企業正在把比以往任何時候更多的數據遷往雲計算,其中涵蓋了多種不同的服務模式類型。隨着遷入雲計算數據的敏感性和重要性日益增加,安全專家們正在積極地尋求使用加密技術保護這類數據,而他們所採用的技術正是他們多年來在他們數據中心內一直使用並信任的技術。
但是,在某些情況下,這一目標也不易實現,或者需要使用一些不同的方法和工具,尤其是對於加密密鑰管理而言。
在本文中,我們將探討今時今日雲計算加密密鑰管理的一些狀況。
雲計算密鑰管理:有些什麼不同
企業數據中心密鑰管理和雲計算密鑰管理之間的主要區別在於密鑰的所屬權和管理。在傳統的數據中心內,所有的密鑰管理功能和工具都是由一支內部IT運營團隊來配置和維護的。而在雲計算環境中,有可能採用的是一種密鑰共享模式或者是完全由供應商管理和維護的。
雲計算密鑰管理程序很大程度上取決於若干因素。在某些情況下,所使用雲計算服務的類型將決定可用密鑰管理的類型。IaaS雲計算爲數字簽名虛擬機鏡像模板來維護內部密鑰管理。使用公共密鑰基礎設施(PKI)用於API命令簽名和授權訪問虛擬機鏡像。在這種結構中的私鑰需要由雲計算消費者來維護,這類密鑰可被保存在傳統密鑰管理平臺內部。
對於PaaS和SaaS雲計算服務模式來說,大部分密鑰管理功能都是由雲計算供應商內部管理的,而用於訪問應用程序和系統的私鑰都是可以被分配給消費者以便於訪問數據、應用程序或數據庫等雲計算資源的。在公共密鑰部署中,密鑰管理和安全都是共享的,即密鑰分發給消費者的控制權都在於消費者本身。而其他所有的密鑰管理的責任則主要是由供應商承擔的。
對於混合雲計算,密鑰管理也很有可能是共享的,而私有云計算通常是在內部網絡環境中配備密鑰管理工具和程序。
雲計算密鑰管理:應向供應商提哪些問題
對於需要供應商管理加密密鑰管理的雲計算服務,企業用戶應當向供應商對供應商的密鑰管理安全程序和控制措施提哪些問題?
首先,服務供應商應當闡明他們用於保存密鑰所使用的工具和產品類型。最重要的密鑰管理基礎設施包括:一個硬件安全模塊,或HSM,它可允許專用存儲設備以高性能密鑰訪問來執行加密與解密操作。
其次,企業需要詢問雲計算供應商,密鑰是被誰以及如何被訪問的。理論上,密鑰管理不應完全由單個人員掌控,任何的密鑰訪問都應由內部團隊中兩個或以上的可信成員共同管理,同時還應建立深入的審計憑據。
企業還應當詢問供應商如何恢復密鑰。目前,很多供應商都不允許在客戶的控制下恢復私鑰,但是如果今後他們允許了,那麼他們應當嚴格控制恢復密鑰所涉及的程序以及對客戶請求恢復私鑰的審批。
最後,如果服務供應商數據庫或應用程序訪問要求多個密鑰訪問,那麼應當詢問供應商是如何維護控制措施和每個密鑰的分發,以及他們是如何確保密鑰是被正確地創建、管理、更新或銷燬的。
在一個理想情況下的多租戶環境中,每個組戶都擁有一個被共同管理的單獨密鑰。但是,很多供應商所採用的架構都涉及了多個密鑰(每個租戶有一個或多個),然後對內部某個資源都有一個“訪問密鑰”。
在這種情況下,任何主密鑰或“訪問密鑰”的管理都應被嚴格控制和記錄,並附有任何訪問和與這些密鑰相關的詳細審計憑據。任何共享密鑰訪問都具有較大的風險,尤其是這一密鑰以任何的方式被泄露。
目前,雲計算加密密鑰管理挑戰仍然是在雲計算供應商環境中保存敏感數據的一個主要障礙。但是,雲計算供應商和消費者都已開始着手解決這個問題,可以想見,在今後的如果一段時間內,密鑰管理將成爲雲計算安全的一大重點區域。隨着權威羣體意見以及成熟供應商產品和服務的不斷涌現,在雲計算中存儲敏感數據一定會隨着時間的推移而變得更易於實施。
版權聲明:本文素材來源於西部數碼新聞資訊門戶,轉載此文出於傳遞更多信息之目的,如有侵權,請聯繫小編刪除