安全之花如何盛开在华为云空间的每个角落?
移动互联时代的到来,让数字居民不断扩容,在物理世界和数字世界之间频繁往来。个人云存储服务,也就成了萌发数字生活的种子,破土发芽而最终成长为连接物理与数字两个空间的藤蔓。
个人云存储服务,从你我的硬件终端设备连接着数字新世界。数据自动备份,手机、PC、平板多设备无感同步,文件轻松存储,云盘上传下载不限速……一旦体验过云端生活的方便快捷,相信大部分人都会选择抛弃硬盘和 U 盘,再也回不去从前了。本世纪初,苹果、谷歌、微软等巨头就相继推出了面向个人的云存储服务,Dropbox 更是凭借个人云存储服务,成为最有价值的创业公司之一。终端设备覆盖全球市场和用户的华为,也通过华为云空间来提供个人云存储服务。
但是,使用个人云存储服务的人大多都会对数据安全感到担忧。
便捷性与安全性的矛盾,成为更多移动终端用户拥抱云存储的主要顾虑。
当然了,矛盾也意味着机会。在行业普遍没能交出满意答卷的时候,掌握了技术优势的厂商,或许能够率先撬动市场。
凭借华为在全球范围内领先的技术优势,华为云空间在数据安全上表现得尤为不同。
今天,我们从一颗安全的种子说起,聊聊云存储如何才能保证个人数据的安全无虞。
萌芽:根植深处的安全理念
对于绝大多数消费者来说,相信品牌的力量,是选择个人云存储服务最简单有效的方法。头部科技企业站在市场和监管的聚光灯下,往往更加爱惜羽毛,对数据安全更加重视。
多年深耕终端消费者业务的华为,将用户数据安全与隐私保护放在了首位。
企业文化层面,网络安全和隐私保护是华为公司的最高纲领,置于整个公司的商业利益之上。提出了消费者业务安全与隐私保护的“四大主张”和“三大承诺”,其中就包括数据层层加密,未经允许任何人无法访问;每一步信息都由用户全权掌控。
系统软硬件层面,围绕硬件、OS 搭建起系统级数据保护能力。结合华为在软硬件系统的底层技术创新,数据服务与应用可以与硬件系统相互协作,在端云一体的土壤上打造更坚实的防护壁垒。
云存储应用层面,华为云空间也将数据安全作为产品设计的基石。早在 2019 年华为发布的国内首个云隐私保护白皮书中,就提到未经用户授权,任何人无法获取和解密存储在华为云空间的用户数据。
将安全理念层层融入到了企业文化、系统软硬件、云存储服务之中,华为为数据保护奠定了良好的土壤,自然能让安全这颗种子真正萌芽。
生长:在每个角落播撒信任
有了生长发展的前提条件,到底怎样做才能确保使用个人云存储服务时,数据足够安全不会泄露呢?
云存储上的大多数威胁都是因密码薄弱而导致的,华为云空间是站在真实的用户视角,去思考数据安全这件事。
试想一下,如果你突然多了一大笔金银财宝(个人数据),会怎么保存它们呢?常规思维是立马找一家安保机构(云存储平台)存起来。
问题来了,对方看到一堆值钱大宝贝,会不会利欲熏心、监守自盗?
我们假设所有安保机构未经验证之前都不可信任(零信任),在把金银财宝(数据)存安保机构之前,得用保险箱锁起来,谁都不知道里面有什么,谁要看都得先问问你。要把主动权全部拿捏在自己手里,这时候就需要——端侧加密。
在数据上传之前,云空间就会在设备端进行特殊的加密处理,并且整个上锁生成密钥的过程,云空间这家“安保机构”自己也得避嫌,由 KMS(Key Management Service)来完成。
KMS 这个密钥管理专家,可以说是技术过硬,采用国际标准或业界通用的安全算法(如 AES、RSA、SHA256 等);工具先进,使用具备物理防篡改能力的硬件加密机来生成专用密码,安全性达到业界领先水平;服务到位,KMS 对于密钥、证书、授权认证的管理也有严格的流程,防止未授权人员读取,对一切想看你保险箱的人铁面无私。
有了 KMS 的参与,咱们可以确信,没有任何人可以访问你的数据,华为云空间这样的个人云存储服务商自己也不能。
接下来,就该把保险箱送到安保机构了。可是散发着诱人气息的数据“包裹”,一路上得招不少贼人惦记,其中不乏艺高人胆大的顶级黑客,而个人数据一旦被人中途截获、偷窥或者篡改,那可是遗患无穷。
为了保证用户金主们的数据“包裹”能安全抵达,华为云空间采用 HTTPS 加密通道,专门承接云空间手机端、PC 端、Web 端与服务器之间的传输业务。
而 HTTPS 这家”数据物流公司“之前专门服务的是网银、银行这类要求极其严苛的大客户,安全意识自然是业界一流:
发“包裹”之前,先得查看数字证书进行身份认证,确定是你本人寄,才给你发一个临时密钥作为传输通行证。
传输途中,会用密钥算法对数据进行层层加密封装、花式打包,确保严严实实谁都看不出里面装了啥;
抵达服务器之后,还得进行一次身份认证,确定是你本人来存,放着金银财宝的保险箱才私密又完好无缺地抵达你想存的地方。
好不容易到了安保机构,是不是把保险箱放下就大功告成了?别急,万一对方直接将你的数据放在云上任人围观呢?云存储的安保体系也必须认真考察一番。
存储数据时,云空间会将每个文件打散成几个区块,每个区块加密后上传服务器;被打散的密文区块,也不会跟用户密钥存在同一服务器中,这样即使其中一个被非法获取,数据也无法被破解。
经过这么一番操作,你的数据可算是安心存好了。但产生的密钥就像一张张存单,既不能丢失(取时要用),又担心被盗(受到攻击)。
为了密钥“存单”的安全,华为云空间也设置了应对方案——
1.绑定:加密数据的密钥,还会被华为帐号的用户密钥加密,然后上传到云空间服务器,二者相互绑定,想要取出金银财宝的同时拿两个存折交叉验证,安全性自然大大提升。
2.隔离:密钥也不能全部存在一起,万一进了小偷直接全军覆没,所以云端的用户密钥都必须单独存储,隔离管控。密钥和数据也要分开管理,不能放在同一个服务器上。这样就有效分散了安全风险。
至此,华为云空间通过加密技术打造了铜墙铁壁,也取得了用户对平台的信任。但别忘了,数据安全是一个永无止境的攻防战,在面对”天灾人祸“等安全隐患时,则要有勇有谋地作斗争。
所谓人祸,是防止有心之人/应用对用户数据的违规获取。
1.防伪装:以华为云空间为例,就要先去 KMS 获取用户级密钥,再通过用户级密钥获得文件密钥,用文件密钥解密密文,才能解锁明文数据,确保数据解密只能由用户本人触发。
2.防泄露:云服务意味着你的数据可能和别人的数据共享一块地方,为此,华为云空间针对不同租户数据存储隔离,不同租户的数据之间都不挨着,互不影响,别人取金银财宝的时候根本看不到你的,最大程度地保证了数据私密性。
3.防窥视:不少手机用户都有过数字足迹被偷窥的经历,刚在社交软件上跟人聊完新衣服,转头输入法应用就将这事儿告诉电商平台推送同款,着实令人不寒而栗。为了避免推理分析导致的隐私泄露,华为云空间将不同应用产生的数据用物理手段隔离,存放在不同的服务器上,服务器 A 上的应用根本看不到服务器 B 上的应用数据,自然最安全。
同一应用的不同用户数据,如果放在同一个服务器上,华为云空间可以做到对不同用户数据进行逻辑隔离,每个用户只能访问自己的目录。
所谓天灾,是防止意外事件对云端数据造成的损失。
云服务商往往会将大家的数据存放在由大量服务器集群构成的数据中心里,物理设施难免会受到自然灾害、断电断网等意外事故的影响。
解决方法就是避免将鸡蛋放在一个篮子里,将个人用户数据存放在数据中心的多个可用区 AZ 上,这些可用区的电力和网络相互独立,当一个可用区出现故障,服务可以在短时间里快速切换到另一个可用区,从而保障数据不丢失、服务不中断。以云空间为例,就将数据存放在支持多 AZ 的华为云数据中心,虽然运维成本更高,却能最大程度地确保用户数据的安全性与可用性。
至此,个人数据的“藏宝之路“圆满告一段落。
梳理华为云空间的技术能力会发现,个人数据安全不会凭空而来,唯有在每一个关键环节想用户所想,用有力的技术勾勒未来,用细致的产品服务当下,才最终孕育出枝繁叶茂的云端数字生活。
结果:共赴云端的安全盛宴
个人云存储市场发展到现在,华为再次提供了一个时代样本:如果数据安全要成为云存储的基石,需要完成哪些战略动作。
1.安全是生命线。
对于个人来说,无论免费存储还是付费存储,安全都是他们最关心的事情。从国家的角度来看,中国、美国、欧盟都有数据保护的法律体系,欧盟 GDPR、中国三法联动(《网络安全法》《数据安全法》和《个人信息保护法》),这决定了未来只有将隐私安全视作底线的厂商才能生存。
将数据安全刻进 DNA 的华为云空间,也因此获得了消费者真金白银的认可,截至 2021 年,华为云空间全球月活用户数达到 3.5 亿,付费用户数同比增长了 50%。可以想见,随着数字生活覆盖越来越多的人群,对个人数据安全的重视也将推动华为云空间的进一步增长。
2.技术是核心。
华为云空间在全球范围内收获数据安全领域的认可,本质上是依靠突出的技术能力,在日益严峻的数字威胁下,有力地守护了用户的数据资产安全。
在海外,通过了基于欧盟数据保护法律的 ISO27018 认证,能够有效保护云用户个人可识别信息 PII;凭借在信息安全管理体系上的合规性和高标准,通过了 C-STAR 云安全国际认证;在国内,也获得了公安部颁发的信息系统安全等级保护三级认证,这也是目前国内对非银行机构信息系统安全的最高级认证证明。
3.生态是前提。
网络威胁是一场永不停歇的攻防战,因此,数据安全也不是一个企业能够独自解决和应对的。尤其是在万物智联的背景下,新型威胁层出不穷,安全可信的数字生活必须发挥生态的力量。
以华为为例,就通过生态建设来调动多方参与共建数字安全的积极性。面向开发者,华为开放 HMS 的安全与隐私保护能力,共建 1+8+N 全场景安全;面向第三方机构,构建独立的安全验证体系,检验产品和服务的安全与隐私保护能力。
当用户的信任,播撒到数字生活的每一个角落,生机蓬勃的个人云存储服务正在生长。
评论