云內(nèi)數(shù)據(jù)的安全保障可以從如下多個(gè)方面全方位地進(jìn)行:
卷存儲(chǔ)加密
卷加密可抵御如下風(fēng)險(xiǎn):保護(hù)卷免除快照克隆或泄漏風(fēng)險(xiǎn);保護(hù)卷免除被云供應(yīng)商和私有云管理員而隨意查看的風(fēng)險(xiǎn);保護(hù)卷免除物理硬盤丟失這更像是一個(gè)實(shí)際發(fā)生的安全事件,而不是僅僅滿足合規(guī)性要求那么簡(jiǎn)單而導(dǎo)致的信息泄漏風(fēng)險(xiǎn)����。
基礎(chǔ)設(shè)施服務(wù)的數(shù)據(jù)卷可通過以下三種方式加密:
實(shí)例管理加密。這種加密引擎是在實(shí)例中運(yùn)行��,密鑰被存放在卷中�����,并采用密碼或密鑰對(duì)進(jìn)行保護(hù)���。
外部管理加密���。這種加密引擎同樣在實(shí)例中運(yùn)行,但密鑰在外部管理���,并響應(yīng)實(shí)例請(qǐng)求而進(jìn)行分配���。
代理加密。在這一模型里�,先將卷連接到一個(gè)特定的實(shí)例或設(shè)備/軟件中,然后將該實(shí)例再連接到加密實(shí)例上����。代理處理所有的加密操作���,并將密鑰保管在代理內(nèi)部或外部之中。在線方式或外攜方式保管密鑰����。
對(duì)象存儲(chǔ)加密
對(duì)象存儲(chǔ)加密用于抵御很多類似卷存儲(chǔ)同樣存在的風(fēng)險(xiǎn)����。因?yàn)閷?duì)象存儲(chǔ)長(zhǎng)期被暴露在公共網(wǎng)絡(luò)上,并允許用戶搭建虛擬私有存儲(chǔ)VPS���。就像VPN一樣���,它在保護(hù)好數(shù)據(jù)的同時(shí),可以使用公共共享的基礎(chǔ)設(shè)施���,即使這些數(shù)據(jù)被暴露����,也只有那些有加密密鑰的人才能查看��。
文件/文件夾加密和企業(yè)數(shù)字版權(quán)管理DRM:在將數(shù)據(jù)放到對(duì)象存儲(chǔ)前,先使用標(biāo)準(zhǔn)的文件/文件夾加密工具或者企業(yè)數(shù)字版權(quán)管理工具EDRM加密數(shù)據(jù)�。
客戶端/應(yīng)用程序加密:在一個(gè)應(yīng)用程序包括移動(dòng)應(yīng)用里,對(duì)象存儲(chǔ)通常被當(dāng)作后端使用時(shí)�,可以使用嵌入在應(yīng)用程序內(nèi)或客戶端中的加密引擎加密數(shù)據(jù)。
代理加密:在數(shù)據(jù)發(fā)送到對(duì)象存儲(chǔ)前�����,使用加密代理進(jìn)行數(shù)據(jù)加密����。
平臺(tái)服務(wù)加密
因?yàn)槠脚_(tái)服務(wù)PaaS是多樣化的,所以可以采用下面列表的保護(hù)機(jī)制:
客戶端/應(yīng)用加密:數(shù)據(jù)在PaaS應(yīng)用中加密�,或者在訪問平臺(tái)的客戶端程序中加密。
數(shù)據(jù)庫(kù)加密:數(shù)據(jù)通過數(shù)據(jù)庫(kù)內(nèi)置的加密機(jī)制加密并存儲(chǔ)于數(shù)據(jù)庫(kù)中����,這需要數(shù)據(jù)庫(kù)平臺(tái)支持這種加密機(jī)制。
代理加密:在數(shù)據(jù)發(fā)送到平臺(tái)前���,通過一個(gè)加密代理進(jìn)行加密��。
還可以在平臺(tái)中內(nèi)置加密API��,外部加密服務(wù)和其它可選形式���。
軟件服務(wù)加密
軟件服務(wù)SaaS供應(yīng)商可以使用上述提到的任何一種選項(xiàng)��,對(duì)于多租戶式的隔離模型中���,建議每個(gè)用戶使用不同的密鑰。以下選項(xiàng)可供軟件服務(wù)用戶使用:
服務(wù)提供方管理加密:數(shù)據(jù)在SaaS應(yīng)用中加密�����,并通常由服務(wù)提供方管理���。
代理加密:數(shù)據(jù)通過加密代理后再送到SaaS應(yīng)用中。
數(shù)據(jù)防泄漏
云計(jì)算環(huán)境中的數(shù)據(jù)防泄漏DLP可定義如下:基于中心策略�����,通過深度內(nèi)容分析識(shí)別����、檢測(cè)和保護(hù)數(shù)據(jù)的運(yùn)轉(zhuǎn)和使用及其它過程的產(chǎn)品。DLP能夠發(fā)現(xiàn)是否違規(guī)操作數(shù)據(jù)并進(jìn)行阻斷操作停止其工作流�,或采用諸如DRM、ZIP或OpenPGP等加密機(jī)制處理后允許其繼續(xù)運(yùn)行���。
DLP常通過如下機(jī)制進(jìn)行內(nèi)容發(fā)現(xiàn)��,監(jiān)測(cè)數(shù)據(jù)運(yùn)行:
專用設(shè)備/服務(wù)器�。在云環(huán)境與其他網(wǎng)絡(luò)/互聯(lián)網(wǎng)邊界,或云環(huán)境的兩個(gè)子區(qū)域的抑制點(diǎn)部署標(biāo)準(zhǔn)的硬件
虛擬設(shè)備��。
終端代理�。
Hypervisor代理。相對(duì)于在實(shí)例中運(yùn)行�,DLP代理則內(nèi)置在Hypervisor層,或可在Hypervisor層得以訪問到
DLPSaaS����。DLP集成在一個(gè)云服務(wù)中如:托管電子郵件,或者以一個(gè)獨(dú)立標(biāo)準(zhǔn)的服務(wù)提供一般是內(nèi)容發(fā)現(xiàn)服務(wù)
隱私保護(hù)
幾乎所有的云存儲(chǔ)系統(tǒng)都需要訪問者云用戶或內(nèi)容供應(yīng)商通過某種身份認(rèn)證方式來建立信任關(guān)系���,無論是單向通訊還是雙向通訊均需如此���。盡管加密證書能夠?yàn)槎鄶?shù)應(yīng)用場(chǎng)景很多提供足夠的安全性保障,但其因?yàn)榕c真人云用戶而嚴(yán)格綁定而不適用于隱私信息�����。因?yàn)樽C書的任何一次應(yīng)用均可能將證書持有者的身份泄漏給發(fā)起認(rèn)證請(qǐng)求的團(tuán)體��。有很多場(chǎng)景如:電子病歷存儲(chǔ)就是因?yàn)椴捎昧俗C書認(rèn)證方式而不必要的暴露了證書持有者的身份。
在過去的十到十五年里����,大量技術(shù)如密碼證書等涌現(xiàn),并且被用于使系統(tǒng)在值得信任的同時(shí)還能保護(hù)持有者的隱私信息例如:隱藏真實(shí)持有者的身份信息等����。基于屬性的證書就像普通加密證書如x.509證書一樣都使用數(shù)字或加密的簽名密鑰�。然而,基于屬性的證書attribute-basedcredentials,ABCs允許持有者將其作為一個(gè)僅包含源證書內(nèi)所含屬性的子集封裝在新的證書里���。這些封裝后的新證書能夠被當(dāng)作普通加密證書使用公有密鑰來校驗(yàn)�����,以提供同樣強(qiáng)度的安全保證。
數(shù)字版權(quán)管理DRM
DRM的核心就是用其加密內(nèi)容���,并應(yīng)用一系列版權(quán)要求�����。版權(quán)要求既可以簡(jiǎn)單如防拷貝�,也可以復(fù)雜如限定某組或基于用戶的諸多活動(dòng)集合,諸如剪切�����、粘貼��、發(fā)送郵件�、改變內(nèi)容等。任何使用DRM進(jìn)行數(shù)據(jù)保護(hù)的應(yīng)用或系統(tǒng)必須能夠解釋和執(zhí)行權(quán)限�,這常常意味著系統(tǒng)需整合密鑰管理系統(tǒng)。
這里有兩種主要的數(shù)字版權(quán)管理分類:
消費(fèi)者DRM多用于保護(hù)廣泛分發(fā)的媒體內(nèi)容�����,如:提供給廣大受眾的音頻���、視頻和電子書�。這一DRM可使用各種不同的技術(shù)與標(biāo)準(zhǔn)�,但重點(diǎn)是都基于單向分發(fā)方式。
企業(yè)DRM是用于保護(hù)組織內(nèi)部的信息和合作伙伴之間的信息��。重點(diǎn)在于有很多復(fù)雜的權(quán)限�、策略,以及與業(yè)務(wù)環(huán)境��,尤其是企業(yè)目錄服務(wù)DS的整合。
企業(yè)DRM能夠很好地保護(hù)存儲(chǔ)在云中的信息��,但需要深度的基礎(chǔ)架構(gòu)整合��。這對(duì)基于內(nèi)容管理的文件和分發(fā)是非常有用的���。消費(fèi)者DRM能夠?yàn)榉职l(fā)給消費(fèi)者的內(nèi)容有較好的保護(hù)���,但是卻因?yàn)榇蠖鄶?shù)技術(shù)在單點(diǎn)上易被破解而無法保持很好的跟蹤記錄。
來源:比特網(wǎng) 李洋
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品��,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”��,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力��。凡轉(zhuǎn)載文章���,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056�����。
延伸閱讀
