雲端計算安全需要將加密金鑰進行控制

得益於規模經濟和易用性，許多組織現在正在迅速採用雲端計算，這比外包所需的基礎設施要容易得多，尤其是在多租戶環境和中端市場企業中。這些組織很難為其基礎設施獲得更多的資金。

但是，安全性是組織採用雲端計算的主要挑戰。這是因為許多組織不僅外包基礎設施，還外包加密金鑰以保護敏感資料和檔案。

那麼，誰有權訪問組織的加密金鑰？這取決於組織的資料在雲中是否安全。除非組織對加密金鑰擁有自己的獨佔控制權，否則它可能面臨風險。不幸的是，情況並非如此，這也是許多組織收到電子郵件並得知資料已被洩露的原因之一。每一個雲端計算服務和軟體作為一個服務提供者都代表著一個巨大的攻擊區域，所以這是一個重要的目標。當組織將一切轉移到雲平臺時，企業如何更好地管理其金鑰？這是一個需要解決的挑戰。

金鑰在哪裡?

雲端計算解決方案最簡單的概念是多租戶——應用程式、資料庫、檔案以及雲平臺中所有其他託管的內容。許多公司認為他們需要多租戶解決方案。這是最簡單的概念，因為很容易理解如何將內部基礎結構視覺化為雲端計算的例項。

因此，儘管它只是剛剛被用於加密，但人工智慧實際上正在變得無處不在。

Cloud KMS(組織擁有金鑰，但它們儲存在雲平臺軟體中)：(Kms)，一種基於軟體的多租戶雲端計算金鑰管理系統，並不特別適合加密金鑰管理。由於多個客戶端共享硬體資源，這些金鑰的保護更不安全-“幽靈”(譜)和“崩潰”(熔燬)漏洞就是證明。

外包KMS（雲端計算服務提供商有金鑰）：雲端計算提供商表明使用者的所有資料和檔案都是安全和加密的。這很好 - 除非提供商或組織向提供商提供的帳戶憑據被駭客入侵。組織的檔案可能是加密的，但如果它們在其中儲存加密金鑰，攻擊者也可以解密訪問其金鑰的所有內容。

雲HSM(組織有金鑰，但儲存在雲平臺硬體中)：這是保護加密金鑰的理想方案，即硬體安全模組(HSM)和可信平臺模組(TPM)。雖然使用基於雲的硬體安全模組(HSM)或受信任的平臺模組(TPM)可以降低某些風險，但事實仍然是，在雲中，即使使用安全加密處理器的應用程式也仍然是多租戶基礎設施的一部分。在攻擊專用硬體加密處理器或執行在多租戶環境中的應用程式之間，從攻擊者的角度來看，應用程式始終是更易受攻擊的目標。

瞭解相關法律

為下一代防火牆提供外圍安全、入侵檢測和其他保障是必要的，並可由雲端計算提供商提供。然而，保護業務敏感資料和檔案的核心要素需要使用基本的"加密金鑰管理方法"進行加密：

加密金鑰必須由單個組織中的多個金鑰管理器獨佔控制。

加密金鑰必須在安全加密硬體安全模組(HSM)或受信任平臺模組(TPM)的控制下受到保護。

使用加密處理器處理敏感資料的應用程式不得在公共多租戶環境中執行。敏感資料不僅在多租戶環境中不受保護，而且對於用於加密處理器的應用程式也不受保護，這可能導致使用安全加密處理器來破壞攻擊中的加密資料。

雲安全

儘管制定相關法律是一件好事，但不幸的是，沒有公共 雲能夠滿足這些基本要求。完全為雲端計算提供商提供安全保護的組織可能面臨風險。

邁向更安全的雲平臺

開發解決方案不難：在雲平臺中儲存組織的敏感資料和檔案，同時在其安全加密處理器的保護下保留對加密金鑰的獨佔控制。

使用此框架，即使網路攻擊者攻擊雲端計算服務提供商的雲平臺，他們也無法訪問任何內容，因為他們只能訪問對其無用的加密資訊。在進行資料保護的同時，雲端計算的優勢仍然可以實現。這使企業能夠展示資料安全法規的合規性，同時充分利用雲平臺、私有云或公共雲。

對於採用雲端計算或遷移到雲平臺的組織來說，糟糕的雲端計算安全性必須始終排在首位。即使雲端計算應用程式使用的資料是加密的，加密金鑰也是真實的。不僅資訊需要安全，而且金鑰也需要保持安全。

鑑於雲端計算環境的現實，中小型組織將透過採用企業級工具和實踐來確保更高的安全性。

任何組織都不應假定雲端計算提供商正在保護他們的資料。相反，情況並非如此。組織需要找到符合密碼金鑰管理規律的解決方案，並在雲中實現更安全的未來。

中安威士：保護核心資料，捍衛網路安全

來源：網路收集