云计算安全需要控制加密密钥

由于范围经济和易用性，很多的组织如今快速接受了云计算，这与将所需的基础设施外包相比要容易很多，特别是在多租户环境和中端市场企业中，这些组织很难为自己的基础设施取得更多的资金。

　　但是，安全性成为组织采取云计算面对的主要挑战。这是由于很多组织不但外包了基础设施，还外包了保护敏感数据和文件的加密密钥。

　　那末，谁有权访问组织的加密密钥?这取决于组织的数据在云中是不是安全。除非组织自己具有对加密密钥的独占控制权，否则可能面对风险。令人遗憾的是，情况并不是如此，这也是很多组织收到电子邮件，得知数据其已被泄漏的缘由之一。每一个云计算服务和软件即服务提供商都代表着巨大的攻击面，因此这是一个重要的目标。随着组织将一切迁移到云平台，企业如何更好地管理密钥?这是一个需要解决的挑战。

　　密钥在哪里?

　　云计算解决方案中最简单的概念是多租户——利用程序、数据库、文件和云平台中托管的所有其他内容。许多组织认为他们需要多租户解决方案。这是最简单的概念，由于很容易理解如何将内部基础设施可视化为云计算的实例。但是，使用3种常见基于云计算的选项中的任何一种将密钥管理系统(KMS)移动到云平台上都会带来巨大的风险。

　　因此，这种情况下，虽然才刚刚被用于加密，但实际上人工智能正逐步变得无所不在。

　　Cloud KMS(组织具有密钥，但它们存储在云平台软件中)：基于软件的多租户云计算密钥管理系统(KMS)特别不合适加密密钥管理。由于硬件资源在多个客户端之间同享，因此对这些密钥的保护存在更高的不安全性——“幽灵”(Spectre)和“崩溃”(Meltdown)漏洞就是证明这一点的证明。

　　外包KMS(云计算服务提供商具有密钥)：云计算供应商表示用户的所有数据和文件都是安全和加密的。这很好——除非提供商或组织提供给提供商的帐户凭证遭到黑客（Hacker）攻击。组织的文件可能被加密，但如果其将加密密钥存储在其中，那末攻击者也能够解密所有访问其密钥的内容。

　　Cloud HSM(组织具有密钥，但它们存储在云平台硬件中)：这是保护加密密钥的理想方案，即安全密码处理器——硬件安全模块(HSM)和可信平台模块(TPM)。虽然使用基于云计算的硬件安全模块(HSM)或可信平台模块(TPM)可以减缓某些风险，但事实依然是在云中，即便使用安全加密处理器的利用程序依然是多租户基础设施的一部份。在攻击专用硬件加密处理器或在多租户环境中运行的利用程序之间，从攻击者的角度来看，利用程序始终是更容易攻击的目标。

　　了解相干法律

　　下一代防火墙的外围安全、侵入检测和其他保护措施是必要的，云计算提供商可以提供这些措施。但是，保护业务敏感数据和文件的关键元素不受侵犯需要使用基本的“加密密钥管理法”进行加密：

　　加密密钥必须由单个组织内的多个密钥管理者独占控制。

　　必须在安全加密硬件安全模块(HSM)或可信平台模块(TPM)的控制下保护加密密钥。

　　使用加密处理器处理敏感数据的利用程序部份不得在公共多租户环境中履行。敏感数据不但在多租户环境中不受保护，而且对利用于加密处理器的利用程序进行身份验证也是如此，这可能致使在攻击中使用安全加密处理器而破坏加密数据。

　　云安全

　　虽然制定相干法律是件好事，但令人遗憾的是，至今为止还没有能够满足这些基本要求的公共云。将安全性完全交给云计算提供商的组织可能会面对风险。

　　迈向更可靠的云平台

　　制定解决方案其实不困难：将组织的敏感数据和文件存储在云平台中，同时在其安全密码处理器的保护下保存对加密密钥的独占控制。

　　使用此框架，即便网络攻击者攻击云计算服务提供商的云平台，也没法获得任何内容，由于他们只能访问对他们没用的加密信息。在进行数据保护的同时，依然可以实现云计算的优点。这使企业能够在尽量利用云平台，私有云或公共云的同时利用也证明其符合数据安全法规。

　　对采取云计算或迁移到云平台的组织而言，糟的云计算安全状态必须始终处于首位。即便云计算利用程序使用的数据是加密的，加密密钥也是真实的。不但信息需要保持安全，而且钥匙也需要保持安全。

　　斟酌到云计算环境的现实，中小型组织将经过采取企业级工具和实践来确保本身更强盛的安全性。

　　任何组织都不应当假定云计算提供商正在保护他们的数据。与其相反，所不同的是，情况并不是如此，组织需要寻觅解决方案，遵守加密密钥管理的法律，并在云中实现更可靠的不久的将来。

免责声明：
本网址（www.yingxiongyun.com）发布的材料主要源于独立创作和网友匿名投稿。此处提供的所有信息仅供参考之用。我们致力于提供准确且可信的信息，但不对材料的完整性或真实性作出任何保证。用户应自行验证相关信息的正确性，并对其决策承担全部责任。对于由于信息的错误、不准确或遗漏所造成的任何损失，本网址不承担任何法律责任。

本网站所展示的所有内容，如文字、图像、标志、音频、视频、软件和程序等的版权均属于原创作者。

如果任何组织或个人认为网站内容可能侵犯其知识产权，或包含不准确之处，请即刻联系我们进行相应处理。