资讯专栏INFORMATION COLUMN

加密密钥是否属于云?

张宪坤 / 3023人阅读

摘要:加密密钥是否属于云多亏了云技术,所有规模的组织都可以通过外包多租户环境中的硬件和软件所有权和维护享受可扩展性易用性和显著的节约。除非您专门控制数据的加密密钥,否则可能存在风险。

加密密钥是否属于云?tweet

多亏了云技术,所有规模的组织都可以通过外包多租户环境中的硬件和软件所有权和维护享受可扩展性、易用性和显著的节约。中型公司不再需要支付建设自己的基础设施的费用,这使得云对这个市场特别有吸引力。

然而,云仍然存在安全问题。将关键数据和应用程序迁移到云端就相当于将您的家庭钥匙放在门垫下。您不仅外包了基础设施,而且还外包了敏感数据和文件的加密密钥。

strong cloud security requires a assessment of encryption key controls.除非您专门控制数据的加密密钥,否则可能存在风险。不幸的是,云计算并非如此,它是我们继续收到道歉电子邮件通知我们数据已被泄露的原因之一。每个云服务和软件即服务提供商都代表着一个巨大的攻击面,因此是一个严重的目标。随着所有东西都进入云端,您如何使密钥管理工作?这是一个需要解决的挑战。

您是否应该将密钥放在云中?

多租户云解决方案(应用程序、数据库、文件以及云中托管的其他所有内容)是最简单的概念,因为很容易理解内部基础设施如何可视为云实例。组织通常认为这是他们需要的。但是,使用三种常见的基于云的选项中的任何一种将密钥管理系统(KMS)移动到云上都会带来重大风险。

在外包的KMS中,云服务提供商拥有密钥,他们会告诉您所有数据和文件都是安全和加密的。这很好,除非提供商或您提供给提供商的帐户凭据遭到黑客攻击(如中所述)。您的文件可能已加密,但如果您将加密密钥存储在其中,那么攻击者也可以解密所有内容,前提是他们的攻击也获得了对密钥的访问权。

另一个选项是cloud kms,在该选项中您拥有密钥,但它们重新存储在cloud software中。基于软件的多租户云KMS尤其不适合加密密钥管理。由于硬件资源在多个客户机之间共享,因此对这些密钥的保护存在更高级别的不安全性。Spectre和Meltdown漏洞证明了这一点。

The third approach is cloud hsm:You own the keys,but they re stored in cloud hardware specifically designed for securing cryptographic keys.保护密钥的黄金标准是安全密码处理器——硬件安全模块(HSM)和可信平台模块(TPM)。虽然使用基于云的HSM或TPM可以降低某些风险,但事实仍然是,尽管密钥可能是安全的,但对它们的访问可能存在风险:访问这些安全加密处理器的应用程序仍然是多租户基础设施的一部分。在攻击专门构建的硬件加密处理器或应用程序之间在多租户环境中运行,从攻击者的角度来看,应用程序始终是更容易受到攻击的目标。

key laws

cloud providers do provide advanced firewall,invirusion detection and other protective measures,but security does not end there.保护业务敏感数据和文件的核心元素不受侵犯需要使用加密密钥管理的基本定律进行加密:

Secure CryptoProcessors(hsm/tpm)must control and protect Cryptographic Keys单个组织内的多个密钥保管人必须独占控制加密密钥par使用密码处理器处理敏感数据的应用程序的TS不能在公共多租户环境中执行。不仅敏感数据在多租户环境中已经不受保护,而且验证应用程序到密码处理器的机密也在保护中,这可能导致在攻击中使用安全密码处理器破坏加密数据。这种情况下的问题在于,没有任何公共云能够EET这些基本要求。将安全性完全交给云提供商的组织可能会被一种粗鲁的觉醒所唤醒。

The keys to your Kingdom

This does not means,though,that using the public cloud is out of the question.相反,

将您的敏感数据和文件存储在云中,同时在公共云外的受控环境中,在您自己的安全密码处理器的保护下保留对其加密密钥的独占控制。

如果您的云服务提供商遭受安全漏洞,并且此架构已就位,攻击者将获取没有价值。他们只能访问加密信息,如果没有密钥,这些信息对他们没有用处。云的好处仍然在维护数据保护的同时实现。这允许公司在尽可能最大限度地利用云(私有或公共)的同时证明对数据安全法规的遵从性。

The benefits of the cloud are real,but so are the security challenges.即使云应用程序使用的数据是加密的,加密密钥也是非常重要的。不仅信息需要保持安全,密钥也是如此。因此,中型企业不能假设云服务提供商拥有铁甲般的安全保障。相反,使用加密密钥管理法来找到保护关键数据和保护公司声誉的解决方案。

感兴趣的行业领导者讨论类似的主题,并分享他们的经验和使用案例?参加即将在硅谷、伦敦和阿姆斯特丹举行的活动,了解更多。

relevant stories

>

brian jenkins is the vp of product for strongkey,a provider of open-source cryptographic key management solutions.他在多家硅谷高科技初创公司拥有超过20年的经验,在那里他开始了软件工程师的职业生涯,并继续担任从产品管理到创始人和首席执行官的职位。他毕业于杜克大学,获得电气工程和计算机科学学士学位,并在加州大学伯克利分校获得工商管理硕士学位。Brian在位于北卡罗来纳州达勒姆的Strongkey办公室工作。


Cloud Tech促进来自行业品牌、企业和分析师的行业思想领导力内容,与作者和博客合作,向我们的CIO和IT经理的广泛受众提供有关云IT战略的见解和建议。

Covering Saas News,Cloud Computing jobs、虚拟化策略、云应用程序和企业IT、私有和公共云、系统安全、云应用程序、CRM和云通信、云技术提供了最新的洞察力,使首席信息官能够对IT策略做出明智的决策。

Please follow this link for our.

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/668.html

相关文章

  • 【大量干货】史上最完整的Tengine HTTPS原理解析、实践与调试

    摘要:内容主要有四个方面趋势基础实践调试。一趋势这一章节主要介绍近几年和未来的趋势,包括两大浏览器和对的态度,以及淘宝天猫和阿里云的实践情况。完整性是指为了避免网络中传输的数据被非法篡改,使用算法来保证消息的完整性。 摘要: 本文邀请阿里云CDN HTTPS技术专家金九,分享Tengine的一些HTTPS实践经验。内容主要有四个方面:HTTPS趋势、HTTPS基础、HTTPS实践、HTTPS...

    snowell 评论0 收藏0
  • 【HTTP基础】HTTPS原理及WebSocket原理

    摘要:使用约定好的计算握手消息,并使用生产的随机数对消息进行加密,最后将之前生成的所有消息发送给网站。之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。支持四个异步事件。 由于HTTP没有加密机制,其传输的内容很容易泄漏,并且HTTP协议没法确认通信方,也无法保证接收到的报文在传输过程中是否被篡改,因此HTTPS是在HTTP协议的基础上提供了加密、认证和完整性保护的功...

    fyber 评论0 收藏0
  • 一篇文章解读阿里视频点播内容安全机制

    摘要:阿里云视频点播提供了完善的内容安全保护机制,可以满足不同业务场景的安全需求。通用性标准加密阿里云视频加密标准加密可适配所有播放场景阿里云视频加密仅支持阿里云播放器。 摘要: 如何保障视频内容的安全,不被盗链、非法下载和传播,是困扰众多企业已久的问题,特别是独播剧、在线教育、财经金融、行业培训等在线版权视频领域尤为迫切,处理不好会造成极为严重的经济损失,甚至法律风险。阿里云视频点播提供了...

    cncoder 评论0 收藏0
  • PHP_在线支付

    摘要:支付平台支付成功后,会往网站的某个回调发送数据。回调接收数据并根据队则,生成检验串,并判断合法性。返回散列值字符串。 基本介绍 用途广泛,很多网站都继承了在线支付功能,如paypal,网银在线,易宝支付,支付宝,快钱等第三方平台. 原理 基本上,每个银行都有自家的支付接口,为什么不直接连接到银行的接口去支付,而需要通过第三方支付? 银行众多,每家的银行用的技术不一样,比如招行使用.n...

    Channe 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<