沒有一點點防備,也沒有一絲絲徵兆,阿里雲大規模宕機故障就這樣出現。華北很多互聯網獨角獸公司的程序員、運維專員都從被窩裡爬起來去公司幹活。對此,阿里雲官方回應稱,是華北2地域可用區C部分ECS實例狀態異常,後經緊急排查處理後逐步恢復。
雲計算服務發展到現在,隨著雲服務市場規模的擴大,雲計算的技術和雲服務的模式也都趨成熟,但針對公有云安全性的質疑一直沒有停止過。
安全性已成為雲服務的重要問題之一,企業使用雲不僅外包了基礎設施,還外包了企業重要數據和文件的加密密鑰。
而誰能夠訪問你的加密密鑰呢?這一問題的答案決定了企業在雲中的數據是否安全。每個雲服務提供商都是潛在的被攻擊目標,隨著企業將所有重要的數據遷移到雲,他們該如何進行密鑰管理呢?
雲計算密鑰管理很大程度上取決於若干因素。在某些情況下,所使用雲計算服務的類型將決定可用密鑰管理的類型。
對於PaaS和SaaS雲計算服務模式來說,大部分密鑰管理功能都是由雲計算供應商內部管理的,而用於訪問應用程序和系統的私鑰都是可以被分配給消費者以便於訪問數據、應用程序或數據庫等雲計算資源的。在公共密鑰部署中,密鑰管理和安全都是共享的,即密鑰分發給消費者的控制權都在於消費者本身。而其他所有的密鑰管理的責任則主要是由供應商承擔的。
對於混合雲計算,密鑰管理也很有可能是共享的,而私有云計算通常是在內部網絡環境中配備密鑰管理工具和程序。
從攻擊者的角度來看,目前三種常見的雲解決方案中的密鑰管理系統,都會帶來很大的風險。典型的例子是Uber攻擊——攻擊者通過AWS雲服務對Uber的服務器實施了攻擊。即使你的文件可能已經加密了,但如果你將加密密鑰存儲在這些文件中,那麼一旦攻擊者獲取了密鑰,他們就可以解密所有內容了。
因此,要保護敏感數據和文件,企業需要根據基本的“加密密鑰管理法則”對其進行加密:
加密密鑰僅由企業的多個密鑰管理者控制;使用安全的加密處理器保護加密密鑰。雖然有這些法則是好事,但遺憾的是,目前還沒有能夠滿足這些法則的公有云。如果完全依賴雲提供商來保護密鑰的企業,可能會遭到當頭一棒。
對於投資於雲計算或遷移到雲計算的企業而言,必須始終將雲安全狀態放在首位。即使雲應用程序使用的數據是加密的,加密密鑰也是真實存在的。企業不僅要保護這些信息,還要保護其加密密鑰。將敏感數據和文件存儲在雲端;同時在公有云之外的受控環境中,在安全的加密處理器的保護下,保持對加密密鑰的獨有控制權。
閱讀更多 精釀資訊 的文章
