【51CTO.com快譯】云存儲供應商無法為全部IT管理員提供理想的方案平衡點，但配合第三方選項則能夠有效解決問題。

　　云存儲具備諸多優勢，其可幫助IT部門以集中方式管理、保護及備份企業文件。另外，其亦允許用戶隨時隨地利用認證設備操作文件，并將文件內容在多種設備間進行同步(包括工作計算機、家用計算機以及移動設備等)。

[[178882]]

　　然而潛在的安全缺口往往意味著云存儲無法提供令人滿意的數據安全性水平，且目前尚無理想的解決方案一次性搞定這項難題。

　　另外，以下場景亦相當常見：IT部門鼓勵或者要求用戶將全部工作文檔存儲在企業OneDrive、Dropbox、Box或者Google Drive當中。基本上，這些云存儲方案用于全面取代原本的Windows我的文檔文件夾或者MacOS中的文稿文件夾。為了高效完成這項目標，同時保證用戶計算機軟件的可用性，用戶需要運行本地虛擬磁盤客戶端以支持OneDrive、Dropbox、Box乃至Google Drive。通過這種方式，我們得以徹底告別U盤、郵件附件以及其它大家所熟知的資料共享途徑。

　　但其中的風險在于：一旦運行有虛擬驅動器軟件的Windows PC或Mac設備遭到竊取或者為無關人士所訪問，那么除非IT部門及時切斷其與云存儲服務間的連接，否則虛擬驅動器應用仍會不斷將文檔副本發送至這些設備當中。如此一來，數據竊賊將輕松獲得持續更新的企業文檔及個中秘密。

　　沒錯，各類虛擬驅動器應用皆允許用戶選定特定的待同步文件夾，確保用戶計算機上不至保留有全部文件。然而，IT部門無法管理這些設置，這意味著企業文件仍然可能被發送至遭遇入侵的設備當中。

　　這些虛擬驅動器應用出于以下三項理由保留本地副本 ：

　　1. 離線訪問，這種能力對于身在航班上、旅館中以及會議室內的用戶非常重要。另外，即使擁有公共Wi-Fi資源可用，很多企業也建議用戶不要接入以避免遭遇中間人攻擊。

　　2. 更佳性能，本地文件在打開與保存速度上要遠優于互聯網存儲文件。

　　3. 應用程序兼容性與文件可用性，意味著用戶能夠將云存儲中的文件如本地網絡驅動器一樣進行訪問。通過這種方式，用戶可直接打開其設備上的應用程序，而無論其通過Excel、Acrobat或者郵件附件等具體方式操作。使用虛擬驅動器還意味著用戶能夠直接管理文件與文件夾，具體包括移除文件、刪除文件、重命名文件、創建文件夾等等。換言之，云存儲的使用效果與本地存儲幾乎一致。

　　云存儲服務的Web界面不允許本地應用打開其中文件，且此類Web界面通常很難用于文件管理——大家倒是能夠輕松對文件進行重命名及刪除，但其它操作則相當困難。虛擬驅動器應用是“最、最、最重要的Dropbox用戶服務接入載體，因此我們鼓勵用戶利用此類應用進行操作，而非使用局限巨大的Web界面，”Dropbox公司業務與企業產品經理Rob Baesman表示。IT部門可能更傾向于純Web云存儲用例帶來的理想安全水平，但這種導向在可行性方面實在太過薄弱。

　　微軟公司的Office 2016應用能夠直接打開存儲于OneDrive中的Office文件，但這種介于Office 2016與云存儲Office文件間的直接鏈接不適用于其它文件格式或者應用。同樣的，谷歌的純移動端G Suite生產力應用也存在類似的問題。很明顯，二者都不足以解決問題。

　　最后一個問題——即應用程序兼容性與文件可用性——亦非常重要，這意味著企業必須在安全性與用戶生產效率之間作出取舍。如果企業僅允許通過Web界面訪問云存儲文檔，那么結果將顯而易見：用戶會直接下載文件或者虛擬驅動器應用以提升操作感受，或者盡可能拖延工作——特別是在差旅途中。用戶傾向于選擇感受更好的工作方式，因此一味禁止起不到任何積極作用。

　　好消息是，移動iOS與Android虛擬驅動器應用不會將Box、Dropbox、Google Drive以及OneDrive中的文件保存在本地。但遺憾的是，Windows及MacOS版應用會保存本地副本，這意味著計算機在文檔處理安全性方面遠低于移動設備。

　　另外，移動云存儲應用可能將很快引入本地數據副本存儲以實現離線使用。事實上，Dropbox公司日前宣布其即將允許用戶在iOS及Android設備上保留本地同步副本以供離線使用。

　　當然，不同數據所帶來的潛在風險程度亦有所區別。對于普通數據而言，云存儲供應商往往提供非本地同步或者其它保護選項。

　　然而如果您的數據非常關鍵，那么目前在計算機端尚不存在理想的解決方案。不過IT部門可以考慮其它一些選項以降低必須使用虛擬驅動器訪問應用時的風險水平。

　　選項一：強制執行或提供加密機制

　　辦法之一在于立足用戶設備強制執行加密。這一目標在iOS與Android設備上易于實現，但在Windows與MacOS平臺上則較為困難——特別是在用戶的個人計算機當中。另外，大家也可以使用管理策略以避免來自未加密計算機的企業信息訪問操作。加密機制能夠有效屏蔽大多數未授權訪問——當然，前提是用戶密碼擁有理想的長度與強度。

　　目前市面上存在多種第三方工具可實現云存儲文件加密，Secomba公司的Boxcryptor就能夠很好地完成任務。其面向Windows、MacOS、iOS與Android四大主流系統平臺，同時亦在Chrome OS上推出了beta測試版本。批量許可價格為每用戶每月8美元。

　　此類跨平臺加密方案能夠阻止數據失竊，但其亦要求用戶以手動方式加密文件或者將其移動至加密文件夾內。因此，其實際效果取決于用戶的實際操作——這顯然不夠可靠。

　　選項二：使用數字化版權管理

　　另一種方案是利用數字化版權管理軟件將訪問管理與加密機制相結合。此類工具成本高昂且需要配合IT部門管理方可起效。不過如果數據安全對您的企業而言非常重要，那么其仍然物有所值。

　　如果大家身為微軟用戶——如同大多數企業一樣——并使用OneDrive及/或SharePoint，則意味著您應當選擇微軟的Azure信息保護技術，其屬于Office 365訂閱服務的附加選項。此工具集能夠利用數字化版權管理機制進行文件封包，并要求提供密鑰以進行訪問——類似于特定文件加密機制。

　　Azure信息保護技術分為多個版本，大家可以根據自身預算情況進行選擇。但需要注意的是，非微軟應用、文件格式以及操作系統往往不受支持。舉例來說，Azure信息保護服務目前僅支持Windows用戶，不過微軟方面表示其未來“將”支持MacOS、iOS與Android用戶。

　　另外我們亦可從各類第三方訪問管理及云存儲加密供應商中作出選擇，具體包括Vera(面向Box、Dropbox以及OneDrive)、Barracuda Network公司的子公司Sookasa(面向Dropbox與Google Drive)以及nCrypted Cloud(面向Box、Dropbox、Google Drive以及OneDrive)。

　　大家還可以徹底移除虛擬驅動器應用及其文件，轉而使用Box或Dropbox提供的企業版管理員控制臺或企業移動管理套件。不過仍有相當一部分企業移動管理工具并不支持對Windows或MacOS平臺中的云存儲內容進行選擇性清除。具體來講，只要不接入網絡，落入盜竊者手中的設備就不會觸發遠程清除、系統鎖定或者其它遠程IT限制功能。

　　選項三：使用第三方虛擬化驅動器應用

　　對于Windows及MacOS平臺，ExpanDrive能夠面向Amazon S3、Box、Dropbox、FTP與SFTP、Google Drvie、OneDrive、WebDAV服務器以及其它一些冷門存儲服務創建虛擬驅動器。

　　與Box、Dropbox、Google Drive以及OneDrive提供的原生虛擬驅動器應用不同，ExpanDrive的虛擬驅動器不會進行本地副本同步; 所有文件皆保存在云服務當中(當然，亦駐留于當前設備的內存中)。這意味著用戶需要擁有互聯網連接方可操作云存儲文件。但這同時意味著不存在可能被未授權人士窺探的本地副本。

　　純Mac平臺選項則推薦Eltima Software公司的CloudMounter，其能夠面向Amazon S3、Dropbox、FTP與SFTP、Google Drive、OneDrive以及WebDAV服務器創建虛擬驅動器。(注意，其中不包括Box)。其運作方式與ExpanDrive基本一致。

　　ExpanDrive與CloudMounter皆提供設置選項以自動掛載其虛擬云驅動器，因此一旦設置完成，用戶即可訪問云存儲文件。雖然這類方案能夠較好滿足IT部門的需求，但其實際應用范圍并不甚廣。這是因為Box、Dropbox、Google Drive與OneDrive提供的原生應用才是用戶們的最愛。而如果IT部門禁止接入云服務，那么ExpanDrive與CloudMounter也將無能為力——而且在這種情況下，后兩者還不提供任何本地副本可供操作。

　　需要注意的是，ExpanDrive與CloudMounter還存在以下缺陷：

　　· 即使計算機失去互聯網連接，二者仍會掛載最終打開過的文件——這意味著在重啟設備之前，您的計算機中仍保留有緩存副本。

　　· 二者在文件訪問與更新方面存在巨大延遲，因此如果某個文件已經被刪除或者移動至其它位置，大家可能在數秒甚至數分鐘內都不會看到對應變化。

　　· 兩款應用都無法更新文件重命名操作，因此大家的文件名不在本地虛擬驅動器與云存儲間的同步范圍之內。

　　· 部分文件類型不支持文件版本控制功能。

　　另外，即使擁有ExpanDrive或者CloudMounter，IT部門仍然很難阻止用戶安裝云存儲服務的原生應用以實現離線訪問。不過大家可以阻止用戶在管理控制下的計算機及移動設備上安裝此類應用。目前最大的問題在于如何對用戶的個人設備進行控制，特別是考慮到確實有很多人傾向于在自有設備上使用云存儲服務。

　　如果以上局限在您的承受范圍內，ExpanDrive可用于Windows及MacOS平臺，且每位用戶的許可費用為50美元(注意，單用戶而非單計算機)。三用戶許可為130美元，五用戶許可200美元，十用戶許可為350美元，二十五用戶許可則為750美元。如果大家希望預付未來全部升級費用，則每用戶還需要額外支付 75美元——否則，每一輪升級都要求各用戶再次付費。

　　而如果能夠接受相關局限，CloudMounter的單Mac設備(注意，單設備而非單用戶)價格為30美元，五Mac設備為100美元，五十臺Mac設備則要價150美元。大家也可以為未來的一切升級進行預付費，價格為每Mac設備15美元，五Mac設備50美元，五十臺Mac設備75美元。該公司表示，其計劃于明年推出iOS版本，且未來還將陸續推出Windows與Android版本。

　　最后，在Windows環境下配合OneDrive時，大家也可以將OneDrive(以及SharePoint)設置為網絡驅動器，即非基于應用型虛擬驅動器。網絡驅動器不會在PC上保留文件同步副本; 另外，其亦不像OneDrive應用那樣支持OneDrive中的多種共享及協作功能。

　　云存儲供應商的可選方案——及未加采用的理由

　　對于Box、Dropbox、Google Drive以及OneDrive而言，其可在Windows與MacOS平臺上實現以下功能以解決問題：

　　· 提供非本地副本選項，用以實現類似于ExpanDrive或CloudMounter的效果。

　　· 加密本地副本選項，要求使用密碼以在每次計算機重啟后訪問此類副本(類似于Boxcryptor，但面向全部云同步文件)。

　　這兩種選項都能夠滿足IT部門的管理需求，當然，其也會導致ExpanDrive與CloudMounter再無用武之地。

　　對于第一種選項，微軟的OneDrive可實現這種使用方式，即為云存儲條目提供占位符(別名)而非實際本地副本。然而微軟公司在Windows 8.1版本中取消了這項功能，理由是該功能令用戶搞不清楚其中哪些是本地同步文件，而哪些是云存儲文件。

　　微軟方面同時指出，其計劃在2017年年內推出一項名為On-Demand的新型占位符功能，但尚不清楚其工作機制以及是否可在Windows平臺之外使用。(微軟表示，‘我們目前對此無可奉告’。)要真正實現IT層面的可行意義，管理員需要有能力設置本地同步的具體權限，但無論是在OneDrive內還是現有Azure信息保護服務中，微軟都從未提供過類似的功能。

　　Dropbox公司也擁有自己的占位符技術，名為Infinite項目; 其目前處于內部beta測試階段。該項目僅同步用戶實際打開的文件，而非像現有Dropbox客戶端那樣同步全部文件。不過Dropbox公司的Baesman解釋稱，由于用戶調查顯示操作速度太慢，因此其不會提供純同步選項。他個人建議使用第三方加密工具解決此類問題。

　　對于第二種選項，Baesman同樣建議利用第三方工具實現密碼保護型本地存儲內容加密。

　　我個人的觀點是，目前的云存儲安全性困局在可預見的未來不會發生任何改變。本地同步的便利性與生產效率優勢遠大于計算機丟失或者被盜的風險。另外，我們亦可利用其它工具降低計算機遭受入侵的風險，特別是設備鎖定、遠程清除、強制性設備加密以及利用權限管理進行個人文件加密等選項。事實上，這些技術不僅能夠保護云存儲信息，對于本地文件亦有著很好的保護效果。

　　原文鏈接：http://www.infoworld.com/article/3146135/cloud-storage/the-cloud-storage-security-gap-and-how-to-close-it.html

　　原文標題：The cloud storage security gap -- and how to close it

　　原文作者：Galen Gruman

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】 

 　　了解更多熱點新聞，請關注51CTO《科技新聞早報》欄目!