監(jiān)管遇上云端:對未來的共同責(zé)任
最近,關(guān)于TikTok的報道鋪天蓋地。這是因為,從國會到學(xué)術(shù)界,從跨國公司到小企業(yè),從董事會到臥室,這個頻道都因其劫持思想、情感和數(shù)據(jù)的潛力而引起了人們的注意。云計算不是更重要嗎?作為一種單一的資源,云不是可以存儲更多的數(shù)據(jù),擁有更大的覆蓋范圍和影響力嗎?難道它不應(yīng)該得到同樣多的關(guān)注嗎?Archive360的聯(lián)合創(chuàng)始人兼首席技術(shù)官TibiPopp將對這些問題和相關(guān)問題進(jìn)行探討。
當(dāng)然,關(guān)注可能意味著更多的監(jiān)管,當(dāng)涉及到技術(shù)時,結(jié)果可能是喜憂參半的。在云安全的情況下,即使更多的立法是必要的,錯誤的授權(quán)可能是有問題的。那么,正確的做法是什么呢?
互聯(lián)云的問題
監(jiān)管機(jī)構(gòu)已經(jīng)認(rèn)為,最大的云提供商在預(yù)防、緩解甚至標(biāo)記嚴(yán)重威脅方面做得還遠(yuǎn)遠(yuǎn)不夠。鑒于太陽風(fēng)公司(SolarWinds)等備受矚目的違規(guī)事件層出不窮,這一點很難爭辯。這些監(jiān)管機(jī)構(gòu)還堅持認(rèn)為,這些供應(yīng)商有資源來應(yīng)用補(bǔ)丁和其他修復(fù)程序;并非每個依賴云計算的公司都擁有相同的資源。
這就是為什么有這么多關(guān)于世界末日的討論:一個云的故障可能會導(dǎo)致整個基礎(chǔ)設(shè)施的崩潰,這些基礎(chǔ)設(shè)施支撐著現(xiàn)代生活的各個方面,從關(guān)鍵的醫(yī)療保健和國家安全到電子游戲等。這就是為什么拜登政府發(fā)起了可能是迄今為止最雄心勃勃的努力,迫使最大的巨頭——想想谷歌、微軟、亞馬遜和甲骨文——更好地保護(hù)私人和公共部門廣泛組織使用的服務(wù)器。
雖然還有其他法規(guī)懸而未決,但政府已經(jīng)重新推動了上屆政府的一項行政命令,該命令要求云提供商和經(jīng)銷商采取并執(zhí)行嚴(yán)格的措施來驗證每個客戶的身份。
平衡增長與安全
明確的目標(biāo)是防止外國黑客在美國服務(wù)器上租用空間,并從這個有利位置造成破壞。在發(fā)生犯罪活動的情況下,更好的記錄將使識別和起訴犯罪方更加容易。當(dāng)然,為了建立更好的保障措施,政府也承諾不會阻礙快速增長。
這里最大的問題可能是云使用和云安全仍然相距甚遠(yuǎn)。例如,許多供應(yīng)商的商業(yè)模式要求收取附加費以獲得更強(qiáng)的保護(hù)。此外,政府沒有專門為這一職能指定的機(jī)構(gòu)或資源。因此,即使是最具戰(zhàn)略性的措施,也不得不依賴于一系列不斷演變的政策、積極的執(zhí)法和技術(shù)建議,比如針對特定行業(yè)的建議。
重新思考基本原理
再一次,值得贊揚的是:政府對云基礎(chǔ)設(shè)施安全的關(guān)注確實值得贊揚。然而,指望政府提供所有的答案絕不是一個好主意。那么,我們錯過了什么?如何才能找到更現(xiàn)實的方法?
我相信我們可以從重新思考基本原理開始。例如,許多這些善意的指令本質(zhì)上將技術(shù)本身視為最終目的——其目標(biāo)基本上是保護(hù)服務(wù)器群。與此同時,真正重要的是數(shù)據(jù)。
關(guān)注日期而不是硬件會帶來心態(tài)的改變。政府有理由擔(dān)心多米諾骨牌效應(yīng)——一臺服務(wù)器崩潰會導(dǎo)致系統(tǒng)故障——也有理由加大對云計算提供商的壓力,要求他們提高環(huán)境的安全性。這是至關(guān)重要的,但也嚴(yán)重不足。
從個人角度來說,云遷移就是把你的數(shù)據(jù)放到別人的電腦上。但這仍然是你的數(shù)據(jù)和你的責(zé)任。而且不只是你的貴重物品在那里——云可以存儲無窮無盡的數(shù)據(jù),這使得它比你的小電腦更容易吸引黑客。通過這一切,提供商的客戶對云提供商的安全協(xié)議,或者其他客戶如何受到攻擊,或者正在使用哪些軟件包和物聯(lián)網(wǎng)設(shè)備以及引入漏洞等幾乎沒有可視性。
與云共護(hù)共榮
總結(jié):對于大多數(shù)組織來說,云計算仍然具有完美的商業(yè)意義。特別是對于政府機(jī)構(gòu)來說,這是擺脫傳統(tǒng)基礎(chǔ)設(shè)施(許多機(jī)構(gòu)顯然擁有傳統(tǒng)基礎(chǔ)設(shè)施)并從技術(shù)進(jìn)步中受益的完美方式,而無需進(jìn)行大量投資。然而,所有將數(shù)字資產(chǎn)轉(zhuǎn)移到云端的組織都必須繼續(xù)分擔(dān)保護(hù)自己數(shù)據(jù)的責(zé)任。將義務(wù)完全交給云提供商——這就是完全依賴的含義——是短視和不明智的。
當(dāng)然,企業(yè)為自己做的事情要多得多。最重要的是,有一些選項可用于部署具有高級別隔離的專用云租戶。這意味著沒有共享的網(wǎng)絡(luò)資源,沒有共享的秘密,并且增強(qiáng)了與客戶特定安排相匹配的安全性。再深入一點,用戶自己的技術(shù)可以確保高級加密,將特定數(shù)據(jù)元素分類為需要及時保留或處理的記錄,甚至標(biāo)記和隔離包含PII或其他敏感信息的數(shù)據(jù)。即使在最低級別,這也是最高質(zhì)量的保護(hù),采用數(shù)據(jù)隱私指南,最佳實踐等。
再一次,云安全是政府關(guān)注的一個領(lǐng)域,并有理由提出全面的法規(guī)。各種規(guī)模的云提供商都可以而且應(yīng)該采取更多措施來保護(hù)客戶的資產(chǎn)。但是有很多責(zé)任要承擔(dān)——隨著現(xiàn)在技術(shù)和服務(wù)的可用性,遷移到云的組織將從更好地控制自己的安全中受益。