數(shù)據(jù)銷(xiāo)毀，文件銷(xiāo)毀：Azure、AWS、谷歌云如何銷(xiāo)毀云中的數(shù)據(jù)

數(shù)據(jù)銷(xiāo)毀是一個(gè)直到最近才被廣泛討論的話(huà)題。無(wú)論組織采用哪些云計(jì)算服務(wù)，了解全球三個(gè)云計(jì)算巨頭的數(shù)據(jù)銷(xiāo)毀的做法將會(huì)提高其盡職調(diào)查水平。

安全機(jī)構(gòu)Cybersecurity Insiders公司發(fā)布的一份市場(chǎng)研究報(bào)告表明，93%的組織對(duì)于公共云的安全性感到擔(dān)憂(yōu)，這種不信任可能源于缺乏信息。而云計(jì)算服務(wù)提供商了解他們的客戶(hù)，也了解一些問(wèn)題，并開(kāi)發(fā)了大量的文檔和銷(xiāo)售擔(dān)保合同以獲得客戶(hù)的信任。行業(yè)領(lǐng)先的云計(jì)算提供商主要的文檔改進(jìn)措施之一是與數(shù)據(jù)銷(xiāo)毀有關(guān)的透明性。通過(guò)對(duì)這些文檔的分析，可以了解當(dāng)云計(jì)算服務(wù)提供商刪除客戶(hù)的數(shù)據(jù)時(shí)到底發(fā)生了什么。

組織需要了解云計(jì)算提供商進(jìn)行數(shù)據(jù)銷(xiāo)毀的問(wèn)題，這是組織在與云計(jì)算服務(wù)提供商(CSP)合作之前要進(jìn)行審查的眾多安全控制措施之一。當(dāng)涉及云計(jì)算安全性時(shí)，給定的安全控制措施只能減輕特定的風(fēng)險(xiǎn)，而在網(wǎng)絡(luò)安全方面，沒(méi)有一個(gè)萬(wàn)能的解決方案。因此，必須了解特定的安全控制措施可以解決哪些問(wèn)題，以及不能解決哪些問(wèn)題。

但是為什么數(shù)據(jù)銷(xiāo)毀是一項(xiàng)重要的安全控制措施?當(dāng)不再需要保存敏感數(shù)據(jù)以防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)時(shí)，必須將其銷(xiāo)毀。組織在銷(xiāo)毀數(shù)據(jù)之前，必須對(duì)其進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。而那些未經(jīng)授權(quán)的人員如何訪(fǎng)問(wèn)云中未被正確銷(xiāo)毀的敏感信息?他們可以：

●使用取證工具從云計(jì)算服務(wù)提供商的硬盤(pán)中提取數(shù)據(jù);

●獲取其他用戶(hù)的數(shù)據(jù)殘留;

●使用云計(jì)算提供商提供的內(nèi)部人員特權(quán)訪(fǎng)問(wèn)數(shù)據(jù);

●從備份中恢復(fù)敏感數(shù)據(jù)。

對(duì)于許多人而言，想獲得未經(jīng)授權(quán)訪(fǎng)問(wèn)敏感信息的第一個(gè)策略就是以某種方式獲得硬盤(pán)，并使用取證工具從硬盤(pán)中提取數(shù)據(jù)。

硬盤(pán)的物理安全性

技術(shù)成熟的大型云計(jì)算服務(wù)提供商在物理安全性方面表現(xiàn)出色。通常只有幾名有權(quán)進(jìn)入云計(jì)算服務(wù)提供商數(shù)據(jù)中心的人員可以訪(fǎng)問(wèn)，并且有專(zhuān)門(mén)負(fù)責(zé)管理硬盤(pán)的人員。機(jī)械硬盤(pán)(HDD)的使用壽命有限，而云計(jì)算服務(wù)提供商每年可能銷(xiāo)毀成千上萬(wàn)塊硬盤(pán)。云計(jì)算服務(wù)提供商使用軟件通過(guò)序列號(hào)跟蹤每塊機(jī)械硬盤(pán)(HDD)，并在任何時(shí)間點(diǎn)說(shuō)明其確切位置。當(dāng)硬盤(pán)的使用壽命到期時(shí)，云計(jì)算服務(wù)提供商將其粉碎或使用類(lèi)似的方式進(jìn)行完全的物理銷(xiāo)毀。而獨(dú)立審計(jì)公司將嚴(yán)密監(jiān)督和審查這一過(guò)程。

數(shù)據(jù)提取

如果網(wǎng)絡(luò)攻擊者以某種方式能夠訪(fǎng)問(wèn)物理硬盤(pán)，則他們可能會(huì)嘗試使用各種取證技術(shù)從硬盤(pán)設(shè)備中提取敏感數(shù)據(jù)。但是與用戶(hù)電腦中的硬盤(pán)不同的是，云計(jì)算服務(wù)提供商采用的每塊硬盤(pán)都包含來(lái)自潛在數(shù)百個(gè)不同用戶(hù)的數(shù)據(jù)片段。即使沒(méi)有對(duì)這些片段進(jìn)行加密，網(wǎng)絡(luò)攻擊者也幾乎不可能將片段與特定租戶(hù)相關(guān)聯(lián)。因?yàn)檫@種片段可能只包含一個(gè)標(biāo)識(shí)數(shù)據(jù)元素，并且缺少映射信息，網(wǎng)絡(luò)攻擊者將不可能識(shí)別特定目標(biāo)的硬盤(pán)。以下將介紹使用用戶(hù)特定密鑰加密數(shù)據(jù)的好處。

來(lái)自其他用戶(hù)的數(shù)據(jù)殘留

很多人都有租房的經(jīng)歷，通常會(huì)發(fā)現(xiàn)之前的租戶(hù)會(huì)留下一些垃圾和個(gè)人物品。而當(dāng)組織成為云平臺(tái)中的租戶(hù)時(shí)，當(dāng)然不希望發(fā)生這種情況。AWS、Microsoft Azure和谷歌云平臺(tái)對(duì)他們的云計(jì)算系統(tǒng)進(jìn)行了安全設(shè)計(jì)來(lái)防止這種情況的發(fā)生。

AWS公司發(fā)布的一份名為“AWS的安全流程概述”白皮書(shū)指出：“在Amazon S3刪除對(duì)象之后，從公共名稱(chēng)到對(duì)象的映射的刪除將立即開(kāi)始，并且通常在幾秒鐘內(nèi)通過(guò)分布式系統(tǒng)進(jìn)行處理。一旦映射被刪除，就不能對(duì)已刪除對(duì)象進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)，然后再回收底層存儲(chǔ)區(qū)域以供系統(tǒng)使用?！?/span>

Amazon EBS卷以未格式化的塊設(shè)備的形式呈現(xiàn)給用戶(hù)，這些設(shè)備在可供使用之前已被擦除。

對(duì)于Amazon EBS來(lái)說(shuō)，在根據(jù)技術(shù)規(guī)范調(diào)整大小之前，為用戶(hù)提供的EBS卷難以安全擦除數(shù)據(jù)。

有些人最初可能會(huì)擔(dān)心AWS公司可能會(huì)等到數(shù)據(jù)為新用戶(hù)重新配置時(shí)才會(huì)刪除。然而這是最有效的，并延長(zhǎng)了固態(tài)硬盤(pán)的工作壽命。另外，不要錯(cuò)誤地假設(shè)EBS卷托管在一個(gè)物理硬盤(pán)上。AWS文檔指出，“Amazon EBS卷數(shù)據(jù)是在一個(gè)可用區(qū)域中跨多個(gè)服務(wù)器復(fù)制的，以防止任何單個(gè)組件發(fā)生故障而丟失數(shù)據(jù)?！?/span>

微軟公司高級(jí)程序經(jīng)理John Molesky發(fā)表了類(lèi)似的聲明：“與硬盤(pán)上與刪除的數(shù)據(jù)相關(guān)聯(lián)的扇區(qū)立即可供重用，當(dāng)相關(guān)的存儲(chǔ)塊被重新用于存儲(chǔ)其他數(shù)據(jù)時(shí)，這些扇區(qū)將被覆蓋。其覆蓋時(shí)間取決于硬盤(pán)利用率和活動(dòng)，但很少超過(guò)兩天。這與日志結(jié)構(gòu)文件系統(tǒng)的操作是一致的。Azure存儲(chǔ)接口不允許直接讀取硬盤(pán)，從而降低了另一個(gè)客戶(hù)(甚至是同一個(gè)客戶(hù))在被覆蓋之前訪(fǎng)問(wèn)已刪除數(shù)據(jù)的風(fēng)險(xiǎn)?！?/span>

這是微軟公司在博客摘錄中提供的附加信息，因?yàn)檫@是客戶(hù)需要云服務(wù)提供商披露的信息類(lèi)型。微軟公司最近聲明，即在新客戶(hù)提供數(shù)據(jù)之前，數(shù)據(jù)是不會(huì)被擦除的，并且Azure云平臺(tái)提供了額外場(chǎng)景，由于高使用率，這些高度優(yōu)化的資源在幾天內(nèi)會(huì)被自然覆蓋。

需要注意的是，谷歌云平臺(tái)也使用日志結(jié)構(gòu)的文件系統(tǒng)。希望看到所有云計(jì)算服務(wù)提供商提供這些系統(tǒng)的附加技術(shù)細(xì)節(jié)以及相關(guān)的安全含義?？紤]到云計(jì)算服務(wù)提供商對(duì)其硬盤(pán)保持嚴(yán)格的物理安全性，這種數(shù)據(jù)處理對(duì)于適合存儲(chǔ)在公共云中的任何數(shù)據(jù)分類(lèi)都是可以接受的。

內(nèi)部人員特權(quán)

云計(jì)算用戶(hù)期望在其整個(gè)生命周期內(nèi)對(duì)其數(shù)據(jù)進(jìn)行保護(hù)，并且直到數(shù)據(jù)被銷(xiāo)毀無(wú)法再訪(fǎng)問(wèn)為止。還有一些適當(dāng)?shù)谋Ｗo(hù)措施可以防止用戶(hù)數(shù)據(jù)在銷(xiāo)毀之前受到外部的攻擊，但是如何保護(hù)數(shù)據(jù)免受可信任內(nèi)部人員的侵害呢?AWS、Azure、谷歌云平臺(tái)提供的安全文檔涵蓋了適用的安全控制措施，其中包括背景審查、職責(zé)分離、監(jiān)督和特權(quán)訪(fǎng)問(wèn)監(jiān)控等。

組織面臨的內(nèi)部威脅主要問(wèn)題是員工和承包商具有豐富的系統(tǒng)知識(shí)，并且可以訪(fǎng)問(wèn)未暴露給公共云客戶(hù)的較低級(jí)別的系統(tǒng)。美國(guó)CERT國(guó)家內(nèi)部威脅中心提供詳細(xì)的指導(dǎo)，云計(jì)算用戶(hù)應(yīng)該探索有哪些控制措施來(lái)保護(hù)已經(jīng)刪除并等待銷(xiāo)毀的數(shù)據(jù)。當(dāng)技術(shù)客戶(hù)向他們的云計(jì)算服務(wù)提供商提出試探性的問(wèn)題時(shí)，服務(wù)良好的云計(jì)算服務(wù)提供商將會(huì)傾聽(tīng)并以越來(lái)越透明的文檔進(jìn)行回應(yīng)。

加密是一種安全控制措施，可以在應(yīng)用時(shí)緩解未經(jīng)授權(quán)的內(nèi)部人員訪(fǎng)問(wèn)。一些用戶(hù)在聽(tīng)到這個(gè)服務(wù)使用加密后就不再詢(xún)問(wèn)棘手的問(wèn)題。加密是一種控制訪(fǎng)問(wèn)的技術(shù)，可以控制沒(méi)有加密密鑰的人員或系統(tǒng)進(jìn)行訪(fǎng)問(wèn)。例如，使用數(shù)據(jù)庫(kù)加密，采用數(shù)據(jù)庫(kù)管理系統(tǒng)控制密鑰控制訪(fǎng)問(wèn)。數(shù)據(jù)庫(kù)管理員(DBA)可以直接查詢(xún)數(shù)據(jù)，但數(shù)據(jù)庫(kù)使用的存儲(chǔ)系統(tǒng)的管理員只能看到密文。但是如果通過(guò)應(yīng)用程序控制密鑰，則數(shù)據(jù)庫(kù)管理員(DBA)和存儲(chǔ)系統(tǒng)管理員都能看到密文。

使用加密擦除技術(shù)，加密密鑰的唯一副本將被銷(xiāo)毀，從而使加密的數(shù)據(jù)不可恢復(fù)。NIST特別出版物800-88第1版將加密擦除視為在公共云環(huán)境中易于實(shí)施的特定參數(shù)內(nèi)的有效數(shù)據(jù)銷(xiāo)毀技術(shù)。

Azure文檔指出，加密對(duì)所有存儲(chǔ)帳戶(hù)都是啟用的，不能被禁用。谷歌云也是一樣。然而，在AWS云平臺(tái)中，它是S3和EBS等服務(wù)的配置選項(xiàng)。

不過(guò)，即使AWS和Azure正在使用加密擦除技術(shù)來(lái)銷(xiāo)毀用戶(hù)數(shù)據(jù)，也未能充分利用它們。此外，通常還不清楚云計(jì)算服務(wù)提供商何時(shí)使用租戶(hù)特定的加密密鑰對(duì)其各種服務(wù)進(jìn)行靜態(tài)加密。當(dāng)特定于用戶(hù)的加密密鑰與加密擦除結(jié)合使用時(shí)，只會(huì)銷(xiāo)毀屬于單個(gè)租戶(hù)的數(shù)據(jù)。加密擦除是覆蓋數(shù)據(jù)的一種非常有吸引力的替代方案，特別是對(duì)于在云存儲(chǔ)中擁有數(shù)百PB數(shù)據(jù)的客戶(hù)來(lái)說(shuō)。

從備份中恢復(fù)數(shù)據(jù)

最后一種攻擊手段是網(wǎng)絡(luò)攻擊者試圖從數(shù)據(jù)備份中恢復(fù)敏感數(shù)據(jù)。而用戶(hù)不要以為云計(jì)算服務(wù)提供商會(huì)幫助備份數(shù)據(jù)，除非合同明確規(guī)定提供這項(xiàng)服務(wù)。云計(jì)算服務(wù)提供商主要使用備份或快照技術(shù)來(lái)滿(mǎn)足有關(guān)數(shù)據(jù)持久性和可用性的服務(wù)級(jí)別協(xié)議。

如果需要備份數(shù)據(jù)，則必須至少以與主數(shù)據(jù)存儲(chǔ)相同的安全級(jí)別保護(hù)備份。在三大云計(jì)算服務(wù)提供商中，谷歌公司的一份名為“谷歌云平臺(tái)的數(shù)據(jù)刪除”文檔提供了如何刪除過(guò)期數(shù)據(jù)的信息，以及如何在其每天/每周/每月備份周期的180天方案中輪換出來(lái)的信息。值得稱(chēng)贊的是，該文檔甚至涵蓋了加密擦除在數(shù)據(jù)從所有備份中過(guò)期之前保護(hù)數(shù)據(jù)的重要作用。

毫無(wú)疑問(wèn)，全球三個(gè)主要云計(jì)算服務(wù)提供商已付出巨大的努力來(lái)確保其系統(tǒng)安全。所有云計(jì)算服務(wù)提供商都必須權(quán)衡保護(hù)防止泄露過(guò)多信息的需求，同時(shí)提供足夠的透明度以維護(hù)其客戶(hù)的信任。隨著云計(jì)算用戶(hù)與他們的云計(jì)算服務(wù)提供商進(jìn)行溝通和協(xié)商，并尋求適當(dāng)信息以做出明智的風(fēng)險(xiǎn)決策，云計(jì)算服務(wù)提供商針對(duì)安全保護(hù)的解釋進(jìn)行改進(jìn)。