雲計算安全需要控制加密金鑰

由於規模經濟和易用性，很多的組織如今迅速接受了雲計算，這與將所需的基礎設施外包相比要容易得多，特別是在多租戶環境和中端市場企業中，這些組織很難為自己的基礎設施獲得更多的資金。然而，安全性成為組織採用雲計算面臨的主要挑戰。這是因為很多組織不僅外包了基礎設施，還外包了保護敏感資料和檔案的加密金鑰。

那麼，誰有權訪問組織的加密金鑰?這取決於組織的資料在雲中是否安全。除非組織自己擁有對加密金鑰的獨佔控制權，否則可能面臨風險。不幸的是，情況並非如此，這也是很多組織收到電子郵件，得知資料其已被洩露的原因之一。每個雲計算服務和軟體即服務提供商都代表著巨大的攻擊面，因此這是乙個重要的目標。隨著組織將一切遷移到雲平台，企業如何更好地管理金鑰?這是乙個需要解決的挑戰。

金鑰在**?

雲計算解決方案中最簡單的概念是多租戶——應用程式、資料庫、檔案以及雲平台中託管的所有其他內容。許多組織認為他們需要多租戶解決方案。這是最簡單的概念，因為很容易理解如何將內部基礎設施視覺化為雲計算的例項。但是，使用三種常見基於雲計算的選項中的任何一種將金鑰管理系統(kms)移動到雲平台上都會帶來巨大的風險。

cloud kms(組織擁有金鑰，但它們儲存在雲平台軟體中)：基於軟體的多租戶雲計算金鑰管理系統(kms)尤其不適合加密金鑰管理。由於硬體資源在多個客戶端之間共享，因此對這些金鑰的保護存在更高的不安全性——「幽靈」(spectre)和「崩潰」(meltdown)漏洞就是證明這一點的證明。

外包kms(雲計算服務提供商擁有金鑰)：雲計算**商表示使用者的所有資料和檔案都是安全和加密的。這很好——除非提供商或組織提供給提供商的帳戶憑證遭到黑客攻擊。組織的檔案可能被加密，但如果其將加密金鑰儲存在其中，那麼攻擊者也可以解密所有訪問其金鑰的內容。

cloud hsm(組織擁有金鑰，但它們儲存在雲平台硬體中)：這是保護加密金鑰的理想方案，即安全密碼處理器——硬體安全模組(hsm)和可信平台模組(tpm)。雖然使用基於雲計算的硬體安全模組(hsm)或可信平台模組(tpm)可以緩解某些風險，但事實仍然是在雲中，即使使用安全加密處理器的應用程式仍然是多租戶基礎設施的一部分。在攻擊專用硬體加密處理器或在多租戶環境中執行的應用程式之間，從攻擊者的角度來看，應用程式始終是更容易攻擊的目標。

了解相關法律

加密金鑰必須由單個組織內的多個金鑰管理者獨佔控制。

必須在安全加密硬體安全模組(hsm)或可信平台模組(tpm)的控制下保護加密金鑰。

使用加密處理器處理敏感資料的應用程式部分不得在公共多租戶環境中執行。敏感資料不僅在多租戶環境中不受保護，而且對應用於加密處理器的應用程式進行身份驗證也是如此，這可能導致在攻擊中使用安全加密處理器而破壞加密資料。

雖然制定相關法律是件好事，但不幸的是，目前還沒有能夠滿足這些基本要求的公共雲。將安全性完全交給雲計算提供商的組織可能會面臨風險。

邁向更安全的雲平台

制定解決方案並不困難：將組織的敏感資料和檔案儲存在雲平台中，同時在其安全密碼處理器的保護下保留對加密金鑰的獨佔控制。

使用此框架，即使網路攻擊者攻擊雲計算服務提供商的雲平台，也無法獲取任何內容，因為他們只能訪問對他們沒用的加密資訊。在進行資料保護的同時，仍然可以實現雲計算的優勢。這使企業能夠在盡可能利用雲平台，私有雲或公共雲的同時應用也證明其符合資料安全法規。

對於採用雲計算或遷移到雲平台的組織而言，糟糕的雲計算安全狀態必須始終處於首位。即使雲計算應用程式使用的資料是加密的，加密金鑰也是真實的。不僅資訊需要保持安全，而且鑰匙也需要保持安全。

考慮到雲計算環境的現實，中小型組織將通過採用企業級工具和實踐來確保自身更強大的安全性。

任何組織都不應該假設雲計算提供商正在保護他們的資料。與其相反，情況並非如此，組織需要尋找解決方案，遵循加密金鑰管理的法律，並在雲中實現更安全的未來。

大連正規**醫院

雲計算安全需要控制加密金鑰

雲計算安全

如何使用雲計算加密確保資料安全性？

雲計算環境需要整合的資料安全保護方案

雲計算安全需要控制加密金鑰

雲計算安全

如何使用雲計算加密確保資料安全性？

雲計算環境需要整合的資料安全保護方案

相關推薦