如何能保護云內數(shù)據(jù)的安全


作者:李洋    時間:2013-09-11





  云內數(shù)據(jù)的安全保障可以從如下多個方面全方位地進行:

  卷存儲加密

  卷加密可抵御如下風險:保護卷免除快照克隆或泄漏風險;保護卷免除被云供應商和私有云管理員而隨意查看的風險;保護卷免除物理硬盤丟失這更像是一個實際發(fā)生的安全事件,而不是僅僅滿足合規(guī)性要求那么簡單而導致的信息泄漏風險。

  基礎設施服務的數(shù)據(jù)卷可通過以下三種方式加密:

  實例管理加密。這種加密引擎是在實例中運行,密鑰被存放在卷中,并采用密碼或密鑰對進行保護。

  外部管理加密。這種加密引擎同樣在實例中運行,但密鑰在外部管理,并響應實例請求而進行分配。

  代理加密。在這一模型里,先將卷連接到一個特定的實例或設備/軟件中,然后將該實例再連接到加密實例上。代理處理所有的加密操作,并將密鑰保管在代理內部或外部之中。在線方式或外攜方式保管密鑰。

  對象存儲加密

  對象存儲加密用于抵御很多類似卷存儲同樣存在的風險。因為對象存儲長期被暴露在公共網(wǎng)絡上,并允許用戶搭建虛擬私有存儲VPS。就像VPN一樣,它在保護好數(shù)據(jù)的同時,可以使用公共共享的基礎設施,即使這些數(shù)據(jù)被暴露,也只有那些有加密密鑰的人才能查看。

  文件/文件夾加密和企業(yè)數(shù)字版權管理DRM:在將數(shù)據(jù)放到對象存儲前,先使用標準的文件/文件夾加密工具或者企業(yè)數(shù)字版權管理工具EDRM加密數(shù)據(jù)。

  客戶端/應用程序加密:在一個應用程序包括移動應用里,對象存儲通常被當作后端使用時,可以使用嵌入在應用程序內或客戶端中的加密引擎加密數(shù)據(jù)。

  代理加密:在數(shù)據(jù)發(fā)送到對象存儲前,使用加密代理進行數(shù)據(jù)加密。

  平臺服務加密

  因為平臺服務PaaS是多樣化的,所以可以采用下面列表的保護機制:

  客戶端/應用加密:數(shù)據(jù)在PaaS應用中加密,或者在訪問平臺的客戶端程序中加密。

  數(shù)據(jù)庫加密:數(shù)據(jù)通過數(shù)據(jù)庫內置的加密機制加密并存儲于數(shù)據(jù)庫中,這需要數(shù)據(jù)庫平臺支持這種加密機制。

  代理加密:在數(shù)據(jù)發(fā)送到平臺前,通過一個加密代理進行加密。

  還可以在平臺中內置加密API,外部加密服務和其它可選形式。

  軟件服務加密

  軟件服務SaaS供應商可以使用上述提到的任何一種選項,對于多租戶式的隔離模型中,建議每個用戶使用不同的密鑰。以下選項可供軟件服務用戶使用:

  服務提供方管理加密:數(shù)據(jù)在SaaS應用中加密,并通常由服務提供方管理。

  代理加密:數(shù)據(jù)通過加密代理后再送到SaaS應用中。

  數(shù)據(jù)防泄漏

  云計算環(huán)境中的數(shù)據(jù)防泄漏DLP可定義如下:基于中心策略,通過深度內容分析識別、檢測和保護數(shù)據(jù)的運轉和使用及其它過程的產品。DLP能夠發(fā)現(xiàn)是否違規(guī)操作數(shù)據(jù)并進行阻斷操作停止其工作流,或采用諸如DRM、ZIP或OpenPGP等加密機制處理后允許其繼續(xù)運行。

  DLP常通過如下機制進行內容發(fā)現(xiàn),監(jiān)測數(shù)據(jù)運行:

  專用設備/服務器。在云環(huán)境與其他網(wǎng)絡/互聯(lián)網(wǎng)邊界,或云環(huán)境的兩個子區(qū)域的抑制點部署標準的硬件

  虛擬設備。

  終端代理。

  Hypervisor代理。相對于在實例中運行,DLP代理則內置在Hypervisor層,或可在Hypervisor層得以訪問到

  DLPSaaS。DLP集成在一個云服務中如:托管電子郵件,或者以一個獨立標準的服務提供一般是內容發(fā)現(xiàn)服務

  隱私保護

  幾乎所有的云存儲系統(tǒng)都需要訪問者云用戶或內容供應商通過某種身份認證方式來建立信任關系,無論是單向通訊還是雙向通訊均需如此。盡管加密證書能夠為多數(shù)應用場景很多提供足夠的安全性保障,但其因為與真人云用戶而嚴格綁定而不適用于隱私信息。因為證書的任何一次應用均可能將證書持有者的身份泄漏給發(fā)起認證請求的團體。有很多場景如:電子病歷存儲就是因為采用了證書認證方式而不必要的暴露了證書持有者的身份。

  在過去的十到十五年里,大量技術如密碼證書等涌現(xiàn),并且被用于使系統(tǒng)在值得信任的同時還能保護持有者的隱私信息例如:隱藏真實持有者的身份信息等。基于屬性的證書就像普通加密證書如x.509證書一樣都使用數(shù)字或加密的簽名密鑰。然而,基于屬性的證書attribute-basedcredentials,ABCs允許持有者將其作為一個僅包含源證書內所含屬性的子集封裝在新的證書里。這些封裝后的新證書能夠被當作普通加密證書使用公有密鑰來校驗,以提供同樣強度的安全保證。

  數(shù)字版權管理DRM

  DRM的核心就是用其加密內容,并應用一系列版權要求。版權要求既可以簡單如防拷貝,也可以復雜如限定某組或基于用戶的諸多活動集合,諸如剪切、粘貼、發(fā)送郵件、改變內容等。任何使用DRM進行數(shù)據(jù)保護的應用或系統(tǒng)必須能夠解釋和執(zhí)行權限,這常常意味著系統(tǒng)需整合密鑰管理系統(tǒng)。

  這里有兩種主要的數(shù)字版權管理分類:

  消費者DRM多用于保護廣泛分發(fā)的媒體內容,如:提供給廣大受眾的音頻、視頻和電子書。這一DRM可使用各種不同的技術與標準,但重點是都基于單向分發(fā)方式。

  企業(yè)DRM是用于保護組織內部的信息和合作伙伴之間的信息。重點在于有很多復雜的權限、策略,以及與業(yè)務環(huán)境,尤其是企業(yè)目錄服務DS的整合。

  企業(yè)DRM能夠很好地保護存儲在云中的信息,但需要深度的基礎架構整合。這對基于內容管理的文件和分發(fā)是非常有用的。消費者DRM能夠為分發(fā)給消費者的內容有較好的保護,但是卻因為大多數(shù)技術在單點上易被破解而無法保持很好的跟蹤記錄。


來源:比特網(wǎng) 李洋




  版權及免責聲明:凡本網(wǎng)所屬版權作品,轉載時須獲得授權并注明來源“中國產業(yè)經(jīng)濟信息網(wǎng)”,違者本網(wǎng)將保留追究其相關法律責任的權力。凡轉載文章,不代表本網(wǎng)觀點和立場。版權事宜請聯(lián)系:010-65363056。

延伸閱讀

熱點視頻

第六屆中國報業(yè)黨建工作座談會(1) 第六屆中國報業(yè)黨建工作座談會(1)

熱點新聞

熱點輿情

特色小鎮(zhèn)

版權所有:中國產業(yè)經(jīng)濟信息網(wǎng)京ICP備11041399號-2京公網(wǎng)安備11010502003583