谢谢您的订阅!
当新的内容发布后您将开始接收邮件。您也可以点击邮件内的链接随时取消订阅。关闭Close

云存储安全最佳实践

by Canonical on 12 March 2024

使用 Ceph 的安全功能确保数据安全

图片由 FlyD 拍摄,源于Unsplash

如何将数据安全地存储在云存储系统中?

数据对于任何企业组织而言如同王冠上的宝石,如果丢失或暴露,可能会造成严重的影响。如果不能防止系统故障,可能会导致业务数据的丢失,从而导致业务无法正常运营,最终导致业务失败。将敏感数据暴露给未授权方不仅会导致声誉受损,还可能导致企业遭受巨额罚款。

本篇博客将详细介绍这些风险,以及如何使用 Ceph 的安全功能来减轻这些风险。首先,我们来了解一下数据泄露发生的一些最常见方式:

实物盗窃/运输

与存储相关的硬件、磁盘或整个存储系统的丢失可能导致敏感信息暴露。这可能发生在传统的入室盗窃情况下,即未经授权的一方进入数据中心并移除硬件,或者硬件在运输过程中(例如在返厂维修或更换时)被他人截获。

另一种实体危害是窃取备份磁带所致,这可以通过加密或通过使用动态和静态加密的无磁带备份轻松缓解。

数据损坏/腐化

存储系统由硬件组成,而硬件组件有时可能会完全失效。在少数情况下,磁盘驱动器等组件可能会产生比特级错误,从而导致所存储的数据损坏。

大多数现代系统还将为所存储的数据片或数据块存储校验和,以便在读取数据时发现损坏。Ceph 等工具会主动清除存储的数据,这样可以检测到任何潜在的数据损坏,并从其他副本中进行修复或从擦除编码块中进行重建。

网络窃听

当在系统之间复制数据时,无论是在本地网络上还是在互联网上,都有可能遭到窃听,这意味着数据可能在传输过程中被未经授权的一方截获。网络路径中有许多组件——网络接口控制器 (NIC)、交换机、路由器、电缆等,所有这些都可能受到攻击。即使采用最先进的技术,也很难或不可能检测到这种危害。

不安全的存储系统软件

软件供应链攻击可能会导致在存储系统内运行的软件遭到损坏,从而为攻击者提供另一个途径来引入恶意代码。这并不局限于核心存储软件,而且还包括所有组件、磁盘、NIC、RAID 控制器等。因此,让所有这些软件组件保持更新这一点至关重要。

恶意混淆和加密

勒索软件攻击已经变得越来越常见。这类攻击是指恶意攻击方进入企业组织的 IT 系统,并对所有存储设备(包括服务器中的本地驱动器,也包括网络存储空间)的内容进行加密。

使用云存储安全功能减轻此等风险

在诸如 Ceph 的现代开源存储系统中,有多种方法可以防止上述风险。

静态数据加密

当数据写入磁盘时,存储系统会对数据进行加密,因此,即使磁盘被盗、丢失或出现故障后返厂更换,设备上包含的数据也会泄露。

动态数据加密

对所有网络上的所有数据流采取加密手段意味着没有敏感数据可以被截获。存储系统可以加密形式存储数据,也可重新加密并使用静态加密来安全存储数据。

访问控制

Ceph 利用 CephX 和 LDAP 对所有协议实施严格的访问控制,这样可以确保仅授权用户有权访问管理员映射或与特定用户共享的块设备、文件共享或对象桶。

快照和版本控制

时间点快照可以让用户在检测到损坏或恶意加密后回滚到已知良好状态,从而针对此类事件提供一个恢复路径。对象存储还允许进行全对象版本控制,这意味着当现有对象的新版本添加到系统中后,旧版本也会被保留,并且可以在需要时访问。该功能在需要审追踪的监管严格的环境中尤其实用。

密钥轮换

密码密钥用于确保不同设备之间的通信安全,但最重要的是定期更新这些密钥,以便在密钥遭到泄露时,密钥被利用及数据遭泄露的窗口期相对较短。

了解更多

Ceph 提供多种机制来保护存储在集群内的数据,无论使用什么协议都能得到保护。此外,即使硬件组件从集群中移除,得益于强大的加密手段,数据仍会受到保护。面向互联网的 API (如 RADOS Gateway 的 S3 端点)可以配置为只接受 TLS 连接,并拒绝不安全的 HTTP。

点击此处阅读更多关于 Ceph 的内容。

更多参考资料

订阅博客文章

订阅您感兴趣的主题

在提交此表格的同时,我确认已阅读和同意的隐私声明隐私政策。

查看更多内容

使用 MicroCeph 实现边缘存储

随时、随地—— MicroCeph 让边缘存储变得简单 数据无处不在,不仅存在于大型的集中式数据中心,而且还存在于较小的前哨,如零售店、远程或分支机构、拍摄地点甚至汽车。边缘存储的用例包括本地处理、在高网络延迟情况下无法进行的内容协作以及数据摄取(即对本地创建的内容进行捕获、保护,然后提供给其他系统)。 所有这些场景都有两个共同点:生成的数据至关重要,以及这些位置通常带宽有限。 从历史数据来看,其中部分用例会使用单板计算机,但随着时间的推移,数据的重要性提高,现在对性能和冗余有了更高的要求。而使用边缘存储即可满足这些新需求。 边缘存储解决方案允许在创建数据的地方安全存储并有效处理数据,无需将其传输到集中位置进行处理。这种方法可以实现安全、高性能的数据处理,不受延迟和带宽限 […]

适用于 Kubernetes 的 Ceph 存储

异性相吸。有状态和无状态。 存储和容器管理系统几乎是对立的两极。一个涉及永久存储,以及根据需要保护数据。另一个自动管理高度动态的工作负载,按需扩缩资源。  对于应用部署和管理,更多组织采用容器优先的方法,但安全存储数据的潜在挑战依然存在。任何存储系统都需要防止硬件故障,维护组织最重要的资产 — 数据的可用性。 数据增长速度非常快,据估计,每天会产生超过 2500 PB 的新数据。好在新增的数据分布于众多组织中,因此还没有组织需要独自处理如此大规模的增长。Ceph 这样的横向扩展存储系统非常适合应对任何规模的组织中的存储增长,只需为集群添加更多节点,您便不仅能够增加容量,还能够提高计算能力,从而同时扩展性能和容量。 创建数据也要花费时间和精力,如果照片或视频、医疗记录或金融 […]

基于 MicroK8s 和 Ubuntu 实时内核支持的 Intel FlexRAN 组件自动扩展

RAN 随着每一代移动通信技术的发展而不断演变,从而在用户设备和核心网络之间实现更快的数据传输。内部互连设备数量的增多使得数据量比以往任何时候都要多。至于现有的网络架构,其挑战在于处理不断增加的工作负载,以及更快地处理、分析和传输数据的能力。而对于 5G 生态系统,则需要实现 RAN 的虚拟化。第五代移动网络需要具备更大的灵活性以适应需求,具备可扩展性以满足运行时的网络条件,以及需要自动化以进行远程管理,而这些只能通过虚拟 RAN 来实现。  Intel FlexRAN 解决了传统 RAN 架构所面临的挑战。它能够从核心网络功能中将底层硬件抽象化,以实现最佳的资源利用。FlexRAN 是 O-RAN (OpenRAN) 的改进和参考实现,具有在不同供应商设备之间进行互操作 […]