雲上密碼應用最佳實踐——為雲海漫步保駕護航

        隨著企業上雲和數字化轉型升級的深化，資料正在成為企業的核心資產之一，在生產過程中發揮的價值越來越大。而資料安全也成為廣大企業和雲服務商共同關注的話題之一。

        近年來，國內外大規模資料洩露事件頻發，資料資產的外洩、破壞都會導致企業無可挽回的經濟損失和核心競爭力缺失，資料安全環境日趨複雜。而等保2.0和密碼法的相繼出臺，也對資料安全尤其是加密演算法和密碼測評提出了更加嚴格的要求。

       資料安全問題既是技術問題，也是管理問題，需要一套行之有效的資料管理策略。針對目前企業現狀，騰訊雲資料安全服務負責人姬生利在國際資訊系統審計協會（ISACA）組織的線上公開課中分享了主題《雲上密碼應用最佳實踐》，從密碼技術角度剖析了當前國內密碼應用現狀以及企業資料安全面臨的難題，並介紹了騰訊安全在雲上密碼應用中的最佳實踐。

“難做、難用、難管”密碼應用核心三難如何解決？

       資料顯示，全球平均每天有上千萬條資料被洩露，其中只有2%的資料經過加密，在洩露後未造成損失。由於不安全的配置、原始碼洩露及硬編碼等內部威脅導致資料洩露事件頻發，而做好資料加密和敏感憑據的管理，能有效降低資料洩露帶來的風險。

       但是，密碼技術在使用過程中面臨著三大難題，所謂“三難”就是指“難做、難用、難管”。密碼產業人才短缺，開發門檻高，密碼行業尚處於產業規模化發展的初期階段是“難做”；密碼演算法、密碼產品、密碼應用三者明顯脫節，使用者需要大量的開發工作，因此“難用”；密碼應用分散，行業缺乏統一化標準，密碼技術應用及運維管理工作複雜，故而“難管。”

       為了解決密碼應用的“三難”，在直播中，姬生利首先針對資料合規和治理、訪問監控和響應等方面從資料的產生和獲取、使用、儲存、傳輸、退役和銷燬等幾個維度，指出資料安全生命週期風險及防護四個方面的關鍵難點——資料的分類、治理和策略；資料在傳輸、儲存、使用過程中的全生命週期加密技術；金鑰管理；資料安全事件的監測分析。

       從開發運營的過程來分析資料洩露風險，可以歸納系統四個階段面臨的挑戰。開發階段，意識疏忽洩露原始碼中包含的敏感憑據和金鑰；測試階段，暴露高風險的測試資料庫訪問埠和弱賬號；整合交付階段，臨時環境中的資料訪問埠，薄弱配置導致的安全問題；生產和運營階段，賬號口令洩露、破解、弱口令，缺乏保護的隱私資料和金鑰。又從應用服務的構成深度解析資料洩露風險並提出解決方案。

（騰訊雲資料安全中臺)

       為此，騰訊安全雲鼎實驗室提出以“騰訊雲資料安全中臺”為中心，打造端到端的雲資料全生命週期安全體系，以資料加密軟硬體系統（CloudHSM/SEM）、金鑰管理系統（KMS）、憑據管理系統（SSM）以及雲資料加密代理閘道器（CDEB）為核心，將密碼運算、密碼技術及密碼產品以服務化、元件化的方式輸出，並無縫整合至騰訊雲產品中，實現從資料獲取、事務處理及檢索、資料分析與服務，資料訪問與消費過程中的安全防護，針對性地解決“三難”問題。

雲上密碼應用最佳實踐，多維度助力資料加密

       雲資料安全中臺對應了各種基礎設施，雲上密碼應用做出一系列最佳實踐。

金鑰管理系統KMS——提供全生命週期的金鑰管理和資料加解密服務

       金鑰即為鑰匙，使用加密演算法需要使用金鑰管理系統（KMS）來對金鑰進行統一管理。運用演算法的公開性和金鑰的保密性特點，有效規避在應用密碼技術進行對稱或非對稱加密時，金鑰的丟失導致資料的密文不再安全等問題。

       針對金鑰許可權的管控、加密演算法庫的依賴、國密演算法的改造、資料金鑰的策略管理、私鑰的安全性管控、金鑰材料的信任、金鑰所有權等一系列問題，KMS根據敏感資料、高效能本地資料、非對稱金鑰、BYOK（Bring Your Own Key）、白盒加密等方面都提出了有效可行的解決方案。

       雲資料安全中臺讓使用者得以使用最小的工作量，極簡地實現對雲上資料的加密保護。金鑰管理系統（KMS）和雲產品無縫整合，為使用者提供透明加密的解決方案，使用者只需要開通相應的服務，無需關心加密的細節，即可實現透明的雲上資料加解密。

憑據管理系統SSM——提供解決敏感憑據硬編碼及洩露風險的最佳方案

       2019年北卡羅來納州立大學團隊調查顯示Github上的金鑰洩露問題相當嚴峻：超 100000十萬個程式碼庫洩露了API 、加密金鑰或其它敏感憑據內容， 其中有19%在洩露後長達16天內才被刪除，81%的仍然對外可見。

       針對敏感配置、敏感憑據硬編碼帶來的洩露風險問題，憑據管理系統(Secrets Manager)服務為使用者提供憑據的建立、使用、刪除、許可權等全生命週期管理，所有的憑據均進行加密保護。透過騰訊雲資料安全中臺憑據管理系統的能力，可以輕鬆實現對資料庫憑證、API 金鑰和其他金鑰、敏感配置等的集中檢索、管理以及加密儲存，有效避免程式硬編碼帶來的明文洩密以及許可權失控帶來的業務風險。

雲加密機CloudHSM——提供按需使用的硬體密碼資源池

       CloudHSM是採用國密局認證的雲伺服器密碼機，利用虛擬化技術，提供可擴充套件，高可用，高效能的虛擬硬體密碼機VSM服務。在雲架構中，遮蔽不同廠商的密碼裝置，基於CloudHSM 實現密碼運算服務與資源的統一排程服務，可動態擴充套件密碼服務內容和裝置效能, 為應用層資料保護、身份認證、資料庫加密、大資料安全服務提供統一的硬體密碼運算資源池。虛擬密碼機可分為虛擬金融資料密碼機EVSM、虛擬簽名驗籤密碼機EVSM、虛擬伺服器密碼機VSM等多種形態VSM，滿足多樣化業務場景的密碼機應用需求。

資料庫加密CDEB——提供免應用改造的欄位級資料加密解決方案

       對於期望對資料庫進行欄位級的加解密，防止被脫庫後敏感資訊的洩露，除了應用側自行實現加解密邏輯，雲資料安全中臺提供了雲資料加密代理閘道器CDEB方案元件。藉助CDEB，使用者可以輕鬆實現基於商用密碼演算法的應用免改造、欄位級加密，以及基於密碼應用的防駭客攻擊的資料安全保護方案。

（應用服務構成中的資料洩露風險及解決辦法）

       企業透過資料安全技術加持、建立資料安全中臺等措施，為資料應用的安全與合規提供系統性的解決方案，並透過雲服務對外輸出資料安全保護以及資料合規能力。多種原因導致的一系列層出不窮的資料安全事件背後折射出的是，僅僅依靠單點防護難以達到真正的安全防護效果，而構建基於全生命週期的安全防護成為必然選擇。值得一提的是，企業上雲大潮的趨勢下，討論資料安全絕大部分要從雲環境出發，雲原生的資料保護技術和策略也將成為當下及未來的主要手段。