云平臺數據安全保護方面的措施有哪些

云平臺數據安全保護方面的措施有以下這些：

• 用戶卷訪問控制：應按需對每個卷定義不相同的訪問策略，卷與卷之間互相隔離，只有卷的合法使用者才能訪問該卷，沒有獲得該卷訪問權限的用戶不得訪問。

• 存儲節點接入認證機制：存儲節點間采用標準iSCSI協議進行訪問，并應支持挑戰握手身份認證協議認證功能。CHAP認證功能可以提高應用服務器訪問存儲系統的安全性。CHAP將通過三次握手來周期性地校驗對方身份，校驗可以重復進行，包括在初始鏈路建立時、完成時以及在鏈路建立后。

• 剩余數據銷毀：當用戶把卷信息卸載釋放后，系統會對卷執行格式化操作以保證卷上的重要用戶數據不泄露，然后再對該卷進行重新分配。存儲的用戶文件信息或對象數據被刪除后，存儲區會對數據進行完整銷毀，并標識為只允許新數據寫入，從而避免數據被惡意恢復和竊取。銷毀剩余數據的機制保障了用戶存儲于云中數據的安全性，避免了其他用戶租用相同的物理存儲資源而造成用戶數據泄露的情況，降低了用戶對使用云業務的擔心。

• 數據備份：云數據中心的數據存儲可以采用多重備份機制。在數據存儲前，對數據進行分片，分片后的數據在集群中按照一定的規則保存在多個副本節點上，且每一份數據均復制保存多個副本。當有限個存儲介質出現故障時，不會導致數據丟失，也不影響業務系統對數據的正常使用。

• 數據庫審計：與傳統數據庫相比，云端數據庫面臨更多的風險和威脅。數據庫審計主要通過對數據庫的各種訪問操作進行審計控制，以此提高數據庫的安全性。數據庫審計設備通常由內置的捕包、解析、響應模塊組成首先，捕包模塊負責捕獲和重組網絡數據包，并根據預置的審計范圍進行初步過濾，為后續解析做準備。其次，解析模塊利用狀態檢測、協議解析等技術，分類過濾和解析網絡數據庫包，然后依據審計規則審計相關的重要事件和會話，與此同時也可以檢測數據包是否攜帶關鍵的攻擊特征。

• 不要忽視開發人員的憑證：作為每天掃描數以百萬計的公共和私人代碼存儲庫的企業，再怎么強調健全的憑證策略的重要性也不為過。企業應該確保其開發人員至少只使用短期憑證，并最終投入所需的時間來完成一個完整的設置，其中包括管理(如保險庫)和檢測。

• 始終查看默認配置：云計算提供商預先配置了通用的訪問控制策略。這些策略很方便，但經常會發生變化，因為正在引入新服務，它們不一定符合企業的需求。企業可以通過選擇退出不必要或未使用的服務來減少網絡攻擊面。

• 列出可公開訪問的存儲：很多人在新聞中了解到一些云存儲被開放并公開訪問的消息。無論企業為對象和數據選擇哪種存儲方法，需要檢查是否只有預期的組件可以公開訪問。

• 定期審核訪問控制：云安全與企業的身份和訪問管理策略一樣強大。基于身份的安全系統逐漸占據主導地位，形成了所謂的“零信任”策略的基礎。但就像其他事情一樣，這些政策將被修改。實施最小特權原則是一個積極的過程，涉及微調對服務、系統和網絡的訪問。企業應該定期安排人工檢查和自動檢查并嚴格執行。

• 利用網絡結構：同樣的規則也適用于網絡企業應該利用云計算提供商的控制來構建更好的、細粒度的策略來仔細劃分流量。

• 預防性記錄和監控：如果沒有強大的監控和日志記錄，就無法實現良好的安全性。基于風險的日志記錄策略是必須的，但最重要的是，企業應該確保警報不僅已啟用且正常工作，而且是可操作的，而不是在安全事件發生后查看的內容。在理想情況下，企業應該能夠通過API或其他機制在其日志系統上聚合云日志。

• 豐富資產清單：使用供應商的API來減輕庫存管理的艱巨任務固然不錯，但是通過有關所有權、用例和敏感性的額外信息來豐富這一點會更好。企業需要在策略中考慮它。

• 防止域名劫持：云服務和DNS條目之間經常存在傳遞信任。企業需要定期檢查其DNS和云配置，以防止出現接管情況。

• 災難恢復計劃不是可選的：云計算環境不會自動解決災難恢復(DR)問題。企業考慮什么級別的投資適合其云計算環境中的災難性事件，并且設計一個災難恢復(DR程序以從外部帳戶、提供商或語言環境中恢復。

• 限制人工配置：利用云原生安全工具和控制意味著自動化。需要記住，漏洞源于錯誤配置，而錯誤配置就是一種錯誤。需要完成的人工工作越多，錯誤潛入的漏洞就越多。企業需要推動其團隊實現更多自動化，盡可能使用安全即代碼并逐步強制執行不變性(不再可能人工配置)。

回答所涉及的環境：聯想天逸510S、Windows 10。