隨著好萊塢明星們的裸照在全球互聯(lián)網(wǎng)瘋傳,云計(jì)算幾乎成了危險(xiǎn)的代名詞,從好萊塢女星到上百億資產(chǎn)的銀行家都為之憂心忡忡。
對于銀行等數(shù)據(jù)安全要求較高的企業(yè)來說,云計(jì)算的安全是個(gè)兩難問題,一方面云計(jì)算分布式的數(shù)據(jù)存儲(chǔ)可以抵御DDoS攻擊,但同時(shí)又會(huì)增加數(shù)據(jù)泄露風(fēng)險(xiǎn),云和安全似乎總是難以兼顧。
例如2012年伊朗黑客曾對美國銀行企業(yè)發(fā)起大規(guī)模的DDoS攻擊,當(dāng)時(shí)安全公司Cloudflare曾指出,云計(jì)算將企業(yè)數(shù)據(jù)存放在世界各地多個(gè) 服務(wù)器上,這能有效緩解DDoS攻擊的壓力;但敏感數(shù)據(jù)也面臨更大的泄露風(fēng)險(xiǎn),尤其是SSL私鑰,控制對此類關(guān)鍵數(shù)據(jù)的訪問對于銀行來說至關(guān)重要。今年4 月爆出的心臟出血漏洞,使得黑客能夠獲取公共服務(wù)器中的內(nèi)存緩存,從而提取私鑰(企業(yè)內(nèi)網(wǎng)的噩夢:HeartBleed漏洞會(huì)暴露OpenVPN私鑰),造成安全與合規(guī)的雙重災(zāi)難。
類似心臟出血漏洞的風(fēng)險(xiǎn)驅(qū)使銀行(以及其他注重?cái)?shù)據(jù)安全的企業(yè))將數(shù)據(jù)放到少數(shù)更加安全的服務(wù)器中,這不但使硬件成本急速飆升,同時(shí)也使得企業(yè)更加容易遭受DDoS攻擊。
近日,Cloudflare首席執(zhí)行官M(fèi)atthew Prince宣稱,Cloudflare已經(jīng)奪取了云安全的圣杯,將企業(yè)拯救出云安全的兩難困境。
Cloudflare 發(fā)明一種方法,允許企業(yè)將加密數(shù)據(jù)分布式存儲(chǔ)于云中,但將私鑰儲(chǔ)存在一個(gè)單獨(dú)的安全服務(wù)器中。當(dāng)用戶訪問網(wǎng)站 時(shí),Cloudflare會(huì)簽發(fā)一個(gè)臨時(shí)的 “會(huì)話秘鑰”,與用戶的設(shè)備一一對應(yīng),從而讓私鑰從公眾視野中消失。這聽上去挺簡單,但是Prince表示,這 需要每秒處理1000萬次安全交易,是技術(shù)上的一次重大創(chuàng)新,目前高盛公司已經(jīng)成為該技術(shù)的首批用戶之一。
一些知名安全專家,包括個(gè)人加密標(biāo)桿技術(shù)PGP的 發(fā)明者 Jon Callas和Phil Zimmerman,將Cloudflare發(fā)明的這種“無秘鑰SSL”與PGP進(jìn)行了對比,認(rèn)為Cloudflare 的無私鑰加密技術(shù)不僅僅適用于安全 企業(yè),還可應(yīng)用于云數(shù)據(jù)中心擴(kuò)展,例如在非洲和中國的安全管理水平較差一些的數(shù)據(jù)中心里部署關(guān)鍵應(yīng)用,而無需擔(dān)心安全問題。
在云安全領(lǐng)域,Cloudflare的“無秘鑰SSL”能算是一個(gè)小號(hào)圣杯。本周IBM的密碼學(xué)者Craig Gentry 榮獲麥克阿瑟獎(jiǎng)金,Gentry的研究項(xiàng)目才是云安全的“iPhone 6 Plus”——在云計(jì)算環(huán)境中,如何對數(shù)據(jù)加密,使得云服務(wù)商無法獲取數(shù)據(jù)內(nèi)容,但擁有合法證書的用戶卻能夠訪問。
Gentry研究中的加密算法目前還主要停留在理論層面,目前面臨的主要挑戰(zhàn)是處理速度與實(shí)際應(yīng)用需求相差1000倍,但是在IT業(yè),提速1000倍,只需要五年時(shí)間而已。