• CloudAZ

4 phương pháp đảm bảo quyền riêng tư và bảo mật dữ liệu trên Cloud Storage



Lưu trữ đám mây (Cloud Storage) giúp các doanh nghiệp cắt giảm chi phí hoạt động, đồng thời mở rộng quy mô nhanh hơn và tận dụng các lợi ích khác của điện toán đám mây. Ngoài ra, các doanh nghiệp cũng cần đáp ứng các yêu cầu về quyền riêng tư và bảo mật để hạn chế quyền truy cập và bảo vệ thông tin nhạy cảm.

Bảo mật là mối quan tâm chung mà Google nhận được từ các doanh nghiệp khi họ dịch chuyển dữ liệu của mình lên “mây” và đó là ưu tiên hàng đầu đối với tất cả các sản phẩm của Google. Lưu trữ đám mây cung cấp khả năng lưu trữ và truy xuất đơn giản, đáng tin cậy và tiết kiệm chi phí. Với các khả năng bảo mật tích hợp như: mã hóa khi chuyển tiếp và khi nghỉ, các tùy chọn quản lý khóa mã hóa, bao gồm cả do Google quản lý , do khách hàng cung cấp, do khách hàng quản lý và các mô-đun bảo mật phần cứng. Hơn nữa, Google có một trong những mạng riêng lớn nhất trên thế giới, giúp giảm thiểu việc hiển thị dữ liệu của bạn lên internet công cộng khi bạn sử dụng Cloud Storage.

Các phương pháp tốt để bảo mật dữ liệu trên Cloud Storage

Bảo mật dữ liệu lưu trữ doanh nghiệp đòi hỏi phải lập kế hoạch trước để bảo vệ dữ liệu của doanh nghiệp khỏi các mối đe dọa trong tương lai. Ngoài những nguyên tắc cơ bản, Cloud Storage cũng cung cấp một số tính năng bảo mật, chẳng hạn như quyền truy cập cấp nhóm thống nhất, khóa HMAC của tài khoản dịch vụ, điều kiện IAM, mã thông báo ủy quyền và chữ ký V4.

Do đó, một số phương pháp bảo mật tốt nhất để sử dụng các tính năng này nhằm giúp bảo mật và bảo vệ dữ liệu của doanh nghiệp trên quy mô lớn bao gồm:

# 1: Sử dụng các chính sách của tổ chức để tập trung quyền kiểm soát và xác định ranh giới tuân thủ

Cloud Storage, giống như Google Cloud, tuân theo hệ thống phân cấp tài nguyên. Các tài nguyên được liên kết với các dự án, sau đó được gắn với các tổ chức. Bạn cũng tạo các thư mục riêng để tách biệt các tài nguyên cho mỗi dự án. Chính sách tổ chức là cài đặt mà bạn có thể tùy chỉnh cấu hình ở cấp tổ chức, thư mục hoặc dự án để thực thi các hoạt động riêng biệt với những tài nguyên hiện có.

Dưới đây là hai chính sách tổ chức mà Google khuyên dùng:

  • Chia sẻ có giới hạn theo tên miền —Chính sách này ngăn nội dung được chia sẻ với những người bên ngoài tổ chức của bạn. Ví dụ: nếu bạn cố gắng cung cấp nội dung cho các thành viên bên ngoài tên miền của tổ chức, chính sách này sẽ chặn hoạt động đó.

  • Quyền truy cập cấp nhóm thống nhất —Chính sách này đơn giản hóa quyền và giúp quản lý kiểm soát truy cập trên quy mô lớn. Với chính sách này, tất cả các nhóm mới được tạo đều có điều khiển truy cập thống nhất được định cấu hình ở cấp nhóm quản lý quyền truy cập cho tất cả các đối tượng cơ bản.

# 2: Cân nhắc sử dụng Cloud IAM để đơn giản hóa việc kiểm soát truy cập


Cloud Storage cung cấp hai hệ thống để cấp quyền cho nhóm và đối tượng của bạn: Cloud IAM và Danh sách kiểm soát truy cập (ACL). Để có thể truy cập tài nguyên, doanh nghiệp chỉ cần một trong hai hệ thống nêu trên cấp quyền.

  • ACL cấp quyền truy cập cho các đối tượng riêng lẻ: Khi số lượng đối tượng trong một nhóm tăng lên, thì chi phí cần thiết để quản lý các ACL riêng lẻ cũng tăng theo. Do đó, rất khó để đánh giá mức độ an toàn của tất cả các đối tượng trong ACL.

  • Sử dụng Cloud IAM để kiểm soát quyền truy cập vào tài nguyên của doanh nghiệp: Cloud IAM cho phép tập trung vào nền tảng, trên toàn bộ Google Cloud để quản lý quyền kiểm soát truy cập cho dữ liệu Cloud Storage của bạn. Khi bạn bật kiểm soát truy cập cấp nhóm thống nhất, ACL đối tượng sẽ không được bật và các chính sách Cloud IAM ở cấp độ nhóm sẽ được sử dụng để quản lý quyền truy cập.

# 3: Nếu không thể sử dụng Chính sách IAM, hãy xem xét các lựa chọn thay thế cho ACL

  • Signed URL (URL đã ký): cho phép bạn ủy quyền quyền truy cập có giới hạn thời gian vào Cloud Storage. Khi bạn tạo một URL đã ký, chuỗi truy vấn của nó chứa thông tin xác thực được liên kết với tài khoản có quyền truy cập (ví dụ: tài khoản dịch vụ). Ví dụ: bạn có thể gửi một URL cho một người nào đó cho phép họ truy cập vào một tài liệu, đọc nó, với quyền truy cập bị thu hồi sau một tuần.

  • Các nhóm riêng biệt — Hãy kiểm tra các nhóm của bạn. Nếu bạn nhận thấy rằng một nhóm các đối tượng đều sử dụng chung ACL, hãy cân nhắc chuyển chúng vào một nhóm riêng biệt để bạn có thể kiểm soát quyền truy cập dễ dàng hơn.

  • Điều kiện IAM — Nếu ứng dụng của bạn sử dụng tiền tố dùng chung trong đặt tên đối tượng, bạn cũng có thể sử dụng Điều kiện IAM để phân đoạn quyền truy cập dựa trên các tiền tố đó.

  • Mã thông báo ủy quyền —Bạn có thể sử dụng Mã thông báo STS để cấp quyền truy cập có giới hạn thời gian vào nhóm Bộ nhớ đám mây và tiền tố được chia sẻ.

# 4 Sử dụng khóa HMAC cho tài khoản dịch vụ

Khóa xác thực tin nhắn (khóa HMAC) là một loại thông tin xác thực được sử dụng để tạo chữ ký trong các yêu cầu tới Cloud Storage. Google khuyên bạn nên sử dụng khóa HMAC cho tài khoản dịch vụ hơn là tài khoản người dùng. Điều này giúp loại bỏ các tác động về bảo mật và quyền riêng tư của việc dựa vào các tài khoản do người dùng cá nhân nắm giữ. Nó cũng làm giảm sự gián đoạn dịch vụ khi tài khoản người dùng bị vô hiệu hóa khi người dùng rời khỏi dự án hoặc công ty.

Để cải thiện hơn nữa bảo mật, bạn nên:

  • Thường xuyên thay đổi mã khóa của bạn

  • Cấp cho các tài khoản dịch vụ quyền truy cập tối thiểu để hoàn thành nhiệm vụ (tức là nguyên tắc về đặc quyền ít nhất)

  • Đặt thời gian hết hạn hợp lý nếu bạn vẫn đang sử dụng chữ ký V2 (hoặc chuyển sang chữ ký V4, tự động thực thi giới hạn thời gian tối đa một tuần).

14 views