2021-02-17 分類: 網(wǎng)站建設(shè)
由于規(guī)模經(jīng)濟(jì)和易用性,很多的組織如今迅速接受了云計(jì)算,這與將所需的基礎(chǔ)設(shè)施外包相比要容易得多,特別是在多租戶環(huán)境和中端市場企業(yè)中,這些組織很難為自己的基礎(chǔ)設(shè)施獲得更多的資金。
然而,安全性成為組織采用云計(jì)算面臨的主要挑戰(zhàn)。這是因?yàn)楹芏嘟M織不僅外包了基礎(chǔ)設(shè)施,還外包了保護(hù)敏感數(shù)據(jù)和文件的加密密鑰。
那么,誰有權(quán)訪問組織的加密密鑰?這取決于組織的數(shù)據(jù)在云中是否安全。除非組織自己擁有對加密密鑰的獨(dú)占控制權(quán),否則可能面臨風(fēng)險(xiǎn)。不幸的是,情況并非如此,這也是很多組織收到電子郵件,得知數(shù)據(jù)其已被泄露的原因之一。每個(gè)云計(jì)算服務(wù)和軟件即服務(wù)提供商都代表著巨大的攻擊面,因此這是一個(gè)重要的目標(biāo)。隨著組織將一切遷移到云平臺,企業(yè)如何更好地管理密鑰?這是一個(gè)需要解決的挑戰(zhàn)。
密鑰在哪里?
云計(jì)算解決方案中最簡單的概念是多租戶——應(yīng)用程序、數(shù)據(jù)庫、文件以及云平臺中托管的所有其他內(nèi)容。許多組織認(rèn)為他們需要多租戶解決方案。這是最簡單的概念,因?yàn)楹苋菀桌斫馊绾螌?nèi)部基礎(chǔ)設(shè)施可視化為云計(jì)算的實(shí)例。但是,使用三種常見基于云計(jì)算的選項(xiàng)中的任何一種將密鑰管理系統(tǒng)(KMS)移動到云平臺上都會帶來巨大的風(fēng)險(xiǎn)。
Cloud KMS(組織擁有密鑰,但它們存儲在云平臺軟件中):基于軟件的多租戶云計(jì)算密鑰管理系統(tǒng)(KMS)尤其不適合加密密鑰管理。由于硬件資源在多個(gè)客戶端之間共享,因此對這些密鑰的保護(hù)存在更高的不安全性——“幽靈”(Spectre)和“崩潰”(Meltdown)漏洞就是證明這一點(diǎn)的證明。
外包KMS(云計(jì)算服務(wù)提供商擁有密鑰):云計(jì)算供應(yīng)商表示用戶的所有數(shù)據(jù)和文件都是安全和加密的。這很好——除非提供商或組織提供給提供商的帳戶憑證遭到黑客攻擊。組織的文件可能被加密,但如果其將加密密鑰存儲在其中,那么攻擊者也可以解密所有訪問其密鑰的內(nèi)容。
Cloud HSM(組織擁有密鑰,但它們存儲在云平臺硬件中):這是保護(hù)加密密鑰的理想方案,即安全密碼處理器——硬件安全模塊(HSM)和可信平臺模塊(TPM)。雖然使用基于云計(jì)算的硬件安全模塊(HSM)或可信平臺模塊(TPM)可以緩解某些風(fēng)險(xiǎn),但事實(shí)仍然是在云中,即使使用安全加密處理器的應(yīng)用程序仍然是多租戶基礎(chǔ)設(shè)施的一部分。在攻擊專用硬件加密處理器或在多租戶環(huán)境中運(yùn)行的應(yīng)用程序之間,從攻擊者的角度來看,應(yīng)用程序始終是更容易攻擊的目標(biāo)。
了解相關(guān)法律
下一代防火墻的外圍安全、入侵檢測和其他保護(hù)措施是必要的,云計(jì)算提供商可以提供這些措施。但是,保護(hù)業(yè)務(wù)敏感數(shù)據(jù)和文件的核心元素不受侵犯需要使用基本的“加密密鑰管理法”進(jìn)行加密:
加密密鑰必須由單個(gè)組織內(nèi)的多個(gè)密鑰管理者獨(dú)占控制。
必須在安全加密硬件安全模塊(HSM)或可信平臺模塊(TPM)的控制下保護(hù)加密密鑰。
使用加密處理器處理敏感數(shù)據(jù)的應(yīng)用程序部分不得在公共多租戶環(huán)境中執(zhí)行。敏感數(shù)據(jù)不僅在多租戶環(huán)境中不受保護(hù),而且對應(yīng)用于加密處理器的應(yīng)用程序進(jìn)行身份驗(yàn)證也是如此,這可能導(dǎo)致在攻擊中使用安全加密處理器而破壞加密數(shù)據(jù)。
雖然制定相關(guān)法律是件好事,但不幸的是,目前還沒有能夠滿足這些基本要求的公共云。將安全性完全交給云計(jì)算提供商的組織可能會面臨風(fēng)險(xiǎn)。
邁向更安全的云平臺
制定解決方案并不困難:將組織的敏感數(shù)據(jù)和文件存儲在云平臺中,同時(shí)在其安全密碼處理器的保護(hù)下保留對加密密鑰的獨(dú)占控制。
使用此框架,即使網(wǎng)絡(luò)攻擊者攻擊云計(jì)算服務(wù)提供商的云平臺,也無法獲取任何內(nèi)容,因?yàn)樗麄冎荒茉L問對他們沒用的加密信息。在進(jìn)行數(shù)據(jù)保護(hù)的同時(shí),仍然可以實(shí)現(xiàn)云計(jì)算的優(yōu)勢。這使企業(yè)能夠在盡可能利用云平臺,私有云或公共云的同時(shí)應(yīng)用也證明其符合數(shù)據(jù)安全法規(guī)。
對于采用云計(jì)算或遷移到云平臺的組織而言,糟糕的云計(jì)算安全狀態(tài)必須始終處于首位。即使云計(jì)算應(yīng)用程序使用的數(shù)據(jù)是加密的,加密密鑰也是真實(shí)的。不僅信息需要保持安全,而且鑰匙也需要保持安全。
考慮到云計(jì)算環(huán)境的現(xiàn)實(shí),中小型組織將通過采用企業(yè)級工具和實(shí)踐來確保自身更強(qiáng)大的安全性。
任何組織都不應(yīng)該假設(shè)云計(jì)算提供商正在保護(hù)他們的數(shù)據(jù)。與其相反,情況并非如此,組織需要尋找解決方案,遵循加密密鑰管理的法律,并在云中實(shí)現(xiàn)更安全的未來。
本文標(biāo)題:云計(jì)算安全需要控制加密密鑰
瀏覽地址:http://www.rwnh.cn/news29/101429.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供服務(wù)器托管、動態(tài)網(wǎng)站、響應(yīng)式網(wǎng)站、自適應(yīng)網(wǎng)站、App設(shè)計(jì)、網(wǎng)站排名
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容