而在网络安全方面,没有一个万能的解决方案。因此,必须了解特定的安全控制措施可以解决哪些问题,以及不能解决哪些问题。
但是为什么数据销毁是一项重要的安全控制措施?当不再需要保存敏感数据以防止未经授权的访问时,必须将其销毁。组织在销毁数据之前,必须对其进行适当的保护。而那些未经授权的人员如何访问云中未被正确销毁的敏感信息?他们可以:
•使用取证工具从云计算服务提供商的硬盘中提取数据;
•获取其他用户的数据残留;
•使用云计算提供商提供的内部人员特权访问数据;
•从备份中恢复敏感数据。
对于许多人而言,想获得未经授权访问敏感信息的第一个策略就是以某种方式获得硬盘,并使用取证工具从硬盘中提取数据。
硬盘的物理安全性
技术成熟的大型云计算服务提供商在物理安全性方面表现出色。通常只有几名有权进入云计算服务提供商数据中心的人员可以访问,并且有专门负责管理硬盘的人员。机械硬盘(HDD)的使用寿命有限,而云计算服务提供商每年可能销毁成千上万块硬盘。云计算服务提供商使用软件通过序列号跟踪每块机械硬盘(HDD),并在任何时间点说明其确切位置。当硬盘的使用寿命到期时,云计算服务提供商将其粉碎或使用类似的方式进行完全的物理销毁。而独立审计公司将严密监督和审查这一过程。
数据提取
如果网络攻击者以某种方式能够访问物理硬盘,则他们可能会尝试使用各种取证技术从硬盘设备中提取敏感数据。但是与用户电脑中的硬盘不同的是,云计算服务提供商采用的每块硬盘都包含来自潜在数百个不同用户的数据片段。即使没有对这些片段进行加密,网络攻击者也几乎不可能将片段与特定租户相关联。因为这种片段可能只包含一个标识数据元素,并且缺少映射信息,网络攻击者将不可能识别特定目标的硬盘。以下将介绍使用用户特定密钥加密数据的好处。
来自其他用户的数据残留
很多人都有租房的经历,通常会发现之前的租户会留下一些垃圾和个人物品。而当组织成为云平台中的租户时,当然不希望发生这种情况。AWS、Microsoft Azure和谷歌云平台对他们的云计算系统进行了安全设计来防止这种情况的发生。
AWS公司发布的一份名为“AWS的安全流程概述”白皮书指出:“在Amazon S3删除对象之后,从公共名称到对象的映射的删除将立即开始,并且通常在几秒钟内通过分布式系统进行处理。一旦映射被删除,就不能对已删除对象进行远程访问,然后再回收底层存储区域以供系统使用。”
Amazon EBS卷以未格式化的块设备的形式呈现给用户,这些设备在可供使用之前已被擦除。
对于Amazon EBS来说,在根据技术规范调整大小之前,为用户提供的EBS卷难以安全擦除数据。
有些人最初可能会担心AWS公司可能会等到数据为新用户重新配置时才会删除。然而这是最有效的,并延长了固态硬盘的工作寿命。另外,不要错误地假设EBS卷托管在一个物理硬盘上。AWS文档指出,“Amazon EBS卷数据是在一个可用区域中跨多个服务器复制的,以防止任何单个组件发生故障而丢失数据。”
微软公司高级程序经理John Molesky发表了类似的声明:“与硬盘上与删除的数据相关联的扇区立即可供重用,当相关的存储块被重新用于存储其他数据时,这些扇区将被覆盖。其覆盖时间取决于硬盘利用率和活动,但很少超过两天。这与日志结构文件系统的操作是一致的。Azure存储接口不允许直接读取硬盘,从而降低了另一个客户(甚至是同一个客户)在被覆盖之前访问已删除数据的风险。”
这是微软公司在博客摘录中提供的附加信息,因为这是客户需要云服务提供商披露的信息类型。微软公司最近声明,即在新客户提供数据之前,数据是不会被擦除的,并且Azure云平台提供了额外场景,由于高使用率,这些高度优化的资源在几天内会被自然覆盖。
需要注意的是,谷歌云平台也使用日志结构的文件系统。希望看到所有云计算服务提供商提供这些系统的附加技术细节以及相关的安全含义。考虑到云计算服务提供商对其硬盘保持严格的物理安全性,这种数据处理对于适合存储在公共云中的任何数据分类都是可以接受的。
内部人员特权
云计算用户期望在其整个生命周期内对其数据进行保护,并且直到数据被销毁无法再访问为止。还有一些适当的保护措施可以防止用户数据在销毁之前受到外部的攻击,但是如何保护数据免受可信任内部人员的侵害呢?AWS、Azure、谷歌云平台提供的安全文档涵盖了适用的安全控制措施,其中包括背景审查、职责分离、监督和特权访问监控等。
组织面临的内部威胁主要问题是员工和承包商具有丰富的系统知识,并且可以访问未暴露给公共云客户的较低级别的系统。美国CERT国家内部威胁中心提供详细的指导,云计算用户应该探索有哪些控制措施来保护已经删除并等待销毁的数据。当技术客户向他们的云计算服务提供商提出试探性的问题时,服务良好的云计算服务提供商将会倾听并以越来越透明的文档进行回应。
加密是一种安全控制措施,可以在应用时缓解未经授权的内部人员访问。一些用户在听到这个服务使用加密后就不再询问棘手的问题。加密是一种控制访问的技术,可以控制没有加密密钥的人员或系统进行访问。例如,使用数据库加密,采用数据库管理系统控制密钥控制访问。数据库管理员(DBA)可以直接查询数据,但数据库使用的存储系统的管理员只能看到密文。但是如果通过应用程序控制密钥,则数据库管理员(DBA)和存储系统管理员都能看到密文。
使用加密擦除技术,加密密钥的唯一副本将被销毁,从而使加密的数据不可恢复。NIST特别出版物800-88第1版将加密擦除视为在公共云环境中易于实施的特定参数内的有效数据销毁技术。
Azure文档指出,加密对所有存储帐户都是启用的,不能被禁用。谷歌云也是一样。然而,在AWS云平台中,它是S3和EBS等服务的配置选项。
不过,即使AWS和Azure正在使用加密擦除技术来销毁用户数据,也未能充分利用它们。此外,通常还不清楚云计算服务提供商何时使用租户特定的加密密钥对其各种服务进行静态加密。当特定于用户的加密密钥与加密擦除结合使用时,只会销毁属于单个租户的数据。加密擦除是覆盖数据的一种非常有吸引力的替代方案,特别是对于在云存储中拥有数百PB数据的客户来说。
从备份中恢复数据
最后一种攻击手段是网络攻击者试图从数据备份中恢复敏感数据。而用户不要以为云计算服务提供商会帮助备份数据,除非合同明确规定提供这项服务。云计算服务提供商主要使用备份或快照技术来满足有关数据持久性和可用性的服务级别协议。
如果需要备份数据,则必须至少以与主数据存储相同的安全级别保护备份。在三大云计算服务提供商中,谷歌公司的一份名为“谷歌云平台的数据删除”文档提供了如何删除过期数据的信息,以及如何在其每天/每周/每月备份周期的180天方案中轮换出来的信息。值得称赞的是,该文档甚至涵盖了加密擦除在数据从所有备份中过期之前保护数据的重要作用。
毫无疑问,全球三个主要云计算服务提供商已付出巨大的努力来确保其系统安全。所有云计算服务提供商都必须权衡保护防止泄露过多信息的需求,同时提供足够的透明度以维护其客户的信任。随着云计算用户与他们的云计算服务提供商进行沟通和协商,并寻求适当信息以做出明智的风险决策,云计算服务提供商针对安全保护的解释进行改进。