• 老秦夜譯

　　CTI論壇（ctiforum.com）（編譯/老秦）：在關(guān)于接受和遷移到云計(jì)算中去的安全性問(wèn)題已被充分地研究、記錄和報(bào)道。在2014年的“云計(jì)算的未來(lái)”調(diào)查中，49%的受訪者認(rèn)為安全性是云應(yīng)用的發(fā)展抑制因素。而且，緊隨安全性之后的云應(yīng)用發(fā)展抑制因素是隱私和法規(guī)遵從，超過(guò)30%的受訪者是這樣認(rèn)為的。

　　然而，云計(jì)算是一個(gè)不可或缺的戰(zhàn)略創(chuàng)新的新業(yè)務(wù)，它極具競(jìng)爭(zhēng)力優(yōu)勢(shì)。與抑制因素相反的云應(yīng)用的驅(qū)動(dòng)力包括靈活性、成本效益、可擴(kuò)展性和資本支出轉(zhuǎn)變?yōu)檫\(yùn)營(yíng)支出的模式。高盛報(bào)告稱，這些將工作負(fù)載遷移到云中的27%用戶是出于這樣的動(dòng)機(jī)才這樣做的，因?yàn)檫@將幫助他們降低資本支出。

　　因此，IT領(lǐng)袖們留下了一個(gè)難題：要么從相關(guān)安全性、隱私和法規(guī)遵從方面考慮而回避云計(jì)算，要么接受云計(jì)算是下一個(gè)前沿領(lǐng)域，并在未來(lái)采用云應(yīng)用的時(shí)候采取適當(dāng)?shù)念A(yù)防措施。

　　以下是云安全方面的注意事項(xiàng)，供考慮。

　　為了加強(qiáng)云計(jì)算的安全性，隱私保護(hù)和法規(guī)遵從，最佳實(shí)踐包括對(duì)基礎(chǔ)設(shè)施采取保護(hù)措施（防火墻等）、員工培訓(xùn)和加密數(shù)據(jù)。云加密保護(hù)敏感數(shù)據(jù)是以防系統(tǒng)漏洞。用適當(dāng)?shù)募用�，即使云被破壞時(shí)，數(shù)據(jù)也是不可讀和無(wú)法使用的。

　　除非，當(dāng)然，黑客可以利用他們所掌握的鑰匙從而得到加密密鑰，這樣就可以很容易地訪問(wèn)那些即使加了密的數(shù)據(jù)。

　　為了保持領(lǐng)先黑客一步，是要像一個(gè)黑客那樣思考。黑客是如何拿到你的加密密鑰的呢？

　　黑客的安全漏洞表：

　　1、與數(shù)據(jù)一起存儲(chǔ)的密鑰：當(dāng)密鑰在云中與要保護(hù)的加密數(shù)據(jù)一起存儲(chǔ)的話，訪問(wèn)他們是很容易的。這種與訪問(wèn)數(shù)據(jù)具有相同安全級(jí)別的漏洞可以被用來(lái)獲取密鑰。一旦黑客有兩個(gè)加密的數(shù)據(jù)和加密密鑰時(shí)，他可以很容易地解密數(shù)據(jù)，并按他的意愿使用或出售它。

　　2、由云運(yùn)營(yíng)商管理的密鑰：在這種加密密鑰是由云服務(wù)提供商管理的情況下，風(fēng)險(xiǎn)是不同的。

　　目前云服務(wù)提供商被法律要求交出加密密鑰已經(jīng)是非常公開(kāi)的和嚴(yán)肅的。顯然，如果他們有的話，也只能這樣做。

　　在合規(guī)的最佳實(shí)踐方面，由云服務(wù)提供商管理的密鑰意味著 - 在一天結(jié)束的時(shí)候 - 云提供商擁有你的數(shù)據(jù)，而不是你！

　　還有各種“內(nèi)部攻擊”的擔(dān)憂 - 想一想斯諾登變成一個(gè)云供應(yīng)商的員工。

　　最近一個(gè)風(fēng)險(xiǎn)要強(qiáng)調(diào)一下，亞馬遜（值得稱贊）推出了一個(gè)安全補(bǔ)丁，安裝在他們大部分的XEN基礎(chǔ)設(shè)備上以防止一個(gè)風(fēng)險(xiǎn) - 這個(gè)風(fēng)險(xiǎn)是云服務(wù)提供商的“零日”漏洞，它會(huì)影響所有的云客戶。這樣的質(zhì)量漏洞對(duì)黑客是非常有吸引力的，如果他們發(fā)現(xiàn)了它。

　　3、硬件安全模塊：雖然一些公司選擇基于硬件的解決方案，如硬件安全模塊來(lái)管理自己的加密密鑰，這些解決方案都不是理想的云計(jì)算方案。作為一家重視經(jīng)濟(jì)性和云計(jì)算的可擴(kuò)展性的公司，使用硬件來(lái)解決安全問(wèn)題是與出發(fā)點(diǎn)相悖的。何況在云計(jì)算場(chǎng)景中的硬件安全模塊還有自身的一些安全問(wèn)題。一旦加密密鑰離開(kāi)安全硬件（加密在云中的對(duì)象）時(shí)，它的安全性不再由硬件安全模塊決定。在云中的安全密鑰緩存變得必不可少，以避免可能來(lái)自黑客的攻擊。

　　4、虛擬密鑰管理者：硬件安全模塊的虛擬版本實(shí)際上可能是一個(gè)攻擊點(diǎn)，因?yàn)樗麄儼涯愕募用苊荑�放在云中你的數(shù)據(jù)旁邊。此外，這些虛擬的密鑰管理解決方案是兼容的和僅被他們提供的硬件產(chǎn)品所認(rèn)證 - 虛擬部分是不兼容的和不太安全的。

　　在云中實(shí)現(xiàn)合規(guī)性、保密性和安全性

　　黑客有滲透安全邊界的方法。它們可以很容易地訪問(wèn)存儲(chǔ)在云中的加密密鑰，并使用它們對(duì)敏感數(shù)據(jù)進(jìn)行解密。這暴露了貴公司的違規(guī)行為，不良公關(guān)和金融以及官僚責(zé)任。黑客還可以侵入云供應(yīng)商（或他們的目標(biāo)公司）的員工，這些員工可以訪問(wèn)存儲(chǔ)在其中的加密密鑰。今年早些時(shí)候，可口可樂(lè)被爆出數(shù)據(jù)泄露，其中一名前員工竊取了存儲(chǔ)了本地員工信息的幾個(gè)公司的筆記本電腦，竊取了諸如社會(huì)保障和駕駛證號(hào)碼等信息。

　　一些公司通過(guò)拆分其加密密鑰為兩部分來(lái)實(shí)現(xiàn)最高級(jí)別的安全防范措施：任何時(shí)候每一部分都分別被存儲(chǔ)。由于需要這兩部分來(lái)解密數(shù)據(jù)，所以破解這些公司幾乎是一個(gè)不可能完成的任務(wù)。此外，他們往往也能通過(guò)同態(tài)密鑰管理保護(hù)他們的鑰匙，在它使用的同時(shí)對(duì)其進(jìn)行加密。由于這個(gè)原因，它們的密鑰是不可接近的，是無(wú)法訪問(wèn)的 - 黑客不能得到他們，不論是在使用的時(shí)候還是在存儲(chǔ)的時(shí)候。當(dāng)整個(gè)使用這些預(yù)防措施的時(shí)候，就是按照目標(biāo)遷移到云中的最好的時(shí)機(jī)。

　　要在云中真正達(dá)到要求的合規(guī)性、私密性和安全性，底線是所有的數(shù)據(jù)必須正確加密，加密密鑰永遠(yuǎn)不能信任任何人。通過(guò)擁有鑰匙，你才擁有自己的數(shù)據(jù)。在云中，保持加密密鑰的所有權(quán)獲益的最佳做法是通過(guò)軟件定義的創(chuàng)新，如分割密鑰加密和同態(tài)密鑰管理。

　　聲明：版權(quán)所有 非合作媒體謝絕轉(zhuǎn)載