什么是云泄漏？

技術(shù)在改變著人們的生活：移動支付、共享經(jīng)濟、電子商務、在線醫(yī)療…讓人們的生活更加便捷，生活質(zhì)量進一步提升。但同時，數(shù)據(jù)泄漏事件似乎在不斷的發(fā)生，銀行卡賬號、個人身份信息、醫(yī)療記錄、出行記錄在隨著數(shù)字化生活給人們帶去便利的同時，也被大量的企業(yè)、服務機構(gòu)獲取，使用。

隨著意識的提高，人們越來越重視個人隱私保護。“黑客”、“網(wǎng)絡攻擊”、“違規(guī)”、“泄漏”，這些詞不斷挑動著人們的神經(jīng)。其中，有一種較為特殊的“泄漏”，一旦發(fā)生可能會涉及到大量的數(shù)據(jù)，給相關用戶和企業(yè)造成巨大的損失，我們稱之為云泄露。

云泄漏是指存儲在云服務器中的敏感數(shù)據(jù)毫無防備的暴露在互聯(lián)網(wǎng)上。云服務商在互聯(lián)網(wǎng)上為企業(yè)提供了私有空間來部署系統(tǒng)、存儲數(shù)據(jù)。大多數(shù)云服務商會提供選項允許企業(yè)將自己的存儲空間面向互聯(lián)網(wǎng)開放。若管理員在處理數(shù)據(jù)時修改了權(quán)限，云服務器和互聯(lián)網(wǎng)之間的邊界就消失了，意味著所有人都可以訪問這些數(shù)據(jù)。2017年版《OWASP Top 10 》顯示， “安全配置錯誤”在10項最嚴重的web應用程序安全風險中排在第五位 。無論是錯誤的配置還是云中脆弱的服務器，都會將隱私數(shù)據(jù)至于危險的境地。而專門有一類人，出于獲取利益的目的，在持續(xù)的搜尋著云泄漏，將會擴大云泄露的影響。

2017年5月，免備案主機，因AWS S3存儲桶權(quán)限設置失當導致至少 220萬 道瓊斯公司客戶信息半公開，讓免費AWS賬戶都可以訪問里面內(nèi)容。同年7月，Verizon公司超過 1400萬 用戶個人資料因第三方供應商云服務器安全配置不當遭到外泄，數(shù)據(jù)所屬的云儲備被配置為允許公開訪問并可完全下載。同年9月，因承包商問題，導致美國陸軍及NSA情報平臺絕密文件暴露在Amazon S3服務器上。這些都是典型的云泄漏事件。云泄漏是企業(yè)及組織面臨的獨特風險，出現(xiàn)錯誤的簡單性與它可能導致后果的嚴重程度形成巨大的反差。

云泄露的嚴重性 云泄露中最常見的數(shù)據(jù)分為兩類：

1. 個人信息

身份信息（姓名、性別、年齡、地址、電話號碼…）活動信息（訂單、生活軌跡、瀏覽習慣…），銀行卡信息、醫(yī)療記錄…這一類信息極具價值，買賣公民信息的黑市在互聯(lián)網(wǎng)平臺并不鮮見。當下，免備案主機，政府及監(jiān)管機構(gòu)非常關注公民個人信息的保護，在今年5月1日實施的《信息安全技術(shù)個人信息安全規(guī)范》，從國家標準層面，明確了企業(yè)收集、使用、分享個人信息的合規(guī)要求，為企業(yè)制定隱私政策及個人信息管理規(guī)范指明了方向。在同月生效的《通用數(shù)據(jù)保護條例》中，也將對個人信息的保護提升到了新的高度，影響行業(yè)廣泛，對涉事企業(yè)處罰力度大。

2. 企業(yè)信息

企業(yè)內(nèi)部的文件、郵件、備忘；合作伙伴、供應商信息；項目信息等。財務信息；設計；知識產(chǎn)權(quán)信息；代碼等。一旦這些信息暴露，被競爭對手或有不良企圖的人獲得，將會給企業(yè)帶來致命的傷害。

數(shù)據(jù)泄露，可能會讓公民面臨詐騙、騷擾、甚至人身安全威脅，可能讓企業(yè)面臨來自競爭對手的致命打擊、來自監(jiān)管機構(gòu)的高額處罰，及無法估量的名譽損失?？梢哉f，云泄露可給相關各方帶來巨大的傷害。

如何防止云泄露？

云泄漏并非由外部攻擊造成，而是由日常工作中的操作導致的。企業(yè)在使用云服務時，應意識到其風險的存在。企業(yè)在對云服務配置時，應該持續(xù)驗證每一步操作以保證風險的可見。

企業(yè)除了規(guī)范流程，降低由操作錯誤導致數(shù)據(jù)外泄的同時，也應當關注到為企業(yè)處理數(shù)據(jù)的第三方合作伙伴，企業(yè)作為數(shù)據(jù)的責任人，一旦出現(xiàn)泄漏，與第三方需要承擔同樣的責任。這使得評估和優(yōu)化第三方合作伙伴網(wǎng)絡風險與企業(yè)內(nèi)部的風險控制同樣重要。2018年6月，“安全值”聯(lián)合“供應鏈安全聯(lián)盟”發(fā)布了《第三方安全風險管理能力框架》，文中提到“ 第三方是組織的擴展，其行為可以直接影響到合規(guī)性和品牌聲譽 。這就要求企業(yè)對幾十個，幾百個甚至數(shù)千個第三方進行調(diào)查，評估和后續(xù)跟進，并對風險采取行動。第三方風險管理能力將應用于從合同簽訂之前到合同執(zhí)行過程中一直到合同完成之后整個生命周期，并且在數(shù)字化環(huán)境下，風險控制需要得到領導充分的重視和支持，經(jīng)多個業(yè)務和職能部門的協(xié)同來完成。”

僅僅關注企業(yè)自身的內(nèi)部風險，卻把同樣的數(shù)據(jù)毫無措施的交由第三方合作伙伴，這是毫無意義的。合作伙伴的選擇和評估應該與企業(yè)在保護其內(nèi)部資產(chǎn)和信息時一樣謹慎。