在多租戶環境中保護資料的基本安全工具之一就是加密。當你對雲計算環境不具有完全控制權時,如果實施得當,雲計算加密可以讓你保護資料。這一點對于私有雲計算和公共雲計算都是極具價值的,尤其是在你與其他使用者共享一個儲存有不同敏感等級資料的存儲庫時。
但是雲計算加密并不與你具有完全控制權的單租戶環境中所使用的加密技術相同。如果實施失當,加密技術可能無法實作你所期望達到的功能和效果。而且,那些在傳統基礎設施中常見的錯誤也有随着雲計算遷移而産生更大的負面影響。
任何加密系統都有三個主要的組成部分:資料、加密引擎以及密鑰管理。如同使用筆記本電腦進行加密一樣,所有這三個組成部分都在相同的位置中運作或存儲。在我們的應用程式架構中,任何單一部分的損壞都有可能會導緻整個系統的崩潰,是以我們往往會盡可能分離這三部分以便于減少這一可能性。現在,讓我們來看看在一些常見的雲計算安全架構中這三部分是如何分布的:
1. 當使用雲計算進行資料存儲時,通常會使用一個虛拟私有存儲架構。在把資料發送至雲計算之前對其進行加密處理,而當資料發送回來後對其進行解密。例如,使用一個雲計算備份服務,在把資料存儲在雲計算中之前,該服務就在備份軟體中使用一個本地密鑰對資料在本地進行加密。由于是你自己在管理加密操作和密鑰,是以以安全備份的方式保留密鑰副本是其中的工具(這應當是你的備份解決方案中密鑰管理部分的一個功能)。
2. 對于存儲在iaas應用程式中資料的基本加密操作,你可以在你的執行個體中使用卷标加密,并把資料儲存在第二個加密卷标中。由于你的密鑰和加密引擎都儲存在你的執行個體中,是以這并不是最安全的一個方法,但是這個方法确實能夠保護你的資料免受非法通路的入侵。例如,假定你已正确地建立了你的執行個體 ,是以雲計算供應商的某人也就無法得到授權運作系統或應用程式(這是典型的預設設定),他們也就沒有辦法擷取密鑰進而通路加密卷标。(唯一的例外是,他們從記憶體中找出了密鑰,對于大多數威脅模式,這都是極為罕見的)。
3. 對于更為先進的加密技術,你可以在執行個體中把密鑰與加密引擎分離開來。在這個三層架構中,你有一個卷标用于存放加密資料,一個執行個體用于運作加密引擎,而第三個密鑰管理伺服器則可按需提供加密密鑰。如果你希望密鑰不在執行個體中,這個方法就能夠滿足你的要求,因為如果密鑰在執行個體中,那麼能夠得到這個執行個體副本的攻擊者人也就自然得到了密鑰的副本。使用執行個體中的密鑰就能夠攻擊相同的一個新執行個體。而外部密鑰管理伺服器隻有在滿足一組基于規則的标準時才會傳回密鑰,例如人工準許一個新的運作執行個體或在執行個體中運作的加密用戶端中進行一緻性檢查。這樣,記憶體中的執行個體就可以使用密鑰直至執行個體關閉。通常這個方法隻适用于特殊的雲計算加密産品。
這裡介紹的用例隻是衆多雲計算加密中的三個,但是他們代表了三種分布加密引擎、密鑰管理以及資料的不同方法。例如,在saas供應商企業網絡和代理流量商業産品的虛拟私有存儲中,加密諸如社會安全号碼這樣的敏感資料。
由于有如此多的不同雲計算服務供應商、内部雲計算配置以及saas、paas、iaas模式,是以我們不可能在這裡一一列舉。. 但是隻要你知道你是在防備誰,你的資料、加密引擎以及密鑰在哪裡,你就可以設計出非常安全的體系架構,甚至是在你控制之外的多租戶環境也是如此。
本文作者:滕曉龍
來源:51cto