深入探討云計(jì)算安全的拯救者:加密
現(xiàn)在開(kāi)始覺(jué)得對(duì)于云安全的恐懼有點(diǎn)被夸大其詞了。原因?因?yàn)橐粋€(gè)保護(hù)數(shù)據(jù)、應(yīng)用程序和連接的智能框架已經(jīng)在那里了。它叫做“加密”?,F(xiàn)在正在發(fā)展中,并且已接近完善的是一套大家都同意的實(shí)施方式和最佳的實(shí)踐操作。
通過(guò)這篇文章,我們來(lái)談?wù)?FONT color=#0b3b8c>趨勢(shì)科技(Trend Micro)和 IBM 所進(jìn)行的一些相關(guān)并且很有趣的工作。
對(duì)于趨勢(shì)科技和 IBM,我們看到的除了行業(yè)領(lǐng)導(dǎo)者身份之外,還可以添加這樣一條評(píng)論:大多數(shù)的安全產(chǎn)品銷(xiāo)售商和云服務(wù)提供商自身也正在研究云計(jì)算安全這個(gè)問(wèn)題。妨礙書(shū)寫(xiě)有關(guān)云安全的一個(gè)路障是人們傾向于選擇閉嘴不談這個(gè)話(huà)題,因?yàn)榘踩珕?wèn)題是一個(gè)事關(guān)重大。正如一句老話(huà)所言:“如果我給告訴你了,那我不得不干掉你。”
此外,存在著各種各樣截然不同的活動(dòng),很難對(duì)于安全問(wèn)題的方向有一個(gè)整體的把握。因此,我試圖將所有相關(guān)話(huà)題塞進(jìn)這個(gè)“加密”口袋里的舉動(dòng)是一個(gè)總結(jié)的嘗試,并對(duì)這些活動(dòng)連接點(diǎn)所在進(jìn)行歸納,試圖找出一些含義。
當(dāng)我希望將所有復(fù)雜全面的文章綜合在一起的過(guò)程中,我發(fā)現(xiàn)所能做的是提供一些不完全的零碎片段。于是,我在下面列出非常有趣的三點(diǎn),盡管它們之間沒(méi)有什么緊密的相關(guān)性。
1. 加密已經(jīng)被使用了
首先,從讀者那里獲得了一個(gè)提醒,是有關(guān)他使用加密來(lái)保護(hù)云連接的信息。
“從 2006 年年初我就開(kāi)始使用 Amazon Web 服務(wù),我只能從我的這些經(jīng)驗(yàn)談起,但所有工具都在那兒,只有他們被使用了。例如,你可以使用輪換密鑰(rotating key),我最喜歡私人 VPN 的。如果你已經(jīng)擁有了一個(gè)運(yùn)行良好的安全架構(gòu),你現(xiàn)在可以從現(xiàn)有系統(tǒng)內(nèi)部使用私人 VPN 來(lái)擴(kuò)展暈資源,而無(wú)需將你的系統(tǒng)向往開(kāi)放。在 80 年代早期,當(dāng)我們通過(guò) SNA 網(wǎng)關(guān)將那些煩人的 LAN 連接到可進(jìn)行事務(wù)處理的主機(jī)系統(tǒng)上時(shí),我們遇到了很多相同的問(wèn)題?!?/P>
2. 人們正在研究改良的云加密技術(shù)
我在趨勢(shì)科技的朋友曾暗示他們正在進(jìn)行一些功能性的工作,在未來(lái)某個(gè)尚未確定的日期(我想澄清一點(diǎn)他們還沒(méi)有談到要投入生產(chǎn)),他們將為提供公共云計(jì)算提供加密方案。這些工作室基于 Identum Ltd. 公司的技術(shù),一家在布里斯托大學(xué)(Bristol University)孵化出來(lái)的一家英國(guó)公司,2008 年被趨勢(shì)科技收購(gòu)。Identum 公司的技術(shù)構(gòu)成了趨勢(shì)科技當(dāng)前電子郵件加密解決方案的基礎(chǔ)。
Indentum 公司的加密技術(shù)專(zhuān)家們現(xiàn)在正在參與這個(gè)有關(guān)云計(jì)算的研究。這個(gè)基本而又非常強(qiáng)大的理念是為每一個(gè)虛擬計(jì)算實(shí)例提供加密代理。這樣,每個(gè)虛擬機(jī)(VM)都將具有自身的駐留管理器,以確保加密安全資源的正確應(yīng)用。
本質(zhì)上來(lái)講,通過(guò)這種方式,你獲得的最大好處是在每一處的安全策略的自動(dòng)化應(yīng)用。因此,你將擁有內(nèi)置于進(jìn)程內(nèi)部的加密密鑰管理,并且不必再擔(dān)心你的計(jì)算資源中未受保護(hù)的虛擬機(jī)實(shí)例。
3. 誘人的第三點(diǎn)
對(duì)于第三點(diǎn),我實(shí)在想不出合適的標(biāo)題,只有用它了。從有關(guān)趨勢(shì)科技的第二代過(guò)度到有關(guān) IBM 的本小節(jié),我應(yīng)說(shuō)明一點(diǎn),加密密鑰管理并不是瑣碎的小事情。你可以想象一下,所有云安全都依賴(lài)于能夠生成和分發(fā)這些密鑰,同時(shí)保證它們不落入壞人之手。黑客們不是能夠破解你的密鑰,入侵你的安全體系,他們所做的是偷取這些密鑰。
這是這點(diǎn)引發(fā) IBM 對(duì)于同態(tài)加密的研究。請(qǐng)參閱這篇新聞稿:IBM 研究人員解決了長(zhǎng)期懸而未決的密碼學(xué)難題。這是一個(gè)非常難懂的話(huà)題,我盡可能對(duì)其進(jìn)行還原,IBM 的突破是它使得用戶(hù)可以在云的每個(gè)地方發(fā)送加密數(shù)據(jù),可以用任何你想要的方式對(duì)其進(jìn)行操作,并且最后你仍能夠?qū)ζ溥M(jìn)行解密。
目前,對(duì)加密數(shù)據(jù)所能夠執(zhí)行的操作還存在著嚴(yán)格的限制,因?yàn)槟承┎僮骺赡軐?shù)據(jù)搞得一團(tuán)糟,從而無(wú)法再進(jìn)行解密。
為什么這是一個(gè)問(wèn)題?因?yàn)槟阆胍M可能長(zhǎng)的對(duì)加密數(shù)據(jù)進(jìn)行處理,同時(shí)不必將其還原為簡(jiǎn)單的可見(jiàn)格式。那樣你就無(wú)需在密鑰上花費(fèi)時(shí)間,或者,更為有害的是,將這些密鑰提供給那些你無(wú)法確認(rèn)是否可信的人。
有關(guān) IBM 的那項(xiàng)研究的問(wèn)題是并不能確認(rèn)他們已經(jīng)解決了這個(gè)問(wèn)題。長(zhǎng)久以來(lái)的權(quán)威人士 Bruce Schneier 指出,他們的工作在理論上令人印象深刻,但完全不切實(shí)際。
無(wú)論如何,IBM 找到了推動(dòng)這個(gè)事情前進(jìn)的支點(diǎn)。
最后,推薦一篇很好的文章,George Reese 的《Amazon 云安全的 20 條規(guī)則》。他這篇文章的基本要點(diǎn)是“對(duì)所有東西進(jìn)行加密”并僅在你所用的簡(jiǎn)單實(shí)例的表層使用解密密鑰。
物聯(lián)網(wǎng)相關(guān)文章:物聯(lián)網(wǎng)是什么
評(píng)論