随着越来越多的企业使用公有云和混合云部署,越来越多的敏感数据存储在云服务提供商(CSP)环境中,因此,企业不断并积极寻求更好的方法来保护他们在云端的信息。当然,企业采用的最普遍的控制措施之一是他们习惯的控制措施:加密。在云中加密数据意味着数据有两种状态:传输中和存储中。亚马逊的简单存储服务(S3)是目前最流行的云存储服务之一,它可以集成亚马逊的其他云功能和产品。它还提供了各种加密功能,企业用户可以使用这些功能来保护存储在S3环境中的敏感数据。本文介绍了S3中可用的加密类型,以及如何使用这些功能。此外,我们还将AmazonS3提供的加密方式与其他云厂商的同类产品进行比较,总结出在S3或其他云存储环境中使用加密技术的几个要点。AmazonS3加密概述:如何确保亚马逊云数据安全AmazonS3加密分析对云中的数据进行加密意味着数据有两种状态:传输状态和存储状态。首先,为了在亚马逊环境中加密发送和接收的数据,S3允许用户通过HTTPS协议连接。这是云提供商提供的相当标准的选项,所有云提供商都必须支持基于SSL加密的连接,以保护传输中的敏感数据。保护存储状态的数据是另一个问题;很少有公共云供应商提供加密支持。亚马逊实际上为S3用户提供了两种加密方式来保护存储状态的数据。一种更简单的方法是服务器端加密(SSE),它允许亚马逊在其基础设施内管理加密密钥。SSE使用的高级加密标准(AES)使用256位密钥,这被认为是安全密钥长度。亚马逊用唯一密钥加密每个S3对象,然后用主密钥加密这个唯一密钥,主密钥定期(通常至少每月)更改。针对特定S3对象建立SSE是可选的,它也可以很容易地在单个对象级别建立。有一种“一刀切”的策略,要求对所有发送到S3的数据进行加密。具体示例如下:{"Version":"2013-05-17","Id":"PutObjPolicy","Statement":[{"Sid":"DenyUnEncryptedObjectUploads","Effect":"Deny",“校长”:{“AWS”:“*”},“行动”:“s3:PutObject”,“资源”:“arn:aws:s3:::SensitiveBucket/*”,“条件”:{“StringNotEquals”:{"s3:x-amz-server-side-encryption":"AES256"}}}]}为了成功向这个S3发送任何数据,请求必须包含"x-amz-server-side-encryption"文件头信息。开发可以通过亚马逊的基于REST的API和使用亚马逊的软件开发工具包(SDK)来完成,其中还包括用于相同功能的API。客户还可以通过标准的AmazonWebServices管理控制台委托SSE功能。2013年5月,Amaozn宣布公司的ElasticMapReduce大数据分析服务正式使用S3SSE。加密S3中存储的状态数据的第二个选项是让用户使用亚马逊的客户端加密工具来创建和管理他们自己的密钥。采用这种方法意味着数据在发送到S3之前已加密。可以使用Amazon的JavaSDK部署客户端加密,尤其是S3加密客户端,它使用了一种叫做“信封加密”的方法。客户端创建一次性使用的对称加密密钥来加密数据;然后它用用户自己的密钥加密这个密钥。然后将此加密的“信封密钥”与加密数据一起上传到S3,其中密钥也作为元数据存储。云厂商加密对比我们已经详细介绍了AmazonS3提供的加密功能,但是这些加密功能比其他云存储厂商提供的加密功能好吗?许多云存储供应商坚持遵循相同的加密标准,但它们中的大多数都不具备与AmazonS3加密相同级别的灵活性。例如,Rackspace在其云备份产品中提供服务器端256位加密,而Dropbox和SpiderOak均提供256位AES加密。SpiderOak有点不同,始终使用客户端加密(也称为零知识安全)而不是更传统的服务器端加密。大多数其他主要云供应商(包括VerizonTerremark和Savvis)也为其云存储客户提供数据加密。Terremark为备份和冗余操作提供自动加密,为托管平台和数据提供各种托管和托管加密,并在其CloudSwitch混合云中提供客户自行管理的加密。Savvis在其云存储加密功能中使用SafeNet,向客户公开密钥管理和API集成。以下是企业比较不同云供应商的加密功能时需要考虑的几件事:确保所有云加密选项都支持基于标准的加密方法和可能的最佳密钥长度/强度(AES-256是行业标准)标准)。确定供应商是否提供API来访问加密功能,因为这可能是软件即服务(SaaS)和平台即服务(PaaS)环境和应用程序集成的关键要求。供应商是否同时支持服务器端和客户端密钥管理是事实。虽然在客户端加密中密钥管理的责任在客户自己手中,但它更适合大多数注重安全的企业。如果供应商仅支持服务器端加密方法,则必须考虑应如何管理和保护内部密钥。了解可能可用的其他加密选项,例如亚马逊最近推出的CloudHSM服务,它使用基于硬件的加密密钥存储设备。在某些应用中,这被证明是更好的选择。当谈到保护云中的数据时,加密理所当然地被认为是最重要的安全控制之一。尽管S3提供了多种加密选项,并且越来越多的云存储供应商纷纷效仿,但我敢说这不会持续太久。作者简介:DaveShackleford是IANS研发高级副总裁兼CTO,SANS分析师、讲师和课程设计者。他在安全性、合规性以及网络架构和工程领域为数百家组织提供咨询服务。他是一名VMwarevExpert,在设计和配置安全虚拟化基础架构方面拥有丰富的经验。Dave曾任Configuresoft的CSO、互联网安全中心的CTO,并曾在多家财富500强公司担任安全架构师、分析师和经理。Dave是Sybex一书《虚拟化安全:保护虚拟环境》的作者,Dave最近与人合作为SANSInstitute设计了第一门虚拟化安全课程。目前,Dave是SANS技术学院的董事会成员,并帮助领导云安全联盟的亚特兰大分会。
