许多企业希望使用云服务来存储和共享文件,但又犹豫不决,因为云提供商可能会访问这些内容。AlephCloud有一项服务,可以对文件的创建源进行加密。
云存储应用程序是工作人员协作和生产力的重要推动者。当两个或更多的人需要来回共享文件时,特别是当他们不能访问SharePoint这样的单一内部存储设施时,像Dropbox或Box这样的应用程序会很有帮助。某人创建一个文件,将其拖放到存储应用程序图标上,然后文件就被发送到云端——就这么简单。
但是,当终端用户对易用性感兴趣时,企业更关心的是数据安全性。为此,这些服务的提供者已加强资料私隐和保安能力;例如,在文件传输到云的过程中使用SSL保护文件,并在云中对文件进行加密。
尽管有这些保护措施,一些企业仍对允许敏感文件存储在云上感到不安。问题的关键在于谁有可能以未加密的形式访问这些文件。例如,云存储提供商可以访问纯文本文件,但它是加密文件和持有密钥的提供商。这种情况可以用Dropbox网站上题为“Dropbox有多安全?”的一段话来说明:
Dropbox的员工被禁止查看您存储在账户中的文件内容。当员工有合法的理由时,比如提供技术支持,他们可以访问文件元数据(例如文件名和位置)。与大多数在线服务一样,我们有一小部分员工必须能够根据我们的隐私政策(例如,在法律要求的情况下)访问用户数据。但这是罕见的例外,而不是规则。我们有严格的政策和技术访问控制,禁止员工访问,除非在这些罕见的情况下。
这就引出了一个问题:云提供商访问您的私有数据的情况有多“罕见”?“很少”和“从不”是不同的,这是大多数企业喜欢的答案。我们只需看看爱德华•斯诺登(Edward Snowden)作为知情者获得敏感信息并以不恰当的方式曝光的例子。
正是在这种情况下AlephCloud引入了一种名为Content Canopy的解决方案,它为云存储应用程序提供加密和密钥联合。内容冠层有助于构建值得信赖的云。企业和云提供商可以使用该解决方案来确保存储在云中的数据在创建之初就完全加密,而云提供商根本无法访问这些密钥。
内容冠层有两个组件:客户端软件和处理整个解决方案的关键管理和管理的云服务。让我们对其进行分解,看看每个组件都做了什么以及它们是如何组合在一起的。
为了开始使用Content Canopy,一家公司通过从AlephCloud购买X数量的许可证来订阅该服务。IT管理员将获得域激活链接,并单击该链接将自己登记到服务中。然后,他可以通过将应用下载到终端用户的台式机、笔记本电脑、iPhone或iPad上,邀请终端用户注册(该公司表示,Android支持将很快推出)。
接下来,工作组级别的管理员创建一个组,对其进行命名,并为该组分配人员。在幕后,组有自己的公钥/私钥,内容冠层通过组密钥联合各个密钥。用户不需要知道这些;他们所知道的只是,他们可以将文件放入分配给该集团的文件夹中,这些文件在被发送到指定的云存储服务之前会自动加密。
存储库可以是各种云服务,甚至是本地存储服务。目前AlephCloud支持Dropbox、Box、OneDrive和Amazon S3。服务与组文件夹相关联,因此用户只需将其文件拖放到该文件夹中,就可以对该文件进行本地加密。一旦一个文件在存储库中,只有该组中的人员可以访问它并使用他们的密钥解密它。
Content Canopy服务用于建立共享组以及关键材料的生产、分发和分割。密钥联合在这里进行,因此需要这个云服务的密钥加上终端用户的密钥来加密/解密文件。第三方存储服务永远不能访问密钥或未加密的文件。更重要的是,AlephCloud从未访问过未加密的文件或用户的密钥。因此,可以确保企业的供应商对其敏感内容“一无所知”。
至于最终用户,他们的工作方式永远不会改变。他们仍然只是简单地将文件拖放到一个指定的文件夹,该文件夹的后端存储映射到Dropbox或Box,或其他一些应用程序,以便与企业内部或外部的同事共享文件。加密/解密都是隐藏的,所以他们甚至不需要去想它。
共享组概念在AlephCloud解决方案中受到严格控制和加密连接。每件事都围绕着一个或多个共享小组来分享信息。创建组和将人放入组的行为是分发中介的关键材料,然后最终用户使用拖放界面移动文件。
AlephCloud高管表示,Content Canopy实际上可以成为一个集成到操作系统中的平台,它可以用来保护文件共享之外的任何对象。这些是对未来的考虑。
Linda Musthaler (LMusthaler@essential-iws.com)是该公司的首席分析师基本解决方案公司。该课程研究信息技术的实用价值,以及它如何使个体员工和整个组织更有效率。Essential Solutions为计算机行业和企业客户提供咨询服务,以帮助定义和实现IT的潜力。