在过去的一年里，出现了一系列此类事件，这些事件困扰着很多组织，如Uber、Verizon、Viacom、道琼斯，甚至美国的军事组织。那么谁应该受到责备?是客户、云计算提供商、存储供应商还是黑客?事实证明，问题的根本原因不在于涉及的云计算提供商，无论是AWS、Microsoft、IBM还是Google，还有企业管理员正在配置和使用这些存储桶的方式。最终，大多数情况都可以解决用户错误的原始问题。

　　这真的很令人惊讶吗?让人们不要忘记，调研机构Gartner公司预测95%的云计算安全故障将是客户的错。IT行业人士通常都知道用户或管理员的错误一直困扰着IT组织。这是泄漏的云存储桶面临的情况。这些存储桶有两个主要属性不应忽略。首先，云存储和存储桶是驻留在私有云和防火墙边界之外的共享服务。其次，云存储桶基于对象存储，它不会强制组织多年来使用的文件系统访问控制列表(ACL)来定义文件级粒度权限。

　　与传统IT或传统存储的数十年企业IT体验相比，云计算存储管理的固有缺点加上云存储管理的不成熟，导致存储的数据没有得到保护，可能成为黑客的猎物，而黑客经常运行扫描搜索下一个受害者。

　　该怎么做才能避免泄漏云存储桶?幸运的是，有一些简单的预防措施可以确保数据在组织的边界内得到保护：

　　(1)加密数据并将钥匙放在口袋里，如果IT人员遵循一个简单的规则：如果企业的数据存储在外部环境，则必须被加密，那么IT人员才能放心。正如没有人在没有VPN的情况下可以通过公共Wi-Fi访问敏感信息一样，企业不应该在没有适当加密的情况下使用公共云存储。如果数据在空闲时加密，并且只有某些工作人员可以访问加密密钥，则无需担心存储桶是否泄露：加密数据对任何未授权的用户都是无用的。这是一种至关重要的保险措施，可以防止有一天发生错误的概率，无论其大小如何。

　　(2)管理访问权限，使用多层访问控制系统，该系统从存储桶本身的访问权限一直到相关工作负载的文件级别，保留权限并将它们连接到中央目录身份验证系统。

　　(3)投资数据丢失预防(DLP)，利用DLP软件监控数据访问模式，并找出可以检测数据泄漏的偏差。这些工具还可以阻止策略违规，从而可以阻止用户在企业的防护措施之外发送敏感数据。

　　(4)锁定端点和办公室，使用企业移动管理(EMM ) 移动设备管理(MDM)工具消除影子IT，在企业提供的和BYOD设备中创建安全的生产力空间。

　　(5)定期渗透测试，在向网络添加新基础设施(例如云存储)时，渗透测试至关重要。但是，这种优良的作法是定期进行测试以评估组织的安全状况，并确保不会出现新的泄漏。

　　所有这些措施都应该成为所有组织隐私议程的首要任务，只有这样，他们才有机会保护自己免受许多泄漏的云存储桶受害者所遭受的命运。

　　责任编辑:张华