没有云加密,就没有云计算,因为数据丢失的风险太高——磁盘移位、弱密码、网络窥探或盗窃。让我们回顾一下不同类型的云加密策略、服务和最佳实践,以帮助加强您的安全策略并维护工作应用程序。数据加密方式云密码学通过加密方式对数据进行加密,有对称和非对称两种形式。两者之间的区别是显而易见的。对称加密。在对称加密中,使用相同的密钥来执行加密和解密。任何拥有密钥副本的人都可以解密和加密信息。如果密钥被暴露,它会使数据加密变得无用,从而失去隐私和保护。而且这里还有一个问题,就是如何安全地将密钥交给始作俑者。非对称加密。非对称加密过程涉及两个密钥:公钥和私钥。任何拥有公钥的人都可以轻松安全地发送信息;只有拥有私钥的人才能解密它。如果您只有公钥,这是一种单向函数。由于它不会遇到与对称加密相同的安全问题,团队可以轻松分发公钥。传输中加密意味着在数据通过网络在服务器、用户和基础设施之间移动时对其进行加密。例如,当有人浏览启用了HTTPS的安全网站时,他们会在传输过程中使用加密。HTTPS展示了非对称和对称加密如何协同工作以带来改进。非对称加密的缺点是它会消耗大量的CPU,这意味着Web服务器只能处理较少的会话。要解决此问题,请考虑对初始连接进行非对称加密,然后安全地协商用于该会话的对称密钥。这种方法减少了CPU开销并使攻击者和窥探者远离。广泛使用加密现代环境包含大量敏感信息,因此IT团队应广泛部署加密。而不是问,“我们为什么要加密这个?”你应该问自己,“为什么不呢?”与数据丢失或被盗的成本相比,加密的成本相形见绌。对于最需要保护的数据,用户可以对使用中的数据进行加密。例如,虚拟机应该在运行时加密。这有助于防止从一个VM逃逸的恶意进程读取另一个VM的内存。企业可以使用加密来保护不同场景下的数据。最常用的类型之一是静态加密。几乎所有云计算提供商都对静态磁盘和任何重要媒体进行加密。在高度监管的环境中,未加密磁盘的丢失可能会对企业的声誉和财务造成重大影响。不过,加密设备的丢失远没有那么严重,对舆论的影响应该是微乎其微的。谨慎管理密钥虽然密钥本身相对简单,但密钥管理对于托管环境至关重要。大多数云提供商都提供密钥保管库来存储敏感信息,例如API密钥和证书。云提供商加密产品包括GoogleSecretManager、AzureKeyVault和AWSKeyManagementService。对于加密虚拟机,云计算提供商显然对提供高质量的加密有着浓厚的兴趣。问题是客户不想将他们的加密密钥传递给服务提供商,这是可以理解的。根据系统的不同,提供商可能会管理云加密过程。大多数主要供应商不仅提供加密云存储和数据的能力,还提供加密云环境中的VM的能力。所有这一切的一个基本方面是负责任的密钥所有权和管理。虽然云服务提供商是安全战中的盟友,但您的员工需要保持警惕,以确保加密策略和云加密最佳实践到位。
