最近,关于TikTok的报道铺天盖地。这是因为,从国会到学术界,从跨国公司到小企业,从董事会到卧室,这个频道都因其劫持思想、情感和数据的潜力而引起了人们的注意。云计算不是更重要吗?作为一种单一的资源,云不是可以存储更多的数据,拥有更大的覆盖范围和影响力吗?难道它不应该得到同样多的关注吗?Archive360的联合创始人兼首席技术官TibiPopp将对这些问题和相关问题进行探讨。
当然,关注可能意味着更多的监管,当涉及到技术时,结果可能是喜忧参半的。在云安全的情况下,即使更多的立法是必要的,错误的授权可能是有问题的。那么,正确的做法是什么呢?
互联云的问题
监管机构已经认为,最大的云提供商在预防、缓解甚至标记严重威胁方面做得还远远不够。鉴于太阳风公司(SolarWinds)等备受瞩目的违规事件层出不穷,这一点很难争辩。这些监管机构还坚持认为,这些供应商有资源来应用补丁和其他修复程序;并非每个依赖云计算的公司都拥有相同的资源。
这就是为什么有这么多关于世界末日的讨论:一个云的故障可能会导致整个基础设施的崩溃,这些基础设施支撑着现代生活的各个方面,从关键的医疗保健和国家安全到电子游戏等。这就是为什么拜登政府发起了可能是迄今为止最雄心勃勃的努力,迫使最大的巨头——想想谷歌、微软、亚马逊和甲骨文——更好地保护私人和公共部门广泛组织使用的服务器。
虽然还有其他法规悬而未决,但政府已经重新推动了上届政府的一项行政命令,该命令要求云提供商和经销商采取并执行严格的措施来验证每个客户的身份。
平衡增长与安全
明确的目标是防止外国黑客在美国服务器上租用空间,并从这个有利位置造成破坏。在发生犯罪活动的情况下,更好的记录将使识别和起诉犯罪方更加容易。当然,为了建立更好的保障措施,政府也承诺不会阻碍快速增长。
这里最大的问题可能是云使用和云安全仍然相距甚远。例如,许多供应商的商业模式要求收取附加费以获得更强的保护。此外,政府没有专门为这一职能指定的机构或资源。因此,即使是最具战略性的措施,也不得不依赖于一系列不断演变的政策、积极的执法和技术建议,比如针对特定行业的建议。
重新思考基本原理
再一次,值得赞扬的是:政府对云基础设施安全的关注确实值得赞扬。然而,指望政府提供所有的答案绝不是一个好主意。那么,我们错过了什么?如何才能找到更现实的方法?
我相信我们可以从重新思考基本原理开始。例如,许多这些善意的指令本质上将技术本身视为最终目的——其目标基本上是保护服务器群。与此同时,真正重要的是数据。
关注日期而不是硬件会带来心态的改变。政府有理由担心多米诺骨牌效应——一台服务器崩溃会导致系统故障——也有理由加大对云计算提供商的压力,要求他们提高环境的安全性。这是至关重要的,但也严重不足。
从个人角度来说,云迁移就是把你的数据放到别人的电脑上。但这仍然是你的数据和你的责任。而且不只是你的贵重物品在那里——云可以存储无穷无尽的数据,这使得它比你的小电脑更容易吸引黑客。通过这一切,提供商的客户对云提供商的安全协议,或者其他客户如何受到攻击,或者正在使用哪些软件包和物联网设备以及引入漏洞等几乎没有可视性。
与云共护共荣
总结:对于大多数组织来说,云计算仍然具有完美的商业意义。特别是对于政府机构来说,这是摆脱传统基础设施(许多机构显然拥有传统基础设施)并从技术进步中受益的完美方式,而无需进行大量投资。然而,所有将数字资产转移到云端的组织都必须继续分担保护自己数据的责任。将义务完全交给云提供商——这就是完全依赖的含义——是短视和不明智的。
当然,企业为自己做的事情要多得多。最重要的是,有一些选项可用于部署具有高级别隔离的专用云租户。这意味着没有共享的网络资源,没有共享的秘密,并且增强了与客户特定安排相匹配的安全性。再深入一点,用户自己的技术可以确保高级加密,将特定数据元素分类为需要及时保留或处理的记录,甚至标记和隔离包含PII或其他敏感信息的数据。即使在最低级别,这也是最高质量的保护,采用数据隐私指南,最佳实践等。
再一次,云安全是政府关注的一个领域,并有理由提出全面的法规。各种规模的云提供商都可以而且应该采取更多措施来保护客户的资产。但是有很多责任要承担——随着现在技术和服务的可用性,迁移到云的组织将从更好地控制自己的安全中受益。