对付安详云计较必要节制加密密钥
|
对付投资云计较或迁徙到云计较的组织而言,糟糕的云安详状态必需必需是主要思量的题目。 因为其局限经济和易用性,,各组织已敏捷接管云计较。外包所需的基本办法要轻易得多,出格是在多租户情形和中等市场企业中,这些企业很难为本身的基本办法融资。 然而,安详性成为云平台不堪重负的使命。行使云计较就像把房门钥匙留在门垫下面。企业不只外包了基本办法,还外包了掩护敏感数据和文件的加密密钥。
谁有权会见加密密钥?对此的谜底抉择了企业的数据在云中是否安详。除非拥有对加密密钥的独有节制权,不然也许面对风险。不幸的是,云计较环境并非云云,这也是人们继承收到歉仄电子邮件关照数据已被泄漏的缘故起因之一。每个云计较处事和软件即处事提供商都代表着庞大的进攻面,因此是一个令人存眷的方针。跟着企业将统统迁徙到云端,怎样使密钥打点事变?这是一个必要办理的挑衅。 密钥在哪? 云计较办理方案中最简朴的观念是多租户——应用措施、数据库、文件以及云中托管的全部其他内容。很多组织以为他们必要多租户办理方案。这是最简朴的观念,由于很轻易领略怎样将内部基本办法可视化为云计较实例。可是,行使三种常见的基于云计较的选项中的任何一种将密钥打点体系(KMS)移动到云上城市带来庞大的风险。 CloudKMS(企业拥有密钥,但它们存储在云软件中):基于软件的多租户云KMS出格不得当加密密钥打点。因为硬件资源在多个客户端之间共享,因此对这些密钥的掩护存在更高的不安详性,Spectre和Meltdown裂痕就是这一点的证明。 外包KMS(云处事提供商拥有密钥):云计较供给商暗示全部数据和文件都是安详和加密的。这很好,除非提供商的帐户根据被黑客进攻(正如优步在AWS中所做的那样)。企业的文件也许已加密,但假如行使加密密钥存储加密密钥,则进攻者也可以解密全部内容,假如他们也可以会见企业的密钥。 CloudHSM(企业拥有密钥,但它们存储在云硬件中):这是掩护加密密钥的抱负方案,即安详暗码处理赏罚器-硬件安详模块(HSM)和可信平台模块(TPM)。固然行使基于云计较的HSM或TPM可以缓解某些风险,但究竟如故是,在云中,纵然行使安详加密处理赏罚器的应用措施如故是多租户基本办法的一部门。在进攻专用硬件加密处理赏罚器或在多租户情形中运行的应用措施之间,从进攻者的角度来看,应用措施始终是更轻易进攻的方针。 相识法令 具有下一代防火墙,入侵检测和其他掩护法子的周边安详性是须要的,云计较提供商可以提供它。但要掩护营业的焦点元素敏感数据和文件,防备违规必要行使根基的“加密密钥打点法例”举办加密:
行使暗码处理赏罚器处理赏罚敏感数据的应用措施部门不得在大浩瀚租户情形中执行。不只敏感数据在多租户情形中已不受掩护,并且用于向加密处理赏罚器验证应用措施的机要也要受到掩护,这也许导致在进攻中行使安详加密处理赏罚器粉碎加密数据。 然拟定法令是件功德,但不幸的是,今朝还没有可以或许满意这些根基要求的民众云。将安详性完全交给云计较提供商的组织也许必要为其营业的安详性忧虑。 迈向更安详的云 办理方案的拟定不必要工程学博士学位:将企业的敏感数据和文件存储在云中,同时在企业本身的安详暗码处理赏罚器的掩护下,在民众云外的受控情形中保存对加密密钥的独有节制。 行使此框架,纵然进攻者进攻云计较处事提供商的云平台,进攻者也无法获取任何内容,由于他们只可以或许会见没有密钥的加密信息。云计较的甜头如故在维护数据掩护的同时实现。这使得企业可以或许在尽也许最大限度地操作云计较(私有云或民众云)的同时证明遵守了数据安详礼貌。 对付投资于云计较或迁徙到云计较的组织来说,糟糕的云安详状态必需是主要思量的。纵然云计较应用措施行使的数据是加密的,加密密钥也是真实的。不只信息必要保持安详,并且钥匙也必要保持安详。 思量到云情形的实际,中型组织将通过回收企业级器材和实践来确保自身更强盛的安详性。 企业不该该假设云计较提供商正在掩护他们的数据。相反,假设环境并非云云,并找到合用加密密钥打点法例的办理方案,以便在云中实现更安详的将来。 【编辑保举】
点赞 0 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
