数据资产是你拥有的重要信息，例如客户姓名和地址、信用卡信息、银行帐户信息或访问此类数据的凭据。云资产是存储和处理数据的东西，主要包括计算资源（如服务器或容器）、存储（如对象存储或块存储）以及平台实例（如数据库或队列）。在云中管理数据资产的理论与本地没有什么不同，但在实践中有一些云技术需要掌握。

数据识别和分类

主流行的信息安全模型之一是CIA三合会：机密性、完整性和可用性。

试图破坏您的数据机密性的威胁行为者想要窃取它，通常是为了卖钱或让您难堪。试图破坏数据完整性的威胁参与者想要更改您的数据，例如通过更改银行余额。（请注意，即使攻击者无法读取银行余额，这也可能是有效的;我很乐意让我的银行余额成为比尔盖茨的副本，即使我不知道这个价值是多少。试图破坏您的数据可用性的威胁行为者希望让您离线以获得乐趣或利润，或使用勒索软件加密您的文件。

我们大多数人的资源有限，必须优先考虑我们的努力。数据分类系统可以帮助解决这个问题，但要抵制使其比绝对必要的更复杂的冲动。

数据级别划分

每个组织都是不同的，但以下规则为评估数据的价值提供了一个良好、简单的起点，从而评估数据被破坏的风险：

• 低，虽然此类别中的信息可能打算也可能不打算公开发布，但如果公开发布，对组织的影响将非常低或可以忽略不计。如：服务器的公共IP地址；对攻击者没有任何个人数据、机密或价值的应用程序日志数据；软件安装材料，对攻击者没有任何机密或其他有价值的项目。
• 中等，如果没有适当的保密协议，不应在组织外部披露此信息。在许多情况下（特别是在大型组织中），此类数据应仅在组织内需要知道的基础上披露。在大多数组织中，大多数信息都属于此类别。如：有关信息系统设计方式的详细信息，这些信息可能对攻击者有用；有关您的人员的信息，这些信息可能会向攻击者提供网络钓鱼或借口攻击的信息；常规财务信息，例如采购订单或差旅报销，可用于推断收购的可能性。
• 高，此信息对组织至关重要，披露可能会造成重大危害。对此数据的访问应受到非常严格的控制，并采取多种保护措施。在某些组织中，这种类型的数据被称为“皇冠上的宝石”。如：有关未来战略的信息，或将为竞争对手提供显著优势的财务信息；商业秘密，例如您受欢迎的软饮料或炸鸡的配方提供“王国密钥”的机密，例如对云基础架构的完全访问凭据；敏感信息交到您手中保管，例如您客户的财务数据违规行为可能具有新闻价值的任何其他信息。

对于具体的数据应用而言，无论使用哪种数据分类系统，请写下每个分类级别的定义以及每个分类级别的一些示例，并确保生成、收集或保护数据的每个人都了解分类系统。

云中的数据资产管理

云提供商处于一种独特的情况，可以帮助您识别和分类数据。首先，他们将能够告诉您存储数据的位置，因为他们想向您收取存储费用。此外，云服务的使用通过设计带来了一定程度的标准化。在许多情况下，云中的持久数据将位于存储数据的云服务之一中，例如对象存储、文件存储、块存储、云数据库或云消息队列，而不是分布在连接到许多不同物理服务器的数千个不同磁盘上。

您的云提供商为您提供了清点这些存储位置的工具，以及（以精心控制的方式）访问它们以确定存储在那里的数据类型的工具。还有一些云服务将查看您的所有存储位置，并自动尝试对重要数据所在的位置进行分类。然后，您可以使用此信息来标记存储数据的云资产。

如果我们查看示例应用程序，数据库中显然有客户数据。但是，您还有哪些重要资产？主要包括以下一些事项：

• Web服务器具有可用于识别客户的日志数据。您的Web服务器具有；
• TLS证书的私钥;有了这个以及一些DNS或BGP劫持，任何人都可以假装是您的网站并在客户尝试登录时窃取他们的密码；
• 您是否保留密码哈希列表来验证您的客户？希望您使用的是某种联合ID系统，但如果没有，密码哈希是攻击者的不错目标；
• 您的应用程序服务器需要密码或API密钥才能访问数据库。使用此密码，攻击者可以读取或修改应用程序可以读取或修改数据库中的所有内容。

即使在这个非常简单的应用程序中，您也需要保护许多不明显的东西。如下图所示。

包含数据资产的应用程序关系示意图

标识云资源

大多数云提供商以及容器管理系统（如Kubernetes）都有标签的概念。标记通常是名称（或“键”）和值的组合。这些标记可用于多种用途，从对清单中的资源进行分类，到做出访问决策，再到选择要发出警报的内容。例如，对于包含个人身份信息的任何内容。

如果组织中的每个人都使用不同的标签，它们就不会很有用！创建一个标签列表，说明何时必须使用它们，在多个云提供商中使用这些相同的标签，并要求在创建资源时通过自动化（即自动化工具）应用它们。即使您的云提供商之一没有明确支持使用标记，通常也有其他描述字段可用于以易于解析的格式（如JSON）保存标记。

保护云中的数据

介绍几种数据保护技术也可以在本地应用，但许多云提供商为您提供了简单、标准化且成本较低的方法来保护您的数据。

标记化

当您可以存储功能类似于数据但对攻击者无用的东西时，为什么要存储数据？令牌化最常与信用卡号一起使用，它用令牌（通常是随机生成的）替换一段敏感数据。它的好处是令牌通常具有与原始数据相同的特征（例如长度为16位），因此不需要修改为获取该数据而构建的底层系统。只有一个地方（“令牌服务”）知道实际的敏感数据。标记化可以单独使用，也可以与加密结合使用。

包括与浏览器配合使用的云服务，以便在发送敏感数据之前对其进行标记，以及位于浏览器和应用程序之间的云服务，以便在敏感数据到达应用程序之前对其进行标记。

加密

加密是数据保护世界的灵丹妙药；我们想要“加密所有的东西”，不幸的是，它比这要复杂一些。数据可以处于三种状态：

• 运动中（通过网络传输）；
• 使用中（当前正在计算机的CPU中处理或保存在RAM中）；
• 静止（在持久存储上，例如磁盘）。

加密使用中的数据

“使用中”数据的加密仍然相对较新的课题，主要针对非常高的安全性环境。它需要硬件平台的支持，并且必须由云提供商公开。最常见的实现是加密进程内存，以便即使是特权用户（或作为特权用户运行的恶意软件）也无法读取它，并且处理器只能在该特定进程运行时读取它。如果您处于非常高的安全性环境中，并且您的威胁模型包括保护内存中的数据免受特权用户的侵害，则应寻找支持内存加密的平台。

加密静态数据

静态数据的加密可能最复杂，难以正确实现。问题不在于加密数据；有许多库可以做到这一点。问题是，一旦你加密了数据，你现在有一个可以用来访问它的加密密钥。很多人把这个放在哪里？就在数据旁边！想象一下，锁上一扇门，然后将钥匙挂在旁边的钩子上，上面贴着“钥匙”的标签。要获得真正的安全性（而不仅仅是勾选指示您已加密数据的复选框），您必须进行适当的密钥管理。幸运的是，有云服务可以提供帮助。

在具有高安全要求的传统本地环境中，您需要购买硬件安全模块（HSM）来保存加密密钥，通常采用扩展卡或通过网络访问的模块的形式。HSM具有针对未经授权的访问的重要逻辑和物理保护。对于大多数系统，任何具有物理访问权限的人都可以轻松访问，但是HSM具有传感器，一旦有人试图将其拆开，用X射线扫描数据，摆弄其电源或威胁性地查看其大致方向，就会清除数据。

某些云提供商可以选择为您的环境租用专用HSM。虽然最高安全性的环境可能需要这样做，但在云环境中，专用HSM仍然很昂贵。另一种选择是密钥管理服务（KMS），这是一种多租户服务，它在后端使用HSM来确保密钥安全。您必须同时信任HSM和KMS（而不仅仅是HSM），这会增加一些额外的风险。但是，与执行自己的密钥管理（通常是错误）相比，KMS以零成本或非常低的成本提供出色的安全性。您可以在安全预算较适中的项目中享受适当的密钥管理的好处。

总结

如果可能，您应该在创建存储实例之前确定加密策略，因为以后可能很难更改。在大多数情况下，您应该使用云提供商的密钥管理系统来管理加密密钥，并且您应该在存储服务中使用内置加密（如果可用），从而接受存储服务可能受到损害的风险。如果确实需要在存储数据之前自行加密数据，请仅使用经过良好测试的安全算法实现。

细粒度管控有权访问密钥的用户和系统，并设置警报，以便在以任何异常方式访问密钥时通知您。除了存储实例上的访问控制之外，这将提供另一层保护，并且还可以为您提供一种在完成信息时以加密方式擦除信息的简单方法。

关于加密的一个更重要的问题是数据的可用性。如果无法访问加密密钥，则无法访问数据。确保您有某种“打破玻璃”过程来访问加密密钥，并确保它是“嘈杂的”，并且在没有检测和警报的情况下无法使用。