由於規模經濟和易用性,很多的組織如今迅速接受了雲計算,這與將所需的基礎設施外包相比要容易得多,特別是在多租戶環境和中端市場企業中,這些組織很難為自己的基礎設施獲得更多的資金。然而,安全性成為組織採用雲計算面臨的主要挑戰。這是因為很多組織不僅外包了基礎設施,還外包了保護敏感資料和檔案的加密金鑰。
那麼,誰有權訪問組織的加密金鑰?這取決於組織的資料在雲中是否安全。除非組織自己擁有對加密金鑰的獨佔控制權,否則可能面臨風險。不幸的是,情況並非如此,這也是很多組織收到電子郵件,得知資料其已被洩露的原因之一。每個雲計算服務和軟體即服務提供商都代表著巨大的攻擊面,因此這是乙個重要的目標。隨著組織將一切遷移到雲平台,企業如何更好地管理金鑰?這是乙個需要解決的挑戰。
金鑰在**?
雲計算解決方案中最簡單的概念是多租戶——應用程式、資料庫、檔案以及雲平台中託管的所有其他內容。許多組織認為他們需要多租戶解決方案。這是最簡單的概念,因為很容易理解如何將內部基礎設施視覺化為雲計算的例項。但是,使用三種常見基於雲計算的選項中的任何一種將金鑰管理系統(kms)移動到雲平台上都會帶來巨大的風險。
cloud kms(組織擁有金鑰,但它們儲存在雲平台軟體中):基於軟體的多租戶雲計算金鑰管理系統(kms)尤其不適合加密金鑰管理。由於硬體資源在多個客戶端之間共享,因此對這些金鑰的保護存在更高的不安全性——「幽靈」(spectre)和「崩潰」(meltdown)漏洞就是證明這一點的證明。
外包kms(雲計算服務提供商擁有金鑰):雲計算**商表示使用者的所有資料和檔案都是安全和加密的。這很好——除非提供商或組織提供給提供商的帳戶憑證遭到黑客攻擊。組織的檔案可能被加密,但如果其將加密金鑰儲存在其中,那麼攻擊者也可以解密所有訪問其金鑰的內容。
cloud hsm(組織擁有金鑰,但它們儲存在雲平台硬體中):這是保護加密金鑰的理想方案,即安全密碼處理器——硬體安全模組(hsm)和可信平台模組(tpm)。雖然使用基於雲計算的硬體安全模組(hsm)或可信平台模組(tpm)可以緩解某些風險,但事實仍然是在雲中,即使使用安全加密處理器的應用程式仍然是多租戶基礎設施的一部分。在攻擊專用硬體加密處理器或在多租戶環境中執行的應用程式之間,從攻擊者的角度來看,應用程式始終是更容易攻擊的目標。
了解相關法律
加密金鑰必須由單個組織內的多個金鑰管理者獨佔控制。
必須在安全加密硬體安全模組(hsm)或可信平台模組(tpm)的控制下保護加密金鑰。
使用加密處理器處理敏感資料的應用程式部分不得在公共多租戶環境中執行。敏感資料不僅在多租戶環境中不受保護,而且對應用於加密處理器的應用程式進行身份驗證也是如此,這可能導致在攻擊中使用安全加密處理器而破壞加密資料。
雖然制定相關法律是件好事,但不幸的是,目前還沒有能夠滿足這些基本要求的公共雲。將安全性完全交給雲計算提供商的組織可能會面臨風險。
邁向更安全的雲平台
制定解決方案並不困難:將組織的敏感資料和檔案儲存在雲平台中,同時在其安全密碼處理器的保護下保留對加密金鑰的獨佔控制。
使用此框架,即使網路攻擊者攻擊雲計算服務提供商的雲平台,也無法獲取任何內容,因為他們只能訪問對他們沒用的加密資訊。在進行資料保護的同時,仍然可以實現雲計算的優勢。這使企業能夠在盡可能利用雲平台,私有雲或公共雲的同時應用也證明其符合資料安全法規。
對於採用雲計算或遷移到雲平台的組織而言,糟糕的雲計算安全狀態必須始終處於首位。即使雲計算應用程式使用的資料是加密的,加密金鑰也是真實的。不僅資訊需要保持安全,而且鑰匙也需要保持安全。
考慮到雲計算環境的現實,中小型組織將通過採用企業級工具和實踐來確保自身更強大的安全性。
任何組織都不應該假設雲計算提供商正在保護他們的資料。與其相反,情況並非如此,組織需要尋找解決方案,遵循加密金鑰管理的法律,並在雲中實現更安全的未來。
大連正規**醫院
雲計算安全
資料洩露 資料丟失 流量劫持 大流量ddos攻擊 sql注入攻擊 暴力破解攻擊 木馬 xss攻擊 網路釣魚攻擊 審計不到位 內部員工越權 濫用權力 操作失誤等 雲服務中斷 濫用雲服務 多租戶隔離失敗 安全責任界定不清 不安全的介面 網路層次 主機層次 應用層次 分布式拒絕服務ddos是通過大量的合法...
如何使用雲計算加密確保資料安全性?
自從人類文明剛剛出現,加密技術就已經出現。在基於計算機的複雜加密方法,也就是我們現在最常用加密技術問世之前,人們就總是希望保護敏感資訊以防外人的窺探。古希臘人通過在送信使者光頭上紋身來保護他們的秘密資訊。當信使到達目的地時,他們的頭髮又長出來,這樣訊息就會變得看不見了。而訊息的接受方只需要有乙個好的...
雲計算環境需要整合的資料安全保護方案
safenet針對 雲 模式下的資料提出了以資料為中心的安全解決方案,就是其中的代表之一。其解決方案提出幾項新的資料保護思路 持久的以資料為中心的保護措施 在整個資料生命週期內能提供強有力的保護 細粒的 選擇性地對非結構化的或結構化的資料子集 檔案 域和資料列 加以保護 對授權使用者提供細粒的資料保...