雲原生時代,如何構建開箱即用的資料加密防護?

雲鼎實驗室發表於2020-07-20

隨著產業網際網路的發展,越來越多的企業將業務上雲,開始使用更具可靠性和擴充套件性、更加易於維護的雲原生應用。雲原生技術以其高效穩定、快速響應的特點驅動引領企業的業務發展,幫助企業構建更加適用於雲上的應用服務。與此同時,隨著雲原生應用、容器、微服務及DevOps開發流程的倍速發展,越來越多的應用基於雲平臺構建,與雲平臺深度融合,安全與開發過程也逐步融合,高效構建雲上資料全生命週期保護架構愈發重要。


在近期騰訊安全聯合CSDN和雲+社群共同舉辦的“雲原生安全專場”產業安全公開課上,騰訊安全雲鼎實驗室專家姬生利以騰訊雲資料安全中臺解決方案為例,分享雲原生背景下企業應如何應用密碼技術構建雲上資料全生命週期安全防護體系,幫助企業提前規避在資源隔離、資料儲存、資料傳輸、資料共享、虛擬化等方面可能存在的業務風險,整體提升雲上業務開發及業務資料安全性。

雲原生背景下催生新的安全基礎設施

2019年Forrester 在《雲安全解決方案預測,2018至2023》中曾提到雲原生安全的定義和發展趨勢,表明雲原生平臺安全將成為雲安全市場增長最快的部分。企業在雲原生安全上需要重點關注的一些核心安全能力,從異常監測審計到網路隔離(VPC、ACL)、訪問控制(IAM、資源級鑑權)、最後到資料的分類隔離、傳輸及儲存加密等,資料安全隱私保護的訴求全流程貫穿其中。

雲原生時代,如何構建開箱即用的資料加密防護?

基於此,騰訊雲提供了資料安全與隱私保護的基礎設施。其中,身份認證鑑權 CAM實現子賬號的管理、資源的授權、身份的認證等,確保正確的人訪問授權的資料;私有網路 VPC進行網路的隔離和強化訪問控制;雲審計CloudAudit進行資源訪問的日誌審計。而云上核心的資料安全與隱私保護,就需要透過安全基礎設施金鑰管理系統(KMS)來實現金鑰的管理。KMS的核心優勢就是基於硬體加密機而非軟體實現金鑰的安全生產和託管,任何人(包括雲廠商)都無法拿到使用者金鑰的明文,確保了核心金鑰的安全性。

雲原生時代,如何構建開箱即用的資料加密防護?

針對於雲原生時代面臨一系列資料安全問題,如核心資料流動過程中存在的合規和治理風險、合規要求下敏感資料傳輸過程中的加密保護、與第三方進行資料交換時的隱私保護和額外技術攻擊等。KMS在開發與應用相結合的新型訴求下,逐步建立了適用於不同場景的雲上資料的保護機制以解決資料流動風險問題。

打造開箱即用的資料加密體系

KMS是雲隱私資料加密保護的基礎設施元件,也是雲上資料安全與隱私保護基礎設施的重要組成部分。雲租戶以及雲產品透過接入KMS實現對自身的敏感資料、雲產品儲存的租戶隱私資料進行加密儲存,提升安全性,並滿足國內外合規審查標準。


KMS的主要功能包括金鑰建立、啟用、禁用、輪換、匯入等金鑰的全生命週期,與此同時還與物件儲存、分散式資料庫、雲硬碟等多款雲產品無縫整合,可以輕鬆地實現對這些服務內的金鑰集中管理。因此,面對雲原生時代企業在多元化場景下的訴求,圍繞KMS落成了一系列最佳實踐。

雲資料一鍵透明加密

KMS和雲產品無縫整合實現雲上資料原生加密能力,為使用者提供透明加密的解決方案,使用者只需要開通相應的服務,無需關心加密的細節,即可實現透明的雲上資料加解密。

雲原生時代,如何構建開箱即用的資料加密防護?

敏感憑據類資訊託管加密保護

基於KMS封裝,提供憑據管理,使用者可透過憑據管理系統輕鬆實現對資料庫憑證、API 金鑰和其他金鑰、敏感配置的集中檢索、管理以及加密儲存,有效避免程式硬編碼導致的明文洩密,以及許可權失控帶來的業務風險。

雲原生時代,如何構建開箱即用的資料加密防護?
小型敏感資料加密

透過呼叫 KMS的API選擇採用對稱金鑰或非對稱金鑰進行資料加解密,用來保護伺服器硬碟上敏感資料的安全(小於4KB)。加密後本地儲存金鑰的密文檔案,使用時解密且不儲存本地,使得攻擊者難以獲取敏感資料。

大型敏感資料加密

KMS產生兩級金鑰(主金鑰CMK和資料加密DEK),海量的業務資料採用DEK進行本地高效加密,而DEK透過CMK進行加密保護,是一種應對海量資料的高效能加解密方案,用於本地核心資料儲存保護。


除此之外,騰訊安全雲鼎實驗室還提出以“騰訊雲資料安全中臺”為中心,打造端到端的雲資料全生命週期安全體系,將密碼運算、密碼技術及密碼產品以服務化、元件化的方式輸出,並無縫整合至騰訊雲產品中,實現從資料獲取、事務處理及檢索、資料分析與服務,資料訪問與消費過程中的安全防護,展開了一系列以資料加密軟硬體系統(CloudHSM/SEM)、憑據管理系統(SSM)以及雲訪問安全代理(CASB)為例的密碼應用上的最佳實踐


著眼於雲原生背景下日趨變化的資料安全挑戰,綜合運用資料安全管理經驗和資料保護技術,針對性地在資料全生命週期每個階段提供保護,在應用與開發相結合的變化前提下,建立一套全生命週期的防護措施已刻不容緩。因此,企業自身應該建立一個全面的資料安全治理平臺,順應雲原生時代的變化,以此來統籌業務資料流和資料風險管控,避免資料安全隱患導致不必要的損失。


相關文章