在多租戶環境中保護資料的基本安全工具之一就是加密。當你對雲計算環境不具有完全控制權時,如果實施得當,雲計算加密可以讓你保護資料。這一點對於私有雲計算和公共雲計算都是極具價值的,尤其是在你與其他使用者共享乙個儲存有不同敏感等級資料的儲存庫時。
但是雲計算加密並不與你具有完全控制權的單租戶環境中所使用的加密技術相同。如果實施失當,加密技術可能無法實現你所期望達到的功能和效果。而且,那些在傳統基礎設施中常見的錯誤也有隨著雲計算遷移而產生更大的負面影響。
任何加密系統都有三個主要的組成部分:資料、加密引擎以及金鑰管理。如同使用膝上型電腦進行加密一樣,所有這三個組成部分都在相同的位置中執行或儲存。在我們的應用程式架構中,任何單一部分的損壞都有可能會導致整個系統的崩潰,因此我們往往會盡可能分離這三部分以便於減少這一可能性。現在,讓我們來看看在一些常見的雲計算安全架構中這三部分是如何分布的:
1. 當使用雲計算進行資料儲存時,通常會使用乙個虛擬私有儲存架構。在把資料傳送至雲計算之前對其進行加密處理,而當資料傳送回來後對其進行解密。例如,使用乙個雲計算備份服務,在把資料儲存在雲計算中之前,該服務就在備份軟體中使用乙個本地金鑰對資料在本地進行加密。由於是你自己在管理加密操作和金鑰,因此以安全備份的方式保留金鑰副本是其中的工具(這應當是你的備份解決方案中金鑰管理部分的乙個功能)。
2. 對於儲存在iaas應用程式中資料的基本加密操作,你可以在你的例項中使用卷標加密,並把資料儲存在第二個加密卷標中。由於你的金鑰和加密引擎都儲存在你的例項中,因此這並不是最安全的乙個方法,但是這個方法確實能夠保護你的資料免受非法訪問的入侵。例如,假定你已正確地建立了你的例項 ,因此雲計算**商的某人也就無法得到授權執行系統或應用程式(這是典型的預設設定),他們也就沒有辦法獲取金鑰進而訪問加密卷標。(唯一的例外是,他們從記憶體中找出了金鑰,對於大多數威脅模式,這都是極為罕見的)。
3. 對於更為先進的加密技術,你可以在例項中把金鑰與加密引擎分離開來。在這個三層架構中,你有乙個卷標用於存放加密資料,乙個例項用於執行加密引擎,而第三個金鑰管理伺服器則可按需提供加密金鑰。如果你希望金鑰不在例項中,這個方法就能夠滿足你的要求,因為如果金鑰在例項中,那麼能夠得到這個例項副本的攻擊者人也就自然得到了金鑰的副本。使用例項中的金鑰就能夠攻擊相同的乙個新例項。而外部金鑰管理伺服器只有在滿足一組基於規則的標準時才會返回金鑰,例如人工批准乙個新的執行例項或在例項中執行的加密客戶端中進行一致性檢查。這樣,記憶體中的例項就可以使用金鑰直至例項關閉。通常這個方法只適用於特殊的雲計算加密產品。
這裡介紹的用例只是眾多雲計算加密中的三個,但是他們代表了三種分布加密引擎、金鑰管理以及資料的不同方法。例如,在saas**商企業網路和**流量商業產品的虛擬私有儲存中,加密諸如社會安全號碼這樣的敏感資料。
由於有如此多的不同雲計算服務**商、內部雲計算配置以及saas、paas、iaas模式,因此我們不可能在這裡一一枚舉。. 但是只要你知道你是在防備誰,你的資料、加密引擎以及金鑰在**,你就可以設計出非常安全的體系架構,甚至是在你控制之外的多租戶環境也是如此
雲計算常用的加密方法
內容感知加密 在資料防洩露中使用,內容感知軟體理解資料或格式,並基於策略設定加密。例如在使用email將乙個信用卡卡號傳送給執法部門時會自動加密 保格式加密 加密乙個訊息後產生的結果仍像乙個輸入的訊息。例如乙個16位信用卡卡號加密後仍是乙個16位的數字,乙個 號碼加密後仍像乙個 號碼,乙個英文單詞加...
雲計算怎麼學?學習雲計算有什麼用?
雲計算火了,雲計算的時代到來了,但是,相信還是有很多朋友沒鬧明白雲計算是怎麼一回事兒吧!或者說,雖然知道雲計算是個什麼了,卻還沒有弄明白,雲計算到底有什麼用?a.經濟適用 無論是從私有雲角度資源利用率提高,還是從公有雲角度按需使用 一些公有雲廠商號稱秒級計費,關機不計費,大家注意這裡有坑,一些廠商即...
用可信計算構築雲計算安全
5月27日,資料經濟 安全共榮 大資料安全產業實踐高峰論壇舉行。中國科學院院士 中國工程院院士沈昌祥表示,要用可信計算構築雲計算安全,在雲的基礎上解決資料安全。沈昌祥在 用可信計算構築雲計算安全 主旨報告中提出,網路安全是永遠的主題。為了網路安全,必須從邏輯正確驗證 計算體系結構和計算模式等方面進行...