雲計算安全管控

[daodu]誰有權訪問組織的加密密鑰？這取決於組織的數據在雲中是否安全。除非組織自己擁有對加密密鑰的獨佔控制權，否則可能面臨風險。不幸的是，情況並非如此，這也是很多組織收到電子郵件，得知數據其已被泄露的原因之一。[/daodu]
由於規模經濟和易用性，很多的組織如今迅速接受了雲計算，這與將所需的基礎設施外包相比要容易得多，特別是在多租戶環境和中端市場企業中，這些組織很難爲自己的基礎設施獲得更多的資金。
然而，安全性成爲組織採用雲計算面臨的主要挑戰。這是因爲很多組織不僅外包了基礎設施，還外包了保護敏感數據和文件的加密密鑰。
那麼，誰有權訪問組織的加密密鑰?這取決於組織的數據在雲中是否安全。除非組織自己擁有對加密密鑰的獨佔控制權，否則可能面臨風險。不幸的是，情況並非如此，這也是很多組織收到電子郵件，得知數據其已被泄露的原因之一。每個雲計算服務和軟件即服務提供商都代表着巨大的***面，因此這是一個重要的目標。隨着組織將一切遷移到雲平臺，企業如何更好地管理密鑰?這是一個需要解決的挑戰。
[yiji]密鑰在哪裏?[/yiji]
雲計算解決方案中最簡單的概念是多租戶——應用程序、數據庫、文件以及雲平臺中託管的所有其他內容。許多組織認爲他們需要多租戶解決方案。這是最簡單的概念，因爲很容易理解如何將內部基礎設施可視化爲雲計算的實例。但是，使用三種常見基於雲計算的選項中的任何一種將密鑰管理系統(KMS)移動到雲平臺上都會帶來巨大的風險。

因此，儘管纔剛剛被用於加密，但實際上人工智能正逐漸變得無所不在。
Cloud KMS(組織擁有密鑰，但它們存儲在雲平臺軟件中)：基於軟件的多租戶雲計算密鑰管理系統(KMS)尤其不適合加密密鑰管理。由於硬件資源在多個客戶端之間共享，因此對這些密鑰的保護存在更高的不安全性——“幽靈”(Spectre)和“崩潰”(Meltdown)漏洞就是證明這一點的證明。
外包KMS(雲計算服務提供商擁有密鑰)：雲計算供應商表示用戶的所有數據和文件都是安全和加密的。這很好——除非提供商或組織提供給提供商的帳戶憑證遭到******。組織的文件可能被加密，但如果其將加密密鑰存儲在其中，那麼***者也可以解密所有訪問其密鑰的內容。
Cloud HSM(組織擁有密鑰，但它們存儲在雲平臺硬件中)：這是保護加密密鑰的理想方案，即安全密碼處理器——硬件安全模塊(HSM)和可信平臺模塊(TPM)。雖然使用基於雲計算的硬件安全模塊(HSM)或可信平臺模塊(TPM)可以緩解某些風險，但事實仍然是在雲中，即使使用安全加密處理器的應用程序仍然是多租戶基礎設施的一部分。在***專用硬件加密處理器或在多租戶環境中運行的應用程序之間，從***者的角度來看，應用程序始終是更容易***的目標。
[yiji]瞭解相關法律[/yiji]
下一代防火牆的外圍安全、***檢測和其他保護措施是必要的，雲計算提供商可以提供這些措施。但是，保護業務敏感數據和文件的核心元素不受侵犯需要使用基本的“加密密鑰管理法”進行加密：
加密密鑰必須由單個組織內的多個密鑰管理者獨佔控制。
必須在安全加密硬件安全模塊(HSM)或可信平臺模塊(TPM)的控制下保護加密密鑰。
使用加密處理器處理敏感數據的應用程序部分不得在公共多租戶環境中執行。敏感數據不僅在多租戶環境中不受保護，而且對應用於加密處理器的應用程序進行身份驗證也是如此，這可能導致在***中使用安全加密處理器而破壞加密數據。

雖然制定相關法律是件好事，但不幸的是，目前還沒有能夠滿足這些基本要求的公共雲。將安全性完全交給雲計算提供商的組織可能會面臨風險。
[yiji]邁向更安全的雲平臺[/yiji]
制定解決方案並不困難：將組織的敏感數據和文件存儲在雲平臺中，同時在其安全密碼處理器的保護下保留對加密密鑰的獨佔控制。
使用此框架，即使網絡***者***雲計算服務提供商的雲平臺，也無法獲取任何內容，因爲他們只能訪問對他們沒用的加密信息。在進行數據保護的同時，仍然可以實現雲計算的優勢。這使企業能夠在儘可能利用雲平臺，私有云或公共雲的同時應用也證明其符合數據安全法規。
對於採用雲計算或遷移到雲平臺的組織而言，糟糕的雲計算安全狀態必須始終處於首位。即使雲計算應用程序使用的數據是加密的，加密密鑰也是真實的。不僅信息需要保持安全，而且鑰匙也需要保持安全。
考慮到雲計算環境的現實，中小型組織將通過採用企業級工具和實踐來確保自身更強大的安全性。
任何組織都不應該假設雲計算提供商正在保護他們的數據。與其相反，情況並非如此，組織需要尋找解決方案，遵循加密密鑰管理的法律，並在雲中實現更安全的未來。