在過去的一年裡,加密一直是個熱門話題,因為個人和企業越來越意識到監視活動的增加,還有像CryptoLocker勒索軟體這樣顛覆性的惡意軟體,讓加密變成一種破壞行為而非保護功能。在這期間,網路公司(如雅虎)終於開始預設提供SSL和HTTPS給所有的使用者,以確保通訊安全和更好的資料隱私。
不過加密並非廣泛地被使用,雲端儲存服務是最明顯的例子。Dropbox和SugarSync等產品已經在消費者心中具有相當大的佔有率,它們的普及率也開始滲透進企業,有越來越多企業開始熱衷於將簡單的檔案分享功能整合進IT運作。但這些最初設計給消費者的服務是否具備有足夠的安全性呢?
一個包含了第三方附加程式和替代方案的生態系統已經如雨後春筍般地湧現,好幫組織消除安全上的疑慮。比方說,Boxcryptor和Cloudfogger可以在本地端檔案上傳前先加以加密,而來自服務供應商(像Egnyte)所提供的企業級解決方案可以讓企業無縫地結合本地和遠端代管檔案管理。換句話說,企業檔案分享和雲端儲存持續進行著領土爭奪戰,而加密和安全機制成為了產品差異化的關鍵。為什麼會變成這樣呢?
雖然並不乏有廠商提供檔案加密功能,但Dropbox和類似服務迄今都沒有預設提供類似功能,成為雲端服務市場內一個顯著的弱點,不管有多少第三方補救措施出現。最近Dropbox的伺服器突發事件凸顯出確保雲端資料安全的高難度 – 雖然該事故短暫且相對無害,也讓人省思如果發生了惡意資料外洩事件,數以百萬未受保護的檔案會發生什麼事。
Dropbox突發事件可能讓加密變成預設
有些雲端儲存服務已經開始實施加密,也許是為了反應像美國國家安全局的監視計劃。Google Cloud Storage,該公司提供給開發者和企業運作在雲端的平台,在去年夏天變成預設加密,不過Google並沒有提供相同的功能給其面向消費者的Google雲端硬碟服務。
Dropbox,最古老也最為人所知的消費者雲端解決方案,目前擁有超過2億的使用者,並沒有預設加密。不過該公司指出,其員工工作在零認知的環境,意味著他們並不知道使用者儲存在服務內的任何檔案內容。
不過,Dropbox使用者很難去驗證這說法,該公司及其類似的儲存服務已經成為服務總是會加密的一個例外。加密憑證可以包含比之前更多的位元,而現在靜態資料(data-at-rest)加密可以透過硬體完成,讓網際網路的大部分在未來都經過加密變成可能。
雲端儲存供應商避免預設加密的原因仍然未明,雖然可能和法律審查或技術考量有關。不過都一樣,使用者被要求必須要高度的信任這些公司,並相信他們所說的會運作在安全的環境。
最近的事件顯示出雲端儲存公司在保護檔案方面還有事可做。在其所謂的例行維護期間,可以看到Dropbox有好幾天呈現出核心服務斷線或不穩的狀況。這不是Dropbox首次停止運作,2012年因為Amazon Web Services故障也導致了停機,桌面客戶端程式同步上傳檔案也在2013年初出現過問題。但這次後果可能最為嚴重,一些進階方案(如Dropbox for Teams)使用者對於缺乏溝通和延遲的長度感到失望,這是由於漫長的資料庫檢索操作所造成。
Dropbox事件和「駭客」無關,也沒有證據顯示敏感資料外洩或使用者受到傷害。但這事件顯示出超大規模服務的脆弱性 – 如果伺服器作業系統升級可能會出問題而影響到數百萬的使用者,那也值得讓我們思考一下,如果缺乏預設加密可能會導致的後果。
預設加密已經成為顯學 – 為什麼儲存供應商故步自封?
美國國家安全局透露,隨著近來零售業者出現的網路安全問題,已經讓一些網路公司強制預設加密。在今年初,雅虎信箱預設使用HTTPS,這是因為惡意軟體導致廣告以及出現入侵資料庫意圖等安全問題所做出的反應。
同樣地,雅虎所擁有的Tumblr最近也宣布可以選擇使用HTTPS。它很快地就變成預設,或許是因為技術方面的責難或是受到一些觀察家的質疑,尤其是有鑑於透過行動應用程式存取Tumblr和類似服務的使用者數量。
「加上SSL肯定會比舊的明文HTTP更好,也相當有道理,特別是當使用者會透過行動應用程式來存取服務」,BitDefender的資深分析師Bogdan Botezatu告訴PC World。「然而,SSL只有在預設開啟時才有意義,因為一般使用者不太會去變更預設的設定。」
的確,有許多使用者會連上不安全、不可信的行動網路,像是公共無線網路。一旦這樣做,他們就會陷入讓中間人攻擊攔截網路流量的危險,被利用來取走帳號。一個被劫持的Tumblr帳號肯定會損害個人隱私和安全。如果是Dropbox或微軟的OneDrive服務受到影響,那後果肯定會更加嚴重。
實行加密有個阻礙。根據Ponemon Institute的調查,在4,800名業務和IT主管中,只有35%會進行加密策略,這強調了挑戰仍然存在。但是鑑於其營運的規模和消費者對於它們的信賴,雲端儲存供應商應該要特別積極主動地對資料進行加密。
@原文出處:Recent technical issues make case for encryption by default among cloud providers