亞馬遜EBS加密解讀

責(zé)任編輯:editor04

2014-09-02 19:39:58

摘自:TechTarget中國(guó)

目前,亞馬遜EBS的加密功能是由AWS提供。專(zhuān)家Dave Shackleford解釋了它的工作方式、企業(yè)為之努力的原因,以及它是否使行業(yè)更進(jìn)一步的默認(rèn)云數(shù)據(jù)加密。

目前,亞馬遜EBS的加密功能是由AWS提供。專(zhuān)家Dave Shackleford解釋了它的工作方式、企業(yè)為之努力的原因,以及它是否使行業(yè)更進(jìn)一步的默認(rèn)云數(shù)據(jù)加密。

2014年5月,亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)發(fā)布了一款新的加密產(chǎn)品,該款產(chǎn)品可讓用戶(hù)輕松解密任何在AWS中控制的彈性塊存儲(chǔ)(EBS)卷標(biāo)。

亞馬遜EBS也加入了亞馬遜的其它加密功能,其中包括S3和Glacier存儲(chǔ)的服務(wù)器端加密、亞馬遜RedShift和SQL服務(wù)器的加密以及亞馬遜關(guān)系型數(shù)據(jù)庫(kù)服務(wù)(RDS)內(nèi)的Oracle數(shù)據(jù)庫(kù)加密。新的加密產(chǎn)品是否是云計(jì)算存儲(chǔ)向默認(rèn)加密功能發(fā)展又邁出的堅(jiān)實(shí)一步呢?

這似乎是亞馬遜公司在其首席技術(shù)官 Werner Vogels領(lǐng)導(dǎo)下朝著這個(gè)方向所做出的努力。在一次接受麻省理工學(xué)院技術(shù)論壇的采訪(fǎng)中,Vogels指出,安全性是亞馬遜的“……第一優(yōu)先級(jí)……如果你希望對(duì)訪(fǎng)問(wèn)數(shù)據(jù)的用戶(hù)擁有完全的控制權(quán),那么我們真的希望云計(jì)算成為你保存數(shù)據(jù)的所在。”

云計(jì)算應(yīng)用的最大障礙之一就是在數(shù)據(jù)安全性控制方面用戶(hù)缺乏安全感,尤其是當(dāng)云計(jì)算供應(yīng)商可以訪(fǎng)問(wèn)和潛在地控制用于保護(hù)數(shù)據(jù)的加密密鑰時(shí)。從CipherCloud公司、Perspecsys公司、Porticor有限公司到其它無(wú)數(shù)的云計(jì)算高科技公司,他們都在致力于幫助企業(yè)獲取云計(jì)算數(shù)據(jù)加密的控制權(quán),但是諸如亞馬遜這樣一些云計(jì)算服務(wù)供應(yīng)商似乎更多的是在為用戶(hù)提供實(shí)現(xiàn)相同目標(biāo)的內(nèi)置功能。

EBS加密:它如何工作

亞馬遜新的EBS加密功能是如何工作的?EBS卷標(biāo)等同于連接至彈性計(jì)算云(EC2)虛擬機(jī)的額外硬盤(pán)驅(qū)動(dòng)器。使用新的EBS加密功能,用戶(hù)無(wú)法對(duì)啟動(dòng)卷標(biāo)和EC2實(shí)例操作系統(tǒng)所安裝的硬盤(pán)執(zhí)行加密操作。用戶(hù)可輕松地對(duì)任何連接至該實(shí)例的附加卷標(biāo)進(jìn)行加密操作。

創(chuàng)建加密卷標(biāo)的操作是非常簡(jiǎn)單明了的。其中,最簡(jiǎn)單的方法就是在卷標(biāo)實(shí)例化的過(guò)程中勾選“Creat Volume”,配置面板中的一個(gè)復(fù)選框。通過(guò)設(shè)置卷標(biāo)類(lèi)型、容量、性能規(guī)格以及可用區(qū)域等參數(shù),就會(huì)在一開(kāi)始出現(xiàn)一個(gè)允許加密的新選項(xiàng)。

用戶(hù)還可以使用各種API方法來(lái)創(chuàng)建加密卷標(biāo)并訪(fǎng)問(wèn)它。所有的加密操作都使用了一個(gè)獨(dú)特的256位高級(jí)加密標(biāo)準(zhǔn)密鑰(該密鑰也可應(yīng)用于EBS卷標(biāo)快照),該密鑰符合目前業(yè)界對(duì)安全性和合規(guī)性的最佳實(shí)踐。

EBS加密的缺點(diǎn)

亞馬遜EBS加密功能的最大缺點(diǎn)之一就是它無(wú)法對(duì)現(xiàn)有的EBS卷標(biāo)進(jìn)行加密操作。從目前形式看,客戶(hù)必須首先創(chuàng)建一個(gè)新的加密卷標(biāo),然后使用諸如Robocopy或rsync這樣的工具把現(xiàn)有數(shù)據(jù)從它們所在的實(shí)例上復(fù)制到新卷標(biāo)上。最后,用戶(hù)可刪除舊卷標(biāo)。這一缺點(diǎn)可能是出于某些原因的運(yùn)算障礙而導(dǎo)致的。

EBS加密的另一個(gè)顯著缺點(diǎn)在于密鑰管理。目前,亞馬遜管理并保留著用于EBS加密的密鑰的所有控制權(quán),這就意味著客戶(hù)無(wú)法完全確保他們數(shù)據(jù)安全。鑒于亞馬遜技術(shù)的成熟度和嚴(yán)格的安全標(biāo)準(zhǔn),讓AWS妥協(xié)的可能性是極低的,但是其中的某些不確定因素仍然會(huì)讓某些企業(yè)選擇不把數(shù)據(jù)存儲(chǔ)在EBS中。雖然亞馬遜聲稱(chēng),加密功能并不會(huì)影響EBS卷標(biāo)的I/O和性能,但是客戶(hù)應(yīng)當(dāng)在生產(chǎn)工作負(fù)載中實(shí)施亞馬遜EBS加密功能之前先進(jìn)行一下測(cè)試,這樣做是非常明智的。

結(jié)論

近日,亞馬遜為S3 存儲(chǔ)服務(wù)實(shí)施了服務(wù)器端的加密,其密鑰的所有權(quán)和保管權(quán)歸客戶(hù)。與亞馬遜所提供的新CloudHSM服務(wù)一樣,Redshift 和 RDS 還允許客戶(hù)管理密鑰。這是亞馬遜未來(lái)所有云計(jì)算存儲(chǔ)產(chǎn)品發(fā)展的大方向,毫無(wú)疑問(wèn),這也是其他云計(jì)算服務(wù)供應(yīng)商們將緊隨其后的一個(gè)趨勢(shì)。一旦加密功能(客戶(hù)管理密鑰)在全球范圍內(nèi)普及開(kāi)來(lái),那么云計(jì)算服務(wù)距離在默認(rèn)情況下被加密無(wú)疑又更近了一步。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)