从传统的软件工程转向构建现代云应用程序需要在多个层面上进行多项更改,与数据相关的安全性经常被错误地推向边缘。但实际上,即使拥有所有出色的云提供商的安全选项,您也无法在云中回避数据保护问题,您只会在数据安全设计中面临新的优先事项。
例如,您仍然需要对敏感数据访问和保护(签出字段级加密)施加限制,通过实施更多的安全控制来阻止 SQL 注入并阻止内部人员,使用审核日志来清楚地了解事件发生时的事件顺序,适应体系结构假设(状态管理、一次性副本、负载平衡、 等等)。
这看起来像是一堆非常巨大的工作!保持冷静并遵循计划。
通常,在云中构建数据安全性时,您需要专注于以下三项任务:
1、尝试使用更少的产品/工具来实现相同的安全目标。如果成功,企业在管理任务上花费的资金和时间就会减少,而工程团队处理的工具、配置、错误和依赖项的数量会更少。
2、使预防性、侦查性和纠正性安全控制协同工作,以实现共同目标。举个简单的例子:通常触发安全事件与访问控制和监视相互关联。
3、在解决方案中开发数据安全平台,以管理加密和数据安全控制(如果一个云帐户中有数十个互连的应用程序)或具有特定控件(如应用程序级加密、身份验证、防火墙、数据丢失防护、异常检测、匿名化等)的单个数据安全层。
至于数据安全层中的加密引擎,它可能会根据您的系统设计而呈现出各种形状。
例如,如果要集成加密,而不对已构建的解决方案进行大量更改,请使用透明加密/解密。
您的第一选择是部署数据库加密代理。代理位于应用程序和数据库之间,拦截、加密数据并将其发送到数据库;稍后,当应用程序读回数据时,代理会解密并将其发送到应用程序。有可用于SQL和NoSQL数据库的开源数据库安全代理。
如果使用多个数据库(尤其是 SQL 和 NoSQL 的混合数据库),则值得考虑生成和部署数据访问对象(DAO) 服务。DAO 封装了数据访问,允许在不公开数据库详细信息的情况下对数据进行操作。DAO 负责后端应用和数据库之间的数据交换,管理哪些数据是敏感的,需要在操作前解密,哪些数据存储在明文中,可以直接使用。
使用数据库代理或 DAO 并不适用于每种情况。有时,唯一的选择是使用负责数据保护的加密库 (SDK)将加密代码直接集成到应用程序代码中。在这种情况下,您不需要部署和维护任何其他加密服务,因为加密/描述直接发生在您的应用程序中(客户端加密)。但是,应用程序的安全风险会急剧增加,因为它可以访问加密密钥。最好聘请应用加密工程师来确保正确集成加密,因为开发人员通常没有任何密码学经验,也无法识别好坏。
因此,毕竟,要在云中高速运行项目,您需要做出非常实用,具体和脚踏实地的数据安全决策。最好早点开始,以尽量减少开发的时间和成本。
关键词: 欧科云链深入了解三大任务 构建数据安全体系 数据安全
