繁雜密碼産品,如何一體化實作資料加密保護
阿裡雲安全 9月7日
資料保護中,密碼應用是實作資料加密的原始而有效的手段。開展商用密碼應用安全性評估(簡稱“密評”)是《密碼法》提出的明确要求。同時,在一些具體行業的業務場景中,密碼應用也作為一種技術手段實作業務的安全訴求,比如驗證使用者身份、https加密鍊路安全、時間戳服務保障業務一緻性等等。
由于密碼裝置的多樣性、應用對接的複雜性等問題,在實際應用過程中并不是特别順利,尤其到了全新的雲環境,加密裝置如何發揮出真正的價值。
8月27日,《資料安全法》解讀與阿裡雲三大合規方案線上直播活動,阿裡雲解決方案架構師張錦軍做了《雲上一體化密碼應用與資料加密》的主題分享,文字整理稿分享如下,解答在雲上如何幫助使用者簡化密碼應用難度,滿足密碼應用合規性基礎上,做好資料加密保護。
01 密碼産品應用現狀
傳統情況下,企業應用密碼時需要根據需求采購不同的密碼硬體産品,比如伺服器密碼機、簽名驗簽伺服器、金融類資料密碼機、安全認證網關、時間戳伺服器等各類硬體裝置,以滿足不同業務應用的不同使用場景。
國家密碼管理局頒布的《商用密碼産品認證目錄》顯示,涉及的密碼應用産品總共有22類,包括身份鑒别、存儲加密、通道加密、簽名驗簽、密鑰管理、應用加密等密碼技術應用場景。
密碼産品衆多導緻服務接口多樣化,進一步導緻企業需要對業務應用進行改造才能使用,這又加劇了密碼産品煙囪式建設趨勢,形成惡行循環,給企業的運維管理、密碼資源集約化使用及彈性擴容帶來巨大挑戰。
02
雲上一體化密碼應用方案
阿裡雲推出的雲上一體化密碼應用服務方案,以更簡單、便捷的方式使用密碼産品和調用資源,幫助使用者不需要關注底層複雜的密碼資源建設問題。
整體方案分為三層架構:
- 最底層為硬體密碼機資源層,統一向上提供基礎密碼算力和應用密碼算力;
- 中間是基于硬體密碼機資源提供的虛拟密碼機服務層,向租戶(分支機構)提供獨享的密碼資源;
- 最上層是密碼應用服務鏡像,通過結合實際業務場景,統一封裝密碼服務鏡像,應用/租戶可直接調用的應用密碼技術,例如時間戳、電子簽章、簽名驗證等等,便于應用系統直接使用。密碼應用服務鏡像根據業務場景可以獨立使用,也可以在共享的VPC裡供多業務集中調用。
該方案為使用者提供統一的密碼服務平台,通過一個控制台,對各分支機構調配密碼資源和服務實作靈活集中管理,并且可以為分支機構提供合規分析等面向上層應用的密碼服務監測能力。
相比于傳統密碼應用方案,該方案具有以下優勢,尤其适合擁有多個分支機構的專有雲場景:
- 分支機構可以獨享密碼服務及密碼機,且彼此之間完全隔離,安全性更高;
- 密碼服務平台與雲平台深度融合,管理更便捷,運維更高效;
- 密碼服務和密碼機資源可動态配置設定,滿足高并發、高可用的密碼應用需求。
值得一提的是,與等保2.0合規測評一樣,商用密碼應用安全性評估也需要分别對雲平台和雲上業務系統兩大部分進行評估。
2021年5月,阿裡雲專有雲平台國内首家通過密評測試。
阿裡雲專有雲客戶進行密評時,可以直接複用雲平台側的解決方案;雲上業務系統通過接入統一密碼服務平台,可以大大降低對接改造難度,做到合規的同時,真正解決密碼應用需求,降低管理運維難度,将已有的密碼資源價值發揮到最大化。
03 最佳實踐
某省級政府使用者在進行密評早期過程中遇到以下問題:
- 需要從0開始購買各種符合密評要求的密碼服務,如通道加密、資料加密、身份認證、密鑰管理等;
- 使用非雲原生的密碼産品導緻雲上應用密碼安全方案設計實施困難;
- 使用非雲原生的密碼産品依賴的硬體及網絡要求複雜,安全風險較大;
- 應用需要對接多個廠商的密碼産品,改造難度高,對接複雜,整合工作量大;
通過接入阿裡雲提供的雲上一體化密碼應用服務方案,客戶完全不需要關注底層的密碼硬體資源,即可實作對密碼資源的統一部署和排程,密碼服務的統一建設和運維,快速拉齊所有分支機構的密碼應用水位,滿足密評要求。
目前,該客戶已經有超過 60個分支機構、數百個業務應用系統運作在雲上,開通了200多類密碼服務。
阿裡雲安全
國際領先的雲安全解決方案提供方,保護全國 40% 的網站,每天抵禦 60 億次攻擊。
2020 年,國内唯一雲廠商整體安全能力獲國際三大機構(Gartner/Forrester/IDC)認可,以安全能力和市場佔有率的絕對優勢占據上司者地位。
阿裡雲最早提出并定義雲原生安全,持續為雲上使用者提供原生應用、資料、業務、網絡、計算的保護能力,和基礎設施深度融合推動安全服務化,支援彈性、動态、複雜的行業場景,獲得包括政府、金融、網際網路等各行業使用者認可。
作為亞太區最早布局機密計算、最全合規資質認證和使用者隐私保護的先行者,阿裡雲從硬體級安全可信根、硬體固件安全、系統可信鍊、可信執行環境和合規資質等方面落地可信計算環境,為使用者提供全球最高等級的安全可信雲。