掌握AWS密鑰管理服務KMS增強云安全方法

責任編輯:editor007

2015-03-25 08:37:00

摘自:IT之家

AWS的密鑰管理服務是個很好的云加密密鑰管理工具。這篇技巧文將仔細檢視在云端方面越來越重要的加密密鑰管理,尤其是AWS KMS。AWS的主要服務如S3、EBS和Redshift現(xiàn)在可以使用由AWS KMS控制的密鑰來加密離線數(shù)據(jù)。

AWS的密鑰管理服務是個很好的云加密密鑰管理工具。專家Dave Shackleford帶你檢視AWS KMS的細節(jié)及其對企業(yè)的益處。

亞馬遜Web服務(AWS)最近發(fā)布了嶄新的加密管理平臺,AWS密鑰管理服務(KMS)。AWS KMS允許用戶在幾個AWS最熱門的功能中加密數(shù)據(jù)和管理加密密鑰。

這篇技巧文將仔細檢視在云端方面越來越重要的加密密鑰管理,尤其是AWS KMS。它的原理是什么,以及這個新的云服務所帶來的好處及缺點。

AWS密鑰管理服務KMS增強云安全方法

云端加密密鑰管理

密鑰管理的重要性不容忽視。對很多組織來說,適當?shù)脑谠浦屑用軘?shù)據(jù),安全的創(chuàng)建并保留加密密鑰,還有在理論上,防止任何云供應商的管理人員訪問這些密鑰等需求,在任何的云計算環(huán)境里,尤其是基礎(chǔ)架構(gòu)即服務(IaaS)領(lǐng)域方面,都是一些最搶手最重要的安全機制。理論上,所有的密鑰都應該在服務實例化時產(chǎn)生,然后從云中移除并由用戶管理。很不幸,大部分云環(huán)境并沒有完全支持客戶端的密鑰管理,而云中服務器端的密鑰管理也不允許用戶完全擁有及控制,雖然這通常是一個很基本的遵守規(guī)范。

AWS KMS的使用

Amazon在2013年發(fā)布了他們的CloudHSM服務,目的是允許客戶在虛擬私有云(VPC)環(huán)境中使用一個用于密鑰管理的專屬硬件存儲裝置,但這個服務并沒有與所有的AWS服務完全整合,并且需要很大量的手動配置及操作才能正常運行。

隨著KMS的發(fā)布,Amazon很明顯在加密密鑰管理上下了重注。他們在CloudHSM服務上增加了更細致并強大的密鑰創(chuàng)建,循環(huán),及整合工具和功能,可用于現(xiàn)今使用的大部分AWS主要服務。當中的硬件模塊符合業(yè)界標準所要求的,絕不將全部密鑰存在硬盤或內(nèi)存,以及任何一個客戶HSM的訪問需要多層的審查和批準。這允許顧客將密鑰存在AWS云中,使得來自其他服務和系統(tǒng)的訪問變得容易許多。

AWS的主要服務如S3、EBS和Redshift現(xiàn)在可以使用由AWS KMS控制的密鑰來加密離線數(shù)據(jù)。顧客們可以在每個服務中使用主密鑰,也就是當一個用戶開始使用服務時生成的默認密鑰,或者顧客們也可以按需使用AWS KMS來創(chuàng)建并管理新的密鑰。用戶也可以替每個Amazon里單獨的服務,應用種類或數(shù)據(jù)分類層分別定義密鑰。

KMS好處

要開始使用AWS KMS時,管理員要先訪問Amazon AWS控制臺里,“IAM”服務類別下的“加密密鑰”部分。新的密鑰管理配置文件及政策也可以在此處定義,這也同Amazon的IAM規(guī)則的標準模型相符合,并與所有標準AWS應用程序界面(API)整合。事實上,這是KMS所帶來的其中一個最立竿見影的優(yōu)點之一,同所有AWS服務API的完全集成。此外,還提供新的密鑰管理API,可以很容易的為開發(fā)人員和運營團隊在密鑰管理和密鑰訪問,使用和生命周期管理的整合上提供更實用的體驗。

另一個能夠讓團隊們覺得欣賞的KMS安全要素是,在所有有關(guān)于AWS CloudTrail里服務的活動都有完全的記錄。安全團隊可以分析KMS記錄來找出特定的密鑰在何時及如何被使用,以及哪些服務和用戶訪問并使用了這些密鑰。

以每月每個密鑰版本1美金的價格,這個新服務很可能是現(xiàn)今云計算中最能承受的密鑰管理產(chǎn)品。API請求也只需要每10000次請求3美分的價格。

結(jié)論

KMS很可能會成為現(xiàn)有AWS顧客覺得馬上可用的一個服務,而安全團隊也會看到使用KMS帶來的立竿見影的好處,因為所有的AWS服務都支持它。這個服務沒有明顯的缺點,現(xiàn)有的客戶在密鑰及加強安全過程方面獲得更多的控制權(quán),而潛在的云服務客戶也許將能夠?qū)嵤┲耙驗榧用芎兔荑€管理需求而不得不放棄的云項目。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號