我們并不確定公有云是否適合我們,因?yàn)槲覀儗?duì)數(shù)據(jù)的隱私有的高標(biāo)準(zhǔn)的要求。AWS如何加密數(shù)據(jù)?它提供了哪些關(guān)鍵的管理選項(xiàng)?
AWS在其S3服務(wù)中提供了256位高級(jí)加密標(biāo)準(zhǔn),但是AWS其它的產(chǎn)品也支持加密。在AWS中使用加密時(shí),要注意區(qū)分?jǐn)?shù)據(jù)是忙還是閑的狀態(tài)。
運(yùn)行加密用于在轉(zhuǎn)換過(guò)程中保護(hù)數(shù)據(jù),如當(dāng)管理員上傳數(shù)據(jù)到亞馬遜S3、查詢亞馬遜RDS數(shù)據(jù)庫(kù),或在Elastic MapReduce集群節(jié)點(diǎn)之間共享數(shù)據(jù)時(shí)。在S3中,政策控制是一種加密;在RDS中是配置控制加密。例如,S3保護(hù)政策可以通過(guò)非加密渠道重用連接。用戶可以配置RDS實(shí)例來(lái)使用加密,然后DB實(shí)例存儲(chǔ)、備份、閱讀副本和快照都加密。
數(shù)據(jù)存儲(chǔ)在S3中,關(guān)系型數(shù)據(jù)庫(kù)或其它長(zhǎng)期數(shù)據(jù)存儲(chǔ)應(yīng)該經(jīng)驗(yàn)做加密。以加密的形式存儲(chǔ)的數(shù)據(jù),就是空閑加密的數(shù)據(jù)。云用戶有兩個(gè)選項(xiàng)進(jìn)行空閑加密:客戶端數(shù)據(jù)加密或服務(wù)器端數(shù)據(jù)加密。在AWS中使用客戶端加密,管理員對(duì)數(shù)據(jù)加要優(yōu)先于發(fā)送,也不用手動(dòng)加密。管理員管理加密密鑰,同時(shí)他也是唯一一個(gè)可以解密數(shù)據(jù)的人。在AWS的亞DynamoDB中,用戶可以訪問(wèn)Java庫(kù)進(jìn)行客戶端加密;開發(fā)人員也可以使用他們自己的加密庫(kù)。
使用服務(wù)器端加密,用戶傳輸非加密數(shù)據(jù)到AWS上,在上傳到服務(wù)端過(guò)程圳進(jìn)行加密。AWS為服務(wù)器端加密管理密鑰,減少了用戶的負(fù)擔(dān),但這意味著AWS擁有訪問(wèn)你的加密數(shù)據(jù)的密鑰。
企業(yè)應(yīng)該考慮AWS CloudHSM,如果他們需要在AWS中進(jìn)行服務(wù)器端加密,以及通過(guò)密鑰進(jìn)行控制的話。CloudHSM使用硬件加密模塊來(lái)管理密鑰,但是加密硬件由用戶控制,而非AWS。