云泄露：简单的云服务器配置操作，蕴含巨大商业风险

什么是云泄漏？

技术正在改变人们的生活：移动支付、共享经济、电子商务、在线医疗保健。使人们的生活更加方便，生活质量得到提高。但同时，数据泄漏事件似乎在不断的发生，银行卡账号、个人身份信息、医疗记录、出行记录在随着数字化生活给人们带去便利的同时，也被大量的企业、服务机构获取，使用。

随着意识的增强，人们越来越关注个人隐私保护。黑客 、 网络攻击 、 违规 、 泄漏 ，这些词不断挑动着人们的神经。其中，有一种更为特殊的“泄漏”，一旦发生可能会涉及大量的数据，给相关用户和企业造成巨大的损失，我们称之为云泄漏。

云泄漏是指在"云服务器"中存储的敏感数据没有准备好的暴露在互联网上。云服务提供商为企业提供了部署系统和在Internet上存储数据的私有空间。大多数云提供商都提供允许企业打开其存储空间到Internet的选项。如果管理员在处理数据时修改权限，云服务器和互联网之间的边界就消失了，这意味着每个人都可以访问数据。2017年版《OWASP Top 10 》显示，“安全配置错误”在10项最严重的web应用程序安全风险中排在第五位。无论是配置错误还是云计算中脆弱的服务器，都会使隐私数据面临风险。还有一个特殊的群体，为了获取利润，他们继续寻找云泄漏，这将扩大云泄漏的影响。

2017年5月，因AWS S3存储桶权限设置失当导致至少 220万道琼斯公司客户信息半公开，让免费AWS账户都可以访问里面内容。同年7月，Verizon公司超过1400万用户个人资料因第三方供应商云服务器安全配置不当遭到外泄，数据所属的云储备被配置为允许公开访问并可完全下载。承包商再出事：美国陆军及NSA情报平台绝密文件暴露在Amazon S3服务器上。这些是典型的云泄漏。云泄漏是公司和组织面临的独特风险。错误的简单性和后果的严重性可能是巨大的。

云泄露的严重性

云泄漏中最常见的数据分为两类：

1. 个人信息

身份信息（姓名、性别、年龄、地址、电话号码…）活动信息（订单、生活轨迹、浏览习惯;），银行卡信息、医疗记录;这一类信息极具价值，买卖公民信息的黑市在互联网平台并不鲜见。当下，政府及监管机构非常关注公民个人信息的保护，在今年5月1日实施的《信息安全技术个人信息安全规范》，从国家标准层面，明确了企业收集、使用、分享个人信息的合规要求，为企业制定隐私政策及个人信息管理规范指明了方向。《一般数据保护条例》在同一月生效，对个人信息的保护也被提高到了新的水平，对行业造成了广泛的影响，对涉及的企业造成了严重的处罚。

2. 企业信息

企业内部的文件、邮件、备忘；合作伙伴、供应商信息；项目信息等。财务信息;设计;知识产权信息;代码等。一旦这些信息被竞争对手或怀有恶意的人暴露和获取，就会对企业造成致命的伤害。

数据披露可能使公民面临欺诈、骚扰甚至人身安全威胁，并可能使公司遭受竞争对手的致命打击、监管机构的严厉处罚和不可估量的声誉损失。可以说，漏云会对有关方面造成很大的危害。

如何防止云泄露？

云泄漏不是由外部攻击引起的，而是由日常工作中的操作引起的。企业在使用云服务时，应意识到其风险的存在。当企业配置云服务时，他们应该继续验证每个步骤，以确保风险可见。

企业除了规范流程、减少操作失误造成的数据泄露外，还应注意为企业处理数据的第三方合作伙伴。作为数据负责人，一旦发生泄漏，企业应承担与第三方相同的责任。这使得评估和优化第三方合作伙伴网络风险以及企业内部的风险控制非常重要。2018年6月，“安全值”联合“供应链安全联盟”发布了《第三方安全风险管理能力框架》，文中提到“第三方是组织的扩展，其行为可以直接影响到合规性和品牌声誉。这就要求企业调查、评估和跟进数十、数百甚至数千个第三方，并采取行动应对风险。合同签订后，第三方风险管理能力将从合同签订到合同执行过程应用到整个生命周期，在数字环境中，风险控制需要得到领导的充分重视和支持，多个业务和职能部门。协同作用已经完成。”

仅仅关注公司的内部风险是毫无意义的，而是在没有任何措施的情况下将相同的数据传递给第三方合作伙伴。在选择和评估合作伙伴时，应与公司在保护其内部资产和信息方面一样谨慎。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！