谢谢您的订阅!
当新的内容发布后您将开始接收邮件。您也可以点击邮件内的链接随时取消订阅。关闭Close

云存储安全最佳实践

by Canonical on 12 March 2024

使用 Ceph 的安全功能确保数据安全

图片由 FlyD 拍摄,源于Unsplash

如何将数据安全地存储在云存储系统中?

数据对于任何企业组织而言如同王冠上的宝石,如果丢失或暴露,可能会造成严重的影响。如果不能防止系统故障,可能会导致业务数据的丢失,从而导致业务无法正常运营,最终导致业务失败。将敏感数据暴露给未授权方不仅会导致声誉受损,还可能导致企业遭受巨额罚款。

本篇博客将详细介绍这些风险,以及如何使用 Ceph 的安全功能来减轻这些风险。首先,我们来了解一下数据泄露发生的一些最常见方式:

实物盗窃/运输

与存储相关的硬件、磁盘或整个存储系统的丢失可能导致敏感信息暴露。这可能发生在传统的入室盗窃情况下,即未经授权的一方进入数据中心并移除硬件,或者硬件在运输过程中(例如在返厂维修或更换时)被他人截获。

另一种实体危害是窃取备份磁带所致,这可以通过加密或通过使用动态和静态加密的无磁带备份轻松缓解。

数据损坏/腐化

存储系统由硬件组成,而硬件组件有时可能会完全失效。在少数情况下,磁盘驱动器等组件可能会产生比特级错误,从而导致所存储的数据损坏。

大多数现代系统还将为所存储的数据片或数据块存储校验和,以便在读取数据时发现损坏。Ceph 等工具会主动清除存储的数据,这样可以检测到任何潜在的数据损坏,并从其他副本中进行修复或从擦除编码块中进行重建。

网络窃听

当在系统之间复制数据时,无论是在本地网络上还是在互联网上,都有可能遭到窃听,这意味着数据可能在传输过程中被未经授权的一方截获。网络路径中有许多组件——网络接口控制器 (NIC)、交换机、路由器、电缆等,所有这些都可能受到攻击。即使采用最先进的技术,也很难或不可能检测到这种危害。

不安全的存储系统软件

软件供应链攻击可能会导致在存储系统内运行的软件遭到损坏,从而为攻击者提供另一个途径来引入恶意代码。这并不局限于核心存储软件,而且还包括所有组件、磁盘、NIC、RAID 控制器等。因此,让所有这些软件组件保持更新这一点至关重要。

恶意混淆和加密

勒索软件攻击已经变得越来越常见。这类攻击是指恶意攻击方进入企业组织的 IT 系统,并对所有存储设备(包括服务器中的本地驱动器,也包括网络存储空间)的内容进行加密。

使用云存储安全功能减轻此等风险

在诸如 Ceph 的现代开源存储系统中,有多种方法可以防止上述风险。

静态数据加密

当数据写入磁盘时,存储系统会对数据进行加密,因此,即使磁盘被盗、丢失或出现故障后返厂更换,设备上包含的数据也会泄露。

动态数据加密

对所有网络上的所有数据流采取加密手段意味着没有敏感数据可以被截获。存储系统可以加密形式存储数据,也可重新加密并使用静态加密来安全存储数据。

访问控制

Ceph 利用 CephX 和 LDAP 对所有协议实施严格的访问控制,这样可以确保仅授权用户有权访问管理员映射或与特定用户共享的块设备、文件共享或对象桶。

快照和版本控制

时间点快照可以让用户在检测到损坏或恶意加密后回滚到已知良好状态,从而针对此类事件提供一个恢复路径。对象存储还允许进行全对象版本控制,这意味着当现有对象的新版本添加到系统中后,旧版本也会被保留,并且可以在需要时访问。该功能在需要审追踪的监管严格的环境中尤其实用。

密钥轮换

密码密钥用于确保不同设备之间的通信安全,但最重要的是定期更新这些密钥,以便在密钥遭到泄露时,密钥被利用及数据遭泄露的窗口期相对较短。

了解更多

Ceph 提供多种机制来保护存储在集群内的数据,无论使用什么协议都能得到保护。此外,即使硬件组件从集群中移除,得益于强大的加密手段,数据仍会受到保护。面向互联网的 API (如 RADOS Gateway 的 S3 端点)可以配置为只接受 TLS 连接,并拒绝不安全的 HTTP。

点击此处阅读更多关于 Ceph 的内容。

更多参考资料

订阅博客文章

订阅您感兴趣的主题

在提交此表格的同时,我确认已阅读和同意的隐私声明隐私政策。

查看更多内容

Canonical 推出首个 MicroCloud LTS 版本

扩大 Canonical 基础架构解决方案 - MicroCloud 2.1.0 LTS 长期支持承诺  Canonical 推出 MicroCloud 的首个长期支持(LTS,Long Term Support)版本。MicroCloud 是 Canonical 的云基础架构产品组合的一员。作为 Ubuntu 的发行商,Canonical 以每两年在4月份提供 Ubuntu LTS 版本著名。随着 MicroCloud LTS 的加入,Canonical 扩大了对寻求面向边缘和低接触云的可扩展虚拟化解决方案的组织提供长期支持的承诺。  MicroCloud 2.1.0 LTS 支持单节点部署,改进了安全状况,并在初始化过程中具有更大的灵活性。它将 LXD 作为其虚拟化平 […]

互联汽车软件开发:Anbox Cloud 为安全护航

当下,Android Automotive 操作系统(AAOS)是各大汽车制造商打造车载信息娱乐系统的首选。AAOS 是一个功能完备的信息娱乐平台,支持各类应用程序、功能和服务,其使用体验与人们熟悉的 Android 手机大同小异。 AAOS 可助力开发者构建出提升驾驶体验的新应用和新功能,促使兼容应用与服务生态系统迅速壮大。 然而遗憾的是,开发强大稳健的信息娱乐系统并非易事,前方的道路漫长且充满挑战。硬件可用性、物流配送以及系统配置等方面都存在挑战。例如,对硬件的依赖常常会导致测试中出现问题和延误。不仅如此,许多硬件变体也与开发者的测试环境存在差异,这使得搭建具有代表性的测试台变得十分困难。 云原生方案就是解决物理硬件问题的有力办法:其无需进行实物运输、搬运或安装,就能 […]

利用开源机器学习基础架构加速 AI 发展

人工智能技术在迅速发展,对稳健强大且可扩展的基础架构具有迫切需求。为应对这些挑战,我们精心打造了一套全面的参考架构(RA),充分利用了开源工具与尖端硬件的强大功能与性能。这套架构基于 Canonical 的 MicroK8s 和 Charmed Kubeflow 构建,运行于 Dell PowerEdge R7525 服务器之上,并借助NVIDIA NIM 微服务实现加速,为部署和管理机器学习工作负载提供了一个简便高效的途径。 为数据科学家与工程师赋能 该解决方案旨在为数据科学家和机器学习工程师赋能,使其能够实现更快迭代、无缝扩展以及强有力的安全保障。对于基础架构构建者、解决方案架构师、DevOps 工程师以及首席技术官(CTO)而言,这套参考架构提供了一条畅通无阻的途径 […]