“在考虑文件共享服务时,每个企业和IT管理员都应该问四个关键问题,”《CISSP CBK官方(ISC)2指南,第三版((ISC)2出版社)》的作者Adam Gordon说。这些包括:服务将在哪里存储和共享文件?谁将查看这些文件?服务将如何保护文件?还有,在存储系统中服务允许哪些类型的文件?如果服务提供商没有令人满意的响应,CISOs应该考虑他们的选择。
CSO决定用这些问题来衡量Box和Dropbox的安全性。两者都符合基于云的文件共享的企业安全标准吗?亲爱的读者,请评判一下,每个申请如何经得起审查。
文件存储需求
文件共享服务将数据存储在企业IT之外,企业可能会对其失去控制。企业无法保证服务正常运行时间、文件可用性,甚至无法保证服务不会完全关闭。
Gordon说:“正是这种情况让Megaupload文件共享服务的客户几乎陷入了困境,他们无法访问该服务的云环境中的文件,无论他们是否合法和正确地使用了该服务。”这些情况让客户想知道谁有权访问他们的文件,是否有人会删除它们。
Box为企业客户提供了99.9%的正常运行时间的SLA保证,并通过多种方式维护该正常运行时间,并在出现故障时向客户提供账户积分。“首先,我们有一个单一的基础设施,服务于所有付费层次的客户。我们在更大的规模上部署了最高质量的网络和服务,这使我们能够更有效地提供企业保护,”Box企业集团产品营销经理Grant Shirk说。
该基础设施跨越了四个地理上分散的位置,包括三个主要数据中心。雷竞技电脑网站Shirk说:“我们为这些数据中心选择具有最高服务带宽水平和避免灾难能力的托管设施。”雷竞技电脑网站第四个设施为加密的二进制文件提供紧急备份存储,以便Box可以从该位置恢复。
Dropbox提供正常运行时间保证,但不公开分享。“我们在特定的商业合同中提供正常运行时间或SLA保证,”Dropbox的信任、安全和安全主管科里•路易(Cory Louie)表示。Dropbox将客户数据存储在Amazon S3上,并将加密的文件数据镜像到并置的数据中心。雷竞技电脑网站Dropbox目前将所有客户数据存储在美国境内
谁有权访问?
云文件共享服务必须保护个人账户的访问权。但是,Box允许帐户经理将员工的免费帐户转到企业的业务帐户。
Gordon说:“拥有大量员工的公司通常会将他们与Box的关系正式化,并将免费用户转到公司账户中,以获得额外的功能。”有时这些免费用户包括非雇员的外部合作者。这种情况会导致各种不必要的并发症。
戈登表示,企业不应该管理的合作账户最终可能会与员工一起分享。协作者可能最终让企业在不知情或不同意的情况下管理他们的帐户。未经授权的人可能最终会共享他们的数据,他们可能会以各种方式公开数据或删除数据。
尽管确实发生了这样的事件,Box已经采取了措施确保它不会重演。Shirk说:“我们的安全和合规团队遍历了管理用户的流程,并向系统添加了控制,以确保这种情况不会再次发生。”“我们增加了控制措施,以确保没有人在双方——账户持有人和组织——理解和了解的情况下注册账户。”
戈登表示,Dropbox等云数据服务为数据盗窃提供了一个简单的门户。戈登表示:“企业可能希望对承包商采取特别严格的约束,以限制他们将来访问Dropbox企业账户。”
但Dropbox使用客户偏好的双因素认证、身份和访问管理工具来防止不适当的访问,Dropbox将这些工具集成到自己的应用程序中。“我们已经整合了领先的身份提供商或联邦身份提供商,如Okta、Ping identity、OneLogin和centrfy。Dropbox的企业战略副总裁罗斯·派珀(Ross Piper)表示:“所有这些都是基于标准的,所以我们可以使用企业使用的任何类型的IAM工具。”
他们如何保护你的文件
据Shirk说,Box使用SSL加密会话传输文件,使用256位AES加密静态文件。Box是ISO 27001认证,并提供其SSAE 16 SOC 2, Type 2报告,取代SAS 70作为满足企业安全和合规标准的证据。Box正在研究行业特定框架,如与PCI和HIPAA的遵从性。据Shirk说,Box可以帮助公司在使用其服务时遵守HIPAA。
Dropbox支持TLS 1.0到1.2和传输中的数据的SSL v3。路易说:“这就创造了一个256位加密保护的安全隧道。”加密级别取决于与客户机协商的级别。Dropbox还使用一个256位AES密码来处理静止数据。此外,Dropbox还会对文件进行分割。“我们用散列值匿名化每个文件片段或b文件块。然后我们对这些散列的文件块单独加密,并将加密密钥从加密的文件块中单独存储。
“我们有一个当前的SOC 2/type 2报告可供我们的客户要求,”路易说;“我们将保持这一水平,并至少每年接受审计。”据Piper透露,Dropbox的合规路线图还包括今年获得ISO 27001 2013认证的计划。
派珀说,如果企业客户希望按照HIPAA和FIRPA等法规使用Dropbox,第三方开发者会提供与Dropbox合作的应用程序,其中一些应用程序可以帮助企业满足这些特定的监管要求。
容许的资料种类
黑客可以在这些文件共享服务中创建“浮动”攻击平台。Gordon说,由于这些文件共享服务的性质,它们从外到内严格保护客户文件,但却没有从内到外仔细检查它们。
具体来说,由于想要满足所有客户的所有需求,许多这些供应商都遵循一个指导商业原则,通过允许几乎完全不受限制的内容存储在他们的系统中,以获得更大的细分客户份额。有些内容可能是剧毒和致命的,”戈登解释道。
黑客可以很容易地在这些系统中存储和共享恶意软件。Gordon说:“由于这些系统经常在没有监督和IT知识的情况下使用,而且在企业内部除了遵从性功能之外,这些服务可以绕过最基本的用户意识和监督元素,以支持易用性和灵活性。”
但Box表示,它的各种控制使得其服务内部浮动攻击平台的可能性非常小。虽然Box没有限制用户可以上传的文件种类,但Box不是一个实时的运行时环境。脚本和可执行文件不能在平台内运行,”Shirk说。此外,Box允许客户对Box内容运行A/V扫描,以减轻任何潜在的感染。并且,我们将文件转换和解释限制为已知的文件类型。Shirk说。
然而,Dropbox没有像Box那样采取那么多预防措施。尽管Dropbox可以存储任何类型的文件,但Louie表示,Dropbox用户同意不滥用这项服务。“我们审查滥用和违反可接受使用政策的报告,并在必要时采取适当的行动,”路易说。
这篇文章名为“Box, Dropbox,还是drop both?方案 。