云存储安全最佳实践
by Canonical on 12 March 2024
使用 Ceph 的安全功能确保数据安全
如何将数据安全地存储在云存储系统中?
数据对于任何企业组织而言如同王冠上的宝石,如果丢失或暴露,可能会造成严重的影响。如果不能防止系统故障,可能会导致业务数据的丢失,从而导致业务无法正常运营,最终导致业务失败。将敏感数据暴露给未授权方不仅会导致声誉受损,还可能导致企业遭受巨额罚款。
本篇博客将详细介绍这些风险,以及如何使用 Ceph 的安全功能来减轻这些风险。首先,我们来了解一下数据泄露发生的一些最常见方式:
实物盗窃/运输
与存储相关的硬件、磁盘或整个存储系统的丢失可能导致敏感信息暴露。这可能发生在传统的入室盗窃情况下,即未经授权的一方进入数据中心并移除硬件,或者硬件在运输过程中(例如在返厂维修或更换时)被他人截获。
另一种实体危害是窃取备份磁带所致,这可以通过加密或通过使用动态和静态加密的无磁带备份轻松缓解。
数据损坏/腐化
存储系统由硬件组成,而硬件组件有时可能会完全失效。在少数情况下,磁盘驱动器等组件可能会产生比特级错误,从而导致所存储的数据损坏。
大多数现代系统还将为所存储的数据片或数据块存储校验和,以便在读取数据时发现损坏。Ceph 等工具会主动清除存储的数据,这样可以检测到任何潜在的数据损坏,并从其他副本中进行修复或从擦除编码块中进行重建。
网络窃听
当在系统之间复制数据时,无论是在本地网络上还是在互联网上,都有可能遭到窃听,这意味着数据可能在传输过程中被未经授权的一方截获。网络路径中有许多组件——网络接口控制器 (NIC)、交换机、路由器、电缆等,所有这些都可能受到攻击。即使采用最先进的技术,也很难或不可能检测到这种危害。
不安全的存储系统软件
软件供应链攻击可能会导致在存储系统内运行的软件遭到损坏,从而为攻击者提供另一个途径来引入恶意代码。这并不局限于核心存储软件,而且还包括所有组件、磁盘、NIC、RAID 控制器等。因此,让所有这些软件组件保持更新这一点至关重要。
恶意混淆和加密
勒索软件攻击已经变得越来越常见。这类攻击是指恶意攻击方进入企业组织的 IT 系统,并对所有存储设备(包括服务器中的本地驱动器,也包括网络存储空间)的内容进行加密。
使用云存储安全功能减轻此等风险
在诸如 Ceph 的现代开源存储系统中,有多种方法可以防止上述风险。
静态数据加密
当数据写入磁盘时,存储系统会对数据进行加密,因此,即使磁盘被盗、丢失或出现故障后返厂更换,设备上包含的数据也会泄露。
动态数据加密
对所有网络上的所有数据流采取加密手段意味着没有敏感数据可以被截获。存储系统可以加密形式存储数据,也可重新加密并使用静态加密来安全存储数据。
访问控制
Ceph 利用 CephX 和 LDAP 对所有协议实施严格的访问控制,这样可以确保仅授权用户有权访问管理员映射或与特定用户共享的块设备、文件共享或对象桶。
快照和版本控制
时间点快照可以让用户在检测到损坏或恶意加密后回滚到已知良好状态,从而针对此类事件提供一个恢复路径。对象存储还允许进行全对象版本控制,这意味着当现有对象的新版本添加到系统中后,旧版本也会被保留,并且可以在需要时访问。该功能在需要审追踪的监管严格的环境中尤其实用。
密钥轮换
密码密钥用于确保不同设备之间的通信安全,但最重要的是定期更新这些密钥,以便在密钥遭到泄露时,密钥被利用及数据遭泄露的窗口期相对较短。
了解更多
Ceph 提供多种机制来保护存储在集群内的数据,无论使用什么协议都能得到保护。此外,即使硬件组件从集群中移除,得益于强大的加密手段,数据仍会受到保护。面向互联网的 API (如 RADOS Gateway 的 S3 端点)可以配置为只接受 TLS 连接,并拒绝不安全的 HTTP。
点击此处阅读更多关于 Ceph 的内容。
更多参考资料
- 什么是 Ceph?
- 博客:使用 MicroCeph 实现边缘云存储
- MicroCeph 文档
- 白皮书【优化云存储的成本】— 如何利用现成的硬件与公共云数据中心附近的开源 Ceph 相结合,将每 GB 的成本降低 60%
订阅博客文章
查看更多内容
安全数据存储对于推动 AI 人工智能的关键性
立即报名 八月十四日下午2:00 网路研讨会直播 -使用 Ceph 的 AI 存储 没有数据就没有 AI 人工智能是近年来最激动人心的一场科技革命。Nvidia、Intel、AMD 和其他公司继续生产速度越来越快的 GPU,进而支持更大的模型和决策过程中更高的吞吐量。 除了当下对人工智能的大量宣传之外,还有一点仍被人们所忽略:AI 需要数据。 首先,存储系统需要对不断增长的数据集的高性能进行访问,但更重要的是,它们需要确保这些数据得到安全存储,以供当下以及未来之用。在典型的 AI 系统中,用到了多种不同类型的数据: 所有这些数据的收集、处理和输出都要耗费时间和计算能力,因此需要对数据进行保护。在某些情况下,诸如自动驾驶汽车的遥测数据之类的数据可能永远无法复制。即使在训练数 […]
CentOS EOL — 其对于Ceph存储而言意味着什么?
柳暗花明又一径 2020 年,CentOS Project 曾宣布他们将只专注于 CentOS Stream,这意味着 CentOS 7 将是最后一个与 Red Hat Enterprise Linux 通用的版本。CentOS 7 的生命周期结束(EOL)日期为 2024 年 6 月 30 日,此后将不再针对该操作系统发布安全更新、补丁或新功能。 如果用户在该版本 CentOS 上部署了 Ceph,他们在未来将面临挑战。解决上述生命周期结束挑战的方法有很多种,但每种方法都有细微差别: 风险 如果用户什么都不做,其逐渐老化的部署最终将没有受支持的路径来升级到未来的 Ceph 版本,从而使他们在新功能和功能性方面处于落后地位。更糟糕的是,没有针对关键安全漏洞的安全补丁可供该 […]
从 CentOS 迁移到 Ubuntu:系统管理员和开发运营指南
Photo by Sonja Langford, Unsplash CentOS 7 于 2024 年 6 月 30 日迎来生命周期结束(EoL)。在此日期之后,CentOS Project 将停止提供更新或支持,包括重要的安全补丁。放弃基于 RHEL 的生态系统可能令人望而生畏,但是如果您正在考虑 Ubuntu,那么这种转换既轻松简单又经济可行。 自动化安全验证领域的领跑者 Pentera,提供了一个极具说服力的案例研究来简化这种转换。他们详细介绍了如何在作出最小调整但需采取增强的安全性措施情况下,将其基于容器的系统迁移到 Ubuntu。这一举动也得到了其客户的积极回应,他们赞赏 Ubuntu在过去二十年以每两年一次的频率持续发布长期支持版本的可靠历史,并提供广泛的社区 […]