产品展示
当前位置: > 凯时国际官方娱乐 >
云计算安全需要控制加密密钥
- 产品名称:云计算安全需要控制加密密钥
- 产品简介:由于规模经济和易用性,很多的组织如今迅速接受了云计算,这与将所需的基础设施外包相比要容易得多,特别是在多租户环境和中端市场企业中,这些组织很难为自己的基础设施获得更多的资金。 然而,安全性成为组织采用云计算面临的主要挑战。这是因为很多组织不
产品介绍:
由于规模经济和易用性,很多的组织如今迅速接受了云计算,这与将所需的基础设施外包相比要容易得多,特别是在多租户环境和中端市场企业中,这些组织很难为自己的基础设施获得更多的资金。
然而,安全性成为组织采用云计算面临的主要挑战。这是因为很多组织不仅外包了基础设施,还外包了保护敏感数据和文件的加密密钥。
那么,谁有权访问组织的加密密钥?这取决于组织的数据在云中是否安全。除非组织自己拥有对加密密钥的独占控制权,否则可能面临风险。不幸的是,情况并非如此,这也是很多组织收到电子邮件,得知数据其已被泄露的原因之一。每个云计算服务和软件即服务提供商都代表着巨大的威胁,因此这是一个重要的目标。随着组织将一切迁移到云平台,企业如何更好地管理密钥?这是一个需要解决的挑战。
云计算解决方案中最简单的概念是多租户应用程序、数据库、文件以及云平台中托管的所有其他内容。许多组织认为他们需要多租户解决方案。这是最简单的概念,因为很容易理解如何将内部基础设施可视化为云计算的实例。但是,使用三种常见基于云计算的选项中的任何一种将密钥管理系统(KMS)移动到云平台上都会带来巨大的风险。
Cloud KMS(组织拥有密钥,但它们存储在云平台软件中):基于软件的多租户云计算密钥管理系统(KMS)尤其不适合加密密钥管理。由于硬件资源在多个客户端之间共享,因此对这些密钥的保护存在更高的不安全性“幽灵”(Spectre)和“崩溃”(Meltdown)漏洞就是证明这一点的证明。
外包KMS(云计算服务提供商拥有密钥):云计算供应商表示用户的所有数据和文件都是安全和加密的。这很好除非提供商或组织提供给提供商的帐户凭证遭到黑客威胁。组织的文件可能被加密,但如果其将加密密钥存储在其中,那么黑客可以解密所有访问其密钥的内容。
Cloud HSM(组织拥有密钥,但它们存储在云平台硬件中):这是保护加密密钥的理想方案,即安全密码处理器硬件安全模块(HSM)和可信平台模块(TPM)。虽然使用基于云计算的硬件安全模块(HSM)或可信平台模块(TPM)可以缓解某些风险,但事实仍然是在云中,即使使用安全加密处理器的应用程序仍然是多租户基础设施的一部分。在专用硬件加密处理器或在多租户环境中运行的应用程序之间,从黑客的角度来看,应用程序始终是更容易威胁的目标。
下一代防火墙的外围安全、检测和其他保护措施是必要的,云计算提供商可以提供这些措施。但是,保护业务敏感数据和文件的核心元素不受侵犯需要使用基本的“加密密钥管理法”进行加密:
必须在安全加密硬件安全模块(HSM)或可信平台模块(TPM)的控制下保护加密密钥。
使用加密处理器处理敏感数据的应用程序部分不得在公共多租户环境中执行。敏感数据不仅在多租户环境中不受保护,而且对应用于加密处理器的应用程序进行身份验证也是如此,这可能导致在威胁中使用安全加密处理器而破坏加密数据。
虽然制定相关法律是件好事,但不幸的是,目前还没有能够满足这些基本要求的公共云。将安全性完全交给云计算提供商的组织可能会面临风险。
制定解决方案并不困难:将组织的敏感数据和文件存储在云平台中,同时在其安全密码处理器的保护下保留对加密密钥的独占控制。
使用此框架,即使黑客进入云平台,也无法获取任何内容,因为他们只能访问对他们没用的加密信息。在进行数据保护的同时,仍然可以实现云计算的优势。这使企业能够在尽可能利用云平台,私有云或公共云的同时应用也证明其符合数据安全法规。
对于采用云计算或迁移到云平台的组织而言,糟糕的云计算安全状态必须始终处于首位。即使云计算应用程序使用的数据是加密的,加密密钥也是真实的。不仅信息需要保持安全,而且钥匙也需要保持安全。
考虑到云计算环境的现实,中小型组织将通过采用企业级工具和实践来确保自身更强大的安全性。
任何组织都不应该假设云计算提供商正在保护他们的数据。与其相反,情况并非如此,组织需要寻找解决方案,遵循加密密钥管理的法律,并在云中实现更安全的未来。
随着企业客户的市场需求增加,多个云提供者包括亚马逊、谷歌,Salesforce已经扩展他们的加密功能到了客户持有的加密密钥或称BringYourOwnKeys(BYOK)领域。以前,这些云提供商不但进行数据加密而且对加密密钥保留控制权。如今,通过允许企业自行管理密钥,云服务提供商正在向客户引入另一种保证数据安全和隐私的方式。
我曾开玩笑说,各种越来越多的不同云计算应用就如同是在打造一只存储数据加密工程师的“金饭碗“。一直以来,加密就是一个重要的安全工具,但是在大多数情况下,我们还没有频繁地使用这一工具来保护存储数据。而正是由于云计算的出现以及众多公共数据泄漏事件的影响,这一情况已发生了改变。目前,采用云计算加密的原因可能并不如你所认为的那样。最常见的...