您现在的位置:首页>>新闻中心>>行业新闻
新闻中心

云计算安全需要将加密密钥进行控制

得益于规模经济和易用性,许多组织现在正在迅速采用云计算,这比外包所需的基础设施要容易得多,尤其是在多租户环境和中端市场企业中。这些组织很难为其基础设施获得更多的资金。


但是,安全性是组织采用云计算的主要挑战。这是因为许多组织不仅外包基础设施,还外包加密密钥以保护敏感数据和文件。


那么,谁有权访问组织的加密密钥?这取决于组织的数据在云中是否安全。除非组织对加密密钥拥有自己的独占控制权,否则它可能面临风险。不幸的是,情况并非如此,这也是许多组织收到电子邮件并得知数据已被泄露的原因之一。每一个云计算服务和软件作为一个服务提供者都代表着一个巨大的攻击区域,所以这是一个重要的目标。当组织将一切转移到云平台时,企业如何更好地管理其密钥?这是一个需要解决的挑战。


密钥在哪里?


云计算解决方案最简单的概念是多租户——应用程序、数据库、文件以及云平台中所有其他托管的内容。许多公司认为他们需要多租户解决方案。这是最简单的概念,因为很容易理解如何将内部基础结构可视化为云计算的实例。


因此,尽管它只是刚刚被用于加密,但人工智能实际上正在变得无处不在。


Cloud KMS(组织拥有密钥,但它们存储在云平台软件中):(Kms),一种基于软件的多租户云计算密钥管理系统,并不特别适合加密密钥管理。由于多个客户端共享硬件资源,这些密钥的保护更不安全-“幽灵”(谱)和“崩溃”(熔毁)漏洞就是证明。


外包KMS(云计算服务提供商有密钥):云计算提供商表明用户的所有数据和文件都是安全和加密的。这很好 - 除非提供商或组织向提供商提供的帐户凭据被黑客入侵。组织的文件可能是加密的,但如果它们在其中存储加密密钥,攻击者也可以解密访问其密钥的所有内容。


云HSM(组织有密钥,但存储在云平台硬件中):这是保护加密密钥的理想方案,即硬件安全模块(HSM)和可信平台模块(TPM)。虽然使用基于云的硬件安全模块(HSM)或受信任的平台模块(TPM)可以降低某些风险,但事实仍然是,在云中,即使使用安全加密处理器的应用程序也仍然是多租户基础设施的一部分。在攻击专用硬件加密处理器或运行在多租户环境中的应用程序之间,从攻击者的角度来看,应用程序始终是更易受攻击的目标。


了解相关法律


为下一代防火墙提供外围安全、入侵检测和其他保障是必要的,并可由云计算提供商提供。然而,保护业务敏感数据和文件的核心要素需要使用基本的"加密密钥管理方法"进行加密:


加密密钥必须由单个组织中的多个密钥管理器独占控制。


加密密钥必须在安全加密硬件安全模块(HSM)或受信任平台模块(TPM)的控制下受到保护。


使用加密处理器处理敏感数据的应用程序不得在公共多租户环境中执行。敏感数据不仅在多租户环境中不受保护,而且对于用于加密处理器的应用程序也不受保护,这可能导致使用安全加密处理器来破坏攻击中的加密数据。


云安全


尽管制定相关法律是一件好事,但不幸的是,没有公共云能够满足这些基本要求。完全为云计算提供商提供安全保护的组织可能面临风险。


迈向更安全的云平台


开发解决方案不难:在云平台中存储组织的敏感数据和文件,同时在其安全加密处理器的保护下保留对加密密钥的独占控制。


使用此框架,即使网络攻击者攻击云计算服务提供商的云平台,他们也无法访问任何内容,因为他们只能访问对其无用的加密信息。在进行数据保护的同时,云计算的优势仍然可以实现。这使企业能够展示数据安全法规的合规性,同时充分利用云平台、私有云或公共云。


对于采用云计算或迁移到云平台的组织来说,糟糕的云计算安全性必须始终排在首位。即使云计算应用程序使用的数据是加密的,加密密钥也是真实的。不仅信息需要安全,而且密钥也需要保持安全。


鉴于云计算环境的现实,中小型组织将通过采用企业级工具和实践来确保更高的安全性。


任何组织都不应假定云计算提供商正在保护他们的数据。相反,情况并非如此。组织需要找到符合密码密钥管理规律的解决方案,并在云中实现更安全的未来。


中安威士:保护核心数据,捍卫网络安全


来源:网络收集


Copyright © 2016 中安威士(北京)科技有限公司 版权所有 京ICP备14001844号-1