对于投资云计算或迁移到云计算的组织,低云安全性应该是优先考虑的事项。
由于其规模经济和易用性,组织迅速采用了云计算。外包必要的基础设施要容易得多,特别是在多租户环境和中型市场公司中,很难为自己的基础设施融资。
但是,安全性已成为云平台的压倒性任务。使用云计算就像将钥匙留在门垫下面的门上。公司不仅外包他们的基础设施,还外包保护机密数据和文件的加密密钥。
控制安全云计算的加密密钥
谁有权访问加密密钥?对此的答案决定了公司的数据在云中是否安全。除非您拥有对加密密钥的独占控制权,否则您可能面临风险。不幸的是,云计算不是这种情况,这是人们继续收到不幸的电子邮件通知并承诺自己的原因之一。作为服务提供商的每个服务和云计算软件代表了大的攻击面,因此是一个有趣的目标。随着公司将一切都迁移到云端,密钥管理如何运作?这是一个必须解决的挑战。
关键在哪里?
云计算解决方案中最简单的概念是多用户——应用程序,数据库,文件以及云中托管的所有其他内容。许多组织认为他们需要多用户解决方案。这是最简单的概念,因为很容易理解如何将内部基础架构可视化为云计算的实例。但是,使用基于云的三种常见选项中的任何一种将密钥管理系统(KMS)移动到云代表了重大风险。
CloudKMS(公司有密钥,但存储在云软件中):基于软件的多个租户在云中的KMS特别不适合管理加密密钥。由于硬件资源在多个客户端之间共享,因此对这些密钥的保护更加不安全,正如Spectre和Meltdown的漏洞所证明的那样。
外包KMS(云服务提供商有密钥):云计算提供商表明所有数据和文件都是安全和加密的。除非提供者帐户的凭据被黑客攻击(如Uber在AWS中所做的那样),否则这很好。企业文件可以加密,但如果使用加密密钥存储加密密钥,攻击者也可以解密所有内容,如果他们也可以访问公司密钥。
CloudHSM(该公司自己的密钥,但存储在硬件在云中):这是一种用于保护加密密钥解决方案的理想解决方案,处理器安全的密码 - 安全模块硬件(HSM)和可信平台模块(TPM)。虽然使用HSM或基于云的TPM可以减轻一些风险,但事实是,在云中,包括使用安全的加密处理器的应用仍然是多租户基础设施的一部分。在攻击专用硬件加密处理器或在多租户环境中运行的应用程序之间,从攻击者的角度来看,应用程序始终是更容易攻击的目标。理解法律
下一代防火墙,入侵检测等保护周边安全是必要的,和云计算的供应商可以提供它。但要保护的数据和公司机密文件的核心要素,以防止违规行为,则必须使用基本的加密“的加密密钥管理规则”:
加密密钥必须由单个组织内的多个密钥管理器专门控制。
必须在安全加密处理器(HSM/TPM)的控制下保护加密密钥。
使用加密处理器来处理敏感数据的应用程序不应该在公共多租户环境中执行。敏感数据不仅在多用户环境中不受保护的,而是用来验证应用程序的密码处理器的秘密也被保护,这可能导致在攻击中使用的加密安全处理器的腐败加密的数据。
尽管制定法律很好,但遗憾的是,目前还没有能够满足这些基本要求的公共云。将安全性完全留给云计算提供商的组织可能需要担心其业务的安全性。
走向更安全的云
该解决方案不需要在工程博士学位:存储数据和公司机密文件在云中,同时保留在公共云环境的外部控制的加密密钥,由加密处理器保险公司本身的保护。独家控制
有了这个框架,即使攻击者攻击云平台服务提供商的云计算,攻击者不能获得不仅可以不用钥匙进入加密信息的任何内容。通过维护数据保护仍然可以实现云计算的好处。这使组织能够证明符合数据安全标准,同时最大限度地利用云计算(私有或公共)。
对于投资云计算或迁移到云计算的组织,低云安全性应该是优先考虑的事项。即使云计算应用程序使用的数据是加密的,加密密钥也是如此。信息不仅必须保持安全,而且钥匙也必须保持安全。
鉴于云环境的现实,中型企业确保在企业层面采用的工具和实践更高的安全性。
公司不应该假设云计算提供商正在保护他们的数据。相反,假设情况并非如此,并找到应用加密密钥管理规则的解决方案,以在云中实现更安全的未来。
中文
电话咨询
微信咨询
公众号
