三大云提供商的数据安全性

2019-08-02 10

三大云提供商的数据安全性

2018年,GDPR无处不在。突然间,即使与数据安全或IT安全无关的人也必须处理这个问题。有一次,我私下或在办公室使用的所有服务都开始发送电子邮件,向我保证他们根据新规定更新了他们的隐私政策。

现在一切安静下来。

但现在我问自己:那里究竟发生了什么?所有的大牌玩家都能以一种允许我使用他们的服务并在晚上睡得好的方式保护所有内容,因为我知道我的数据是安全的吗?更新的隐私政策至少表明了这一点。我认为很多终端用户现在感到安全。

谷歌,微软,Dropbox和其他大型云提供商显然都符合GDPR标准,因为他们仍然可以在GDPR之后在欧盟提供服务。但我的问题仍然存在:数据是否安全,或者提供商是否只是改变其政策或内部程序中的措辞,是否有足够的保护并在诉讼案件中做好准备?此问题与存储在云中的敏感公司数据特别相关。我们仔细研究了三大云存储提供商Google,Microsoft和Dropbox的隐私政策和安全设置。我们将说明您的数据在Dropbox Business中的安全性,以及GSuite中的Google云端硬盘和OneDrive for Business中的数据安全性,以及不是这样。

您是以欧元,美元还是数据付款?

要弄清楚您是否希望将大型云提供商委托给您的数据,这有助于了解他们的业务模式以及他们提供的目的背后的目的。例如,如果您是Google云端硬盘的免费用户并将图片存储在那里,则可能会将其扫描并用作Google图像识别软件的数据资料并改进机器学习:

我们使用现有服务中收集的信息来帮助我们开发新的服务。例如,了解人们如何在Picasa(谷歌的第一张照片应用)中组织他们的照片,帮助我们设计和发布Google相册。(谷歌/隐私)

数据通常也用于个性化广告。通过收集的数据,提供商可以创建每个用户的非常精确的配置文件,以在恰当的时间和地点显示正确的产品。

特别是当您使用免费的云存储时,您应该知道您正在使用您的数据支付存储空间,并且公司会使用这些数据。他们可能只会用它来转换成购买客户,例如在Dropbox,云存储是他们唯一的业务。但是,Google或Microsoft提供了更多服务,您的数据也可能用于其他目的。在他们的隐私政策中,他们对此非常直言不讳,例如Google Drive:

我们收集信息以便为所有用户提供更好的服务 - 从找出您说的语言等基本内容到更复杂的内容,例如您认为最有用的广告,在线对您最重要的人,或者哪些YouTube视频你可能会喜欢。

或者在OneDrive:

Microsoft使用我们收集的数据为您提供丰富的交互式体验。(...)我们还使用这些数据来运营我们的业务,包括分析我们的业绩,履行我们的法律义务,发展我们的员工和进行研究。

当您将数据存储在Dropbox Business或任何其他公司云中时,您的数据可能会有不同的处理方式,具体取决于公司云的设置以及您签署的业务协议。提供商希望您信任他们并在竞争对手中选择他们。因此,他们将尽力以良好的安全性赢得您的信任。

Dropbox Business中的数据保护措施,OneDrive for Business和GSuite中的GoogleDrive比较

2019年,所有大型云提供商都提供了具有类似安全措施的精心设计的解决方案。所有这些都采取类似的措施来保证业务连续性。服务器受到良好保护,使得由于服务器故障或环境原因导致数据丢失的可能性极小。在加密和防止第三方访问方面,设置也非常相似。当一个提供商实现新的东西时,其他提供者会很快跟进。例如,谷歌首先实施了Perfect Forward Secrecy,但Dropbox和其他人也很快采用了它。

基础设施和数据中心

以下章节简要概述了三家最大供应商的安全措施,并指出了进一步阅读的来源。但是,列出每个预防措施以增强存储数据的安全性超出了本文的范围。

OneDrive for Business

Microsoft在其网页上介绍了数据中心安全问题,以及它们如何阻止陌生人访问这些设施:

只有少数基本人员才能访问数据中心。他们的身份通过多种身份验证因素进行验证,包括智能卡和生物识别。有本地安保人员,运动传感器和视频监控。入侵检测警报监视异常活动。另一个重要的安全措施是所有数据都存储在至少两个不同的地方,相隔数百英里。这样,地震或任何其他环境灾难很可能不会影响这两个地方,数据也是安全的。

GSuite中的Google云端硬盘

谷歌强调,所有硬件和所有服务器都是谷歌制造的,以实现最高的控制和安全标准。它们提供了详细的白皮书 ,其中包含有关Google基础架构的不同安全层的信息。本白皮书的一个重点是Google员工的设备如何受到保护,以防止网络钓鱼攻击和其他尝试访问Google世界。

我们在保护员工的设备和凭证免受妥协以及监控活动以发现潜在的妥协或非法内部活动方面进行了大量投资。这是我们投资确保基础设施安全运营的关键部分。

与OneDrive类似,尽可能减少员工对服务器和数据的访问。Google更进一步计划完全自动化所有流程,以便不再需要人工访问。但是,这可能还有很长的路要走。

Dropbox业务

Dropbox提供了一份关于Dropbox Business安全性的白皮书。一章描述了每年一次的业务连续性如何测试以发现可能的漏洞。这样,提供者希望在紧急情况下做好准备。

Dropbox和Dropbox用户的数据存储在美国第三方提供商的服务器中心。这些提供商负责服务器安全,但Dropbox每年测试一次安全措施。拥有250多名用户的公司可以将他们的数据存储在欧洲。欧洲服务器由亚马逊网络服务托管,位于德国法兰克福。作为额外的安全预防措施,数据和元数据存储在不同的服务器上。

Dropbox,Google Drive和OneDrive的加密

当涉及到云数据的加密时,所有三个提供商都具有类似(几乎相同)的设置。静态的所有数据都使用256位AES加密进行加密。这符合最先进的技术,因此是最安全的加密数据的方法之一。OneDrive使用BitLocker实现了额外的全卷加密。

传输中的数据由所有三个提供商使用SSL / TLS加密进行加密,这也是目前传输中数据最常用且最安全的解决方案。根据Google的说法,他们首先实施的另一项安全功能是Perfect Forward Secrecy(PFS)。使用PFS时,私有SSL密钥不能用于过去发生的会话。因此,即使有人访问了SSL密钥,他也无法使用它来解密旧流量。

密钥管理

OneDrive for Business

OneDrive提供的功能允许业务客户将密钥存储在Microsoft Azure Key Vault中:

使用Customer Key,您可以控制组织的加密密钥,然后将Office 365配置为使用它们来加密Microsoft数据中心中的静态数据。换句话说,Customer Key允许客户使用其密钥添加属于他们的加密层。

Google云端硬盘

Google还使用自己的密钥管理密钥管理服务:

具有由G Suite编写的客户创建的内容的文件或数据结构被细分为块,每个块使用其自己的块数据加密密钥(“块密钥”)加密。每个组块密钥由另一个称为包装密钥的密钥加密,该密钥由Google范围的密钥管理服务(KMS)管理。

Dropbox业务

Dropbox 有一个分散的密钥管理系统:

Dropbox的密钥管理基础架构设计有操作,技术和程序安全控制,对密钥的直接访问非常有限。加密密钥生成,交换和存储被分发用于分散处理。

您的数据不受一个重大威胁的保护

所有这些关键管理解决方案技术上都很完善,可以保护您的数据免受许多攻击和外部威胁。但其中一个核心问题仍然存在。Azure是OneDrive Business的Microsoft产品,因此Microsoft可以访问密钥。Google正在使用自己的KMS和Dropbox自行管理密钥。因此,所有提供商都能够在理论上访问其客户的所有数据。

由于技术设置,云提供商可以访问客户数据并不是秘密。当政府要求云客户数据时,他们可以(并且必须)使用密钥来提供数据,当然,Microsoft,Google和Dropbox必须遵守。即使数据被加密,提供者也可以访问数据,因为他们有密钥来解密数据。由于像CLOUD法案这样的计划立法,提供商必须违背他们的意愿移交用户数据。因此,未经授权的第三方可以访问您的数据,即使它只是 Microsoft,Dropbox或Google员工。

理想的解决方案是加密和存储的分离。一位专家负责存储和同步,另一位专家负责加密,知识标准为零。通过这种方式,您可以完全控制两个世界中最好的一个。

在知识加密为零的情况下,加密密钥或者保留在用户的设备上,或者,当技术上需要传输时,密钥在设备上被加密,然后才被发送到加密提供商。这样,即使政府应该请求云客户数据,提供商也不能使用它们来解密数据。

把GDPR合规纳入自己的手中

这三家提供商都提供最先进的加密技术。因此,即使在GDPR于2018年生效后,他们仍然可以在欧洲提供服务。提供的加密是否真的是一种适当的技术或组织措施(TOM),以防止GDPR要求的第三方访问,值得商榷。我们说不,因为第三方可以访问数据。只有零知识加密可以可靠地保护云中的数据免受未经授权的访问。

自GDPR生效以来,云提供商的加密和技术设置没有改变。所有提供商都保证符合GDPR标准,但这并不意味着您的云数据不受所有威胁的影响。

自己变得活跃,并为您的云添加额外的安全层。Boxcryptor针对Dropbox,Google Drive和OneDrive进行了优化,是各种规模的团队和组织的理想选择。在我们的网站上,我们提供有关我们的技术设置,加密和密钥管理的详细信息。了解我们如何使用零知识标准实现Boxcryptor的端到端加密。这样我们保证,您对公司数据的完全控制权仍然掌握在您手中。