BYOK是否是云計(jì)算安全的關(guān)鍵?

責(zé)任編輯:editor004

作者:litao984lt編譯

2016-05-10 10:35:45

摘自:機(jī)房360

服務(wù)托管的密鑰可以向您的保證,其每位租戶和每個(gè)訂購的密鑰都是管理職責(zé)和審計(jì)職責(zé)分離的,而沒有管理密鑰的頭疼問題。

摘要:“攜帶您自己的密鑰(BYOK)”是如何成為現(xiàn)實(shí)的?您所在的企業(yè)是否正面臨著需要管理和保護(hù)自己的云加密密鑰的負(fù)擔(dān)呢?

正是由于愛德華·斯諾登對(duì)于美國國家安全局的揭露;索尼遭受到全面的黑客入侵;以及正在持續(xù)進(jìn)行的存儲(chǔ)在云中的電子郵件到底是屬于發(fā)件人還是服務(wù)托管機(jī)構(gòu)的法律糾紛,促使越來越多的云服務(wù)遷移到了加密數(shù)據(jù)。有些甚至更進(jìn)一步,提供了帶上您自己的密鑰(BYOK)的選項(xiàng),使得用戶擁有自己的云數(shù)據(jù)的加密密鑰。

去年夏天,谷歌計(jì)算引擎開始為用戶自己的密鑰加密的數(shù)據(jù)和計(jì)算提供預(yù)覽服務(wù),而亞馬遜則同時(shí)為EC2和S3云服務(wù)實(shí)例提供軟鍵管理和價(jià)格更高的(設(shè)置較慢)云硬件安全模塊服務(wù)(Cloud HSM service),用戶的密鑰被存在亞馬遜的云的專用硬件安全模塊。Adobe創(chuàng)意云現(xiàn)在支持用戶管理的數(shù)據(jù)加密密鑰,用來保護(hù)同步到創(chuàng)意云帳戶的內(nèi)容。而微軟的密鑰庫是一個(gè)單一的、經(jīng)審核的、有相應(yīng)版本的安全庫,結(jié)合了Azure活動(dòng)目錄進(jìn)行身份驗(yàn)證。密鑰庫允許用戶存儲(chǔ)密碼、配置細(xì)節(jié)、API密鑰、證書、連接字符串、簽名密鑰、SSL密鑰和Azure權(quán)限管理的加密密鑰、SQL Server TDE、Azure存儲(chǔ)、Azure磁盤加密、用戶自己在Azure上的.NET應(yīng)用程序以及使用EMC的CloudLink安全虛擬機(jī)加密的虛擬機(jī)。在密鑰庫的密鑰要么可以作為軟鍵存儲(chǔ),在一個(gè)HSM中由系統(tǒng)密鑰加密;要么直接從用戶自己的HSM加載到微軟HSM(在一個(gè)選定的地理區(qū)域),所以您可以在您企業(yè)內(nèi)部創(chuàng)建密鑰,并將他們轉(zhuǎn)移到密鑰庫。

Dan Plastina所運(yùn)行的微軟信息保護(hù)組就包括密鑰庫。他指出了以同樣的方式管理不同系統(tǒng)的密鑰的優(yōu)點(diǎn)。“這其中吸引人的地方就在于:如果您企業(yè)有這樣一個(gè)機(jī)制,其適用于Office 365的工作負(fù)載,包括Exchange、SharePoint和OneDrive業(yè)務(wù),那么,同樣的機(jī)制也將適用于業(yè)務(wù)線應(yīng)用程序,其將被用于虛擬機(jī)、將秘密填充到虛擬機(jī)、CRM、SQL Server、HD Insight,您將開始以非常相似的一種范式來管理您的微軟工作負(fù)載,而其培訓(xùn)也是非常相似的。”他說,如果您企業(yè)因?yàn)閾?dān)心失去您的密鑰的危險(xiǎn)而正在考慮BYOK是至關(guān)重要的。

“您正在尋找能夠幫助您實(shí)現(xiàn)環(huán)繞式處理技術(shù)的東西,然后培訓(xùn)您的員工去這么做,因?yàn)槟幌胧ツ拿荑€,然后再失去了您的數(shù)據(jù)。”Plastina說。當(dāng)您使用HSM支持的鍵時(shí),就像在Azure密鑰庫的云HSM或BYOK一樣,密鑰從您的HSM直接上傳,而云服務(wù)從來也看不到密鑰。這意味著他們無法把您的密鑰交給一個(gè)攻擊者或一個(gè)政府的調(diào)查機(jī)構(gòu)。但這同時(shí)也意味著他們無法將密鑰交還給您。

“如果您失去了您的密鑰,所有被該密鑰加密的數(shù)據(jù)便永遠(yuǎn)消失一去不復(fù)返了。”Plastina說。“當(dāng)密鑰是從他們的基礎(chǔ)設(shè)施轉(zhuǎn)移到我們的HSM時(shí),是以我們看不見方式完成的,因此如果某位客戶回來告訴我們說,他們的辦公建筑焚毀了,HSM也沒有了,那么,這就意味著所有的密鑰也都丟失了,一切都結(jié)束了。俗話說,能力越大責(zé)任越大。人們?nèi)绻胍獏⑴c進(jìn)來,就需要執(zhí)行相應(yīng)的任務(wù)。”

服務(wù)托管的密鑰可以向您的保證,其每位租戶和每個(gè)訂購的密鑰都是管理職責(zé)和審計(jì)職責(zé)分離的,而沒有管理密鑰的頭疼問題。“但是,借助BYOK,我們要求客戶以重要的方式參與進(jìn)來。” Plastina說。“這意味著設(shè)置密鑰庫并管理庫;在某些情況下,需要HSM支持的密鑰,以便他們能夠在企業(yè)內(nèi)部采購一款HSM,他們必須運(yùn)行他們自己法定人數(shù)的管理員的智能卡和PIN碼,并且必須在正確的地方保存智能卡。這肯定增加了他們的負(fù)擔(dān)。”

如果您企業(yè)正在考慮采用攜帶自己的密鑰的政策是否適合您企業(yè)的業(yè)務(wù)的話——這也意味著確保您自己的密鑰安全,您需要考慮的第一個(gè)問題便是您企業(yè)是否準(zhǔn)備好成為一家銀行。因?yàn)槟髽I(yè)將不得不采用同樣的嚴(yán)格要求來運(yùn)行您的關(guān)鍵基礎(chǔ)設(shè)施,甚至包括考慮您企業(yè)辦公人員的旅行計(jì)劃。如果您企業(yè)有三名授權(quán)的人員能夠使用智能卡訪問您企業(yè)的密鑰,您肯定不會(huì)想讓他們?nèi)欢纪瑫r(shí)出現(xiàn)。

保護(hù)密鑰的負(fù)擔(dān)意味著盡管一些微軟的客戶,特別是在汽車制造行業(yè)的用戶選擇了采用BYOK政策,“有人說我們相信微軟將做的是正確的事情,”Plastina說。“他們都以’我想要擁有控制權(quán)’作為他們的開場白,但當(dāng)他們看到需要承擔(dān)的相應(yīng)責(zé)任,并了解了微軟承擔(dān)了相當(dāng)多的責(zé)任時(shí),他們會(huì)說’您為什么不做’。他們不想成為一個(gè)鏈條上較弱的一環(huán)。”

甚至一些紐約的金融機(jī)構(gòu),最初也曾想采用BYOK來幫助他們管理企業(yè)內(nèi)部的HSM,而當(dāng)他們考慮到哪些可能出問題的領(lǐng)域時(shí),他們開始堅(jiān)決反對(duì)了,Rich表示說。“一款HSM可能已經(jīng)關(guān)閉,會(huì)漏出大量的用戶基本信息。他們很快想到,這可能是一個(gè)潛在的巨大的拒絕服務(wù)攻擊,由公司內(nèi)部的惡意攻擊者執(zhí)行。這些都是我們最先進(jìn)的高度敏感的顧客,這不僅是一個(gè)巨大的責(zé)任,同時(shí)也潛在的具有破壞的威脅,無論是意外的或是惡意的。”

一些企業(yè)認(rèn)為他們需要BYOK以遵守法律要求的密鑰在他們的監(jiān)督下的規(guī)定。在不同的司法管轄區(qū)有一系列實(shí)際意義的解釋;“我們相信我們滿足了這些法律的精神和目的。”Plastina表示說。一項(xiàng)類似于密鑰庫的服務(wù)可以使得在特定的地區(qū)保管密鑰更容易,特別是規(guī)對(duì)于那些規(guī)模較小的、在他們所開展業(yè)務(wù)的所有地區(qū)沒有相應(yīng)物理基礎(chǔ)設(shè)施的企業(yè)。

然而,仍有一些企業(yè)想擁有攜帶自己的密鑰的選擇——或者甚至將密鑰托管在一款他們運(yùn)營的HSM中。在許多方面,托管自己的密鑰違背了許多公司采用云服務(wù)的初衷,因?yàn)樵品?wù)的速度,簡單性和節(jié)省成本的特點(diǎn),使得企業(yè)不再運(yùn)行自己的基礎(chǔ)設(shè)施以提供這些服務(wù)。如果您企業(yè)想保持可接受的性能和服務(wù)水平,您將需要大量的基礎(chǔ)設(shè)施。“那些客戶將需要運(yùn)行高可用性容錯(cuò)的數(shù)據(jù)中心分布式服務(wù)到問題密鑰。”Plastina警告說。如果不是今天微軟所提供的服務(wù),那么這些行業(yè)的企業(yè)要做到像銀行一樣是相當(dāng)重要的,因?yàn)檫@些銀行企業(yè)已經(jīng)有了流程和安全的密鑰方面的專業(yè)知識(shí),以及審查員工方面的經(jīng)驗(yàn)

BYOK和Office 365

企業(yè)用戶不必?cái)y帶和管理自己的密鑰,以便獲得更多的控制和透明度,微軟Office 365團(tuán)隊(duì)的Paul Rich表示說。BYOK并不是解決企業(yè)用戶失去對(duì)加密的控制權(quán)與通過在將數(shù)據(jù)遷移到云服務(wù)之前對(duì)其進(jìn)行加密而失去云服務(wù)的大多數(shù)好處之間緊張關(guān)系的唯一方式。

“如果您在將相關(guān)的數(shù)據(jù)遷移到云服務(wù)之前對(duì)數(shù)據(jù)進(jìn)行了加密,那么這些數(shù)據(jù)就不能被推理,而簡單的表格,以及諸如垃圾郵件和病毒檢測之類的任務(wù)也是不可能完成的,而更高級(jí)別的功能,如符合法律監(jiān)管和深入的文檔發(fā)現(xiàn)等等功能都將需要獲得上傳這些內(nèi)容的人員的授權(quán)。企業(yè)CIO們明白,當(dāng)他們來到云服務(wù)時(shí),他們希望具備這些功能。他們所問的問題是“我們?cè)鯓硬拍茏屇軌蛲ㄟ^利用機(jī)器做到這一點(diǎn),同時(shí)又不讓您的人員看到我們的數(shù)據(jù)呢?”

另一種選擇是采用新的Office Lockbox。“這一服務(wù)理念是:提供云服務(wù)的人沒有權(quán)限訪問您的內(nèi)容。您可以確保微軟不會(huì)有人訪問您所存儲(chǔ)的內(nèi)容。如果有我們需要訪問的一個(gè)支持的理由,我們會(huì)請(qǐng)求獲得訪問許可,并直到我們得到該許可,人為運(yùn)行的服務(wù)無法訪問這些內(nèi)容。”客戶將獲得透明度和能見度,Rich說;他們可以看到有哪些訪問請(qǐng)求,并能夠控制那些業(yè)務(wù)訪問請(qǐng)求可以被批準(zhǔn),并獲得相關(guān)的活動(dòng)日志,了解當(dāng)訪問發(fā)生時(shí),哪些內(nèi)容被訪問了。

而如果您想知道有哪些因素可以防止微軟隨意宣稱他們并沒有訪問這些內(nèi)容,或者監(jiān)督管理員是否執(zhí)行了遠(yuǎn)遠(yuǎn)超出了日志顯示的操作的話,Rich列舉了微軟所負(fù)責(zé)運(yùn)行的政府安全計(jì)劃,在該計(jì)劃中,微軟負(fù)責(zé)提供對(duì)于微軟源代碼的訪問控制,而這些代碼最近剛剛被北約組織進(jìn)行了更新。“我們與我們的客戶達(dá)成協(xié)議,我們托管負(fù)責(zé)Lockbox的代碼,并使其成為一個(gè)程序的一部分,允許第三方代碼審查,以顯示其沒有側(cè)門或后門。”

提供Lockbox意味著重寫Office服務(wù),以便能夠刪除來自企業(yè)內(nèi)部部署的服務(wù)器軟件的默認(rèn)設(shè)置,因?yàn)楣芾韱T總是對(duì)于這些數(shù)據(jù)有訪問權(quán)限。這在Exchange中已經(jīng)實(shí)現(xiàn)了,而Lockbox中的選擇現(xiàn)也已經(jīng)有了;其將在2016年第一季度成為SharePoint的一項(xiàng)功能選項(xiàng)。

Office 365也將從依靠BitLocker轉(zhuǎn)為對(duì)工作負(fù)載運(yùn)行在其之上的服務(wù)器的加密,當(dāng)工作負(fù)載運(yùn)行時(shí)不會(huì)提供保護(hù),而是轉(zhuǎn)為對(duì)應(yīng)用程序?qū)舆M(jìn)行加密。這一功能已經(jīng)在SharePoint中完成,而對(duì)于在Exchange實(shí)現(xiàn)這一功能也已經(jīng)于2015年底準(zhǔn)備就緒了,企業(yè)版Skype的業(yè)務(wù)則被排在此之后。“這將把數(shù)據(jù)管理員與服務(wù)管理員獨(dú)立開來。”他聲稱。其也將是BYOK的。”我們將在應(yīng)用程序?qū)又惺褂妹荑€包裝,以通過用戶所擁有的Azure密鑰庫保護(hù)郵箱的內(nèi)容。”

“當(dāng)服務(wù)完全釋放時(shí),我們的計(jì)劃是為客戶提供少量的密鑰,也許10或20個(gè),方便用戶用來與您的客戶通過Exchange、SharePoint和企業(yè)版Skype進(jìn)行交流。大多數(shù)客戶表示說他們不需要太多的密鑰,例如在美國和歐洲企業(yè)一般位三個(gè)密鑰,而在亞太地區(qū),他們會(huì)將密鑰存儲(chǔ)在密鑰庫。

這些密鑰將需要保護(hù),但不會(huì)使得Office 365的運(yùn)行更復(fù)雜,他預(yù)測說。“您企業(yè)只需要做最少量的管理工作,偶爾調(diào)整一下密鑰。”Rich表示說。“您使用這些密鑰的方法是作為整個(gè)服務(wù)的策略。在正常操作中,我們沒有權(quán)限訪問您的內(nèi)容;如果一個(gè)人需要訪問,那么Office Lockbox便會(huì)記錄,這樣用戶就能夠知道誰在何時(shí)進(jìn)行了訪問。而一旦您離開辦公大樓時(shí),在密鑰庫中的密鑰會(huì)把所有的燈關(guān)掉。”

保護(hù)您的密鑰

根據(jù)去年的一項(xiàng)調(diào)查顯示,只有很少的企業(yè)加強(qiáng)了對(duì)于他們已經(jīng)負(fù)責(zé)的密鑰的安全保護(hù),BYOK和HYOK將超出了許多企業(yè)的范圍。據(jù)Ponemon Institute的調(diào)查發(fā)現(xiàn),大約有一半的企業(yè)對(duì)于其自己的SSH密鑰和許多非旋轉(zhuǎn)操作器(Rotate Key)沒有集中控制,這使得它們更容易受到攻擊。失去云加密密鑰會(huì)更麻煩,因?yàn)槟赡軙?huì)因此而永遠(yuǎn)失去數(shù)據(jù)。

記住,BYOK并不是您企業(yè)所需要承擔(dān)的唯一與密鑰管理相關(guān)的安全責(zé)任。Windows 10包括了新設(shè)備的保護(hù)選項(xiàng)以限制PC機(jī)只能運(yùn)行那些要么來自于Windows商店或已經(jīng)由ISV或由企業(yè)自己簽署的使用微軟認(rèn)證密鑰鏈的應(yīng)用程序。ISV和微軟可以簽署任何企業(yè)能運(yùn)行的應(yīng)用程序;但這些企業(yè)組織已經(jīng)經(jīng)歷了保護(hù)高價(jià)值的密鑰的過程。

簽名密鑰的企業(yè)得到的是更多的限制,生產(chǎn)的簽名應(yīng)用程序只能運(yùn)行在自己的領(lǐng)域。但這仍然意味著違背了您的簽名密鑰的攻擊者可以產(chǎn)生惡意軟件,以攻擊您的最安全的設(shè)備。

如果您正在使用設(shè)備保護(hù)配置代碼以完整您的電腦,微軟的Chris Hallum指出,“確保這些訪問的人員是值得信賴的人進(jìn)行的是非常重要的,您企業(yè)可以使用雙因素身份驗(yàn)證,以確保只有有限數(shù)量的、您信任的資深人員在您的企業(yè)組織才有訪問權(quán)限。”

在2007年,黑客偷了諾基亞用于其塞班操作系統(tǒng)應(yīng)用程序的數(shù)字簽名的密鑰,并勒索該公司交出數(shù)百萬歐元。

如果您企業(yè)沒有準(zhǔn)備好處理從突發(fā)火災(zāi)事故到黑客勒索的這一系列或?qū)撛诘膶?duì)您企業(yè)的信息基礎(chǔ)設(shè)施和公司的數(shù)據(jù)造成拒絕服務(wù)攻擊的狀況的話,您企業(yè)可能不會(huì)準(zhǔn)備采用攜帶自己的密鑰的策略。最近,在Visual Studio 2015的創(chuàng)建的GitHub的插件bug,意味著開發(fā)者在他們的代碼中嵌入AWS憑據(jù)上傳到一個(gè)私人庫,卻發(fā)現(xiàn),黑客們利用這些密鑰運(yùn)行了價(jià)值數(shù)千美元的AWS實(shí)例。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)