混合云應(yīng)用的增長(zhǎng)速度需要特別的云安全模式。許多企業(yè)正在把自己的一些工作量遷移到公共云環(huán)境中,同時(shí)在私有云中保留其它的工作量。繼續(xù)利用現(xiàn)有的數(shù)據(jù)中心和安全策略的過(guò)渡性云安全策略是需要的。因?yàn)槊恳粋€(gè)企業(yè)都以獨(dú)有的方式把自己的數(shù)據(jù)中心分為私有云和公共云,數(shù)據(jù)安全方式必須解決多種挑戰(zhàn):
· 如何保證企業(yè)內(nèi)部安裝的數(shù)據(jù)中心資源的安全
· 當(dāng)應(yīng)用程序遷移到公共云的時(shí)候,如何保證它們的安全
· 如何保證存儲(chǔ)在多個(gè)云服務(wù)提供商那里的數(shù)據(jù)的安全
· 如何保護(hù)公共云和私有云的虛擬化的基礎(chǔ)
· 當(dāng)連接到云基礎(chǔ)設(shè)施的時(shí)候,如何保證移動(dòng)設(shè)備的安全
解決這些問(wèn)題的關(guān)鍵是對(duì)云安全采取一種整體的方法。
以加密方式保護(hù)云中數(shù)據(jù)的安全
在混合云環(huán)境中的數(shù)據(jù)所有權(quán)問(wèn)題將變得更加重要,因?yàn)檫@涉及到在多個(gè)地方的數(shù)據(jù)。在包含多個(gè)私有云和公共云站點(diǎn)的服務(wù)器的云環(huán)境中保證數(shù)據(jù)安全的唯一最佳做法是:加密數(shù)據(jù)的方式允許所有的系統(tǒng)繼續(xù)透明地工作,并且通過(guò)加密密鑰的所有權(quán)保證數(shù)據(jù)的所有權(quán)。
在這個(gè)領(lǐng)域的技術(shù)突破是分裂密鑰(split key)加密。這種方法解決了加密密鑰的所有權(quán)問(wèn)題。這種方法使用兩個(gè)密鑰的組合加密每一個(gè)“資源”(硬盤(pán)、數(shù)據(jù)庫(kù)行、文件等等),其中一個(gè)主密鑰只有企業(yè)有所有權(quán)。采取這中方法,只有這個(gè)數(shù)據(jù)的擁有者能夠最終控制加密密鑰。保持對(duì)加密密鑰的控制權(quán)消除了其他人對(duì)密鑰的控制(如云提供商的員工),因此,這種方法很好地解決了所有權(quán)的問(wèn)題。
分裂密鑰加密能夠通過(guò)同態(tài)化密鑰管理進(jìn)一步增強(qiáng)。這種方法能夠保證加密密鑰在所有的時(shí)間都處于加密狀態(tài),即使它們?cè)谑褂弥幸彩侨绱恕2扇∵@種方式,不用暴露主密鑰也可以使用數(shù)據(jù)。如果黑客竊取了處于加密狀態(tài)的主密鑰,黑客也能使用這個(gè)密鑰。
使用分裂密鑰云加密和同態(tài)化密鑰管理等方式保護(hù)云中數(shù)據(jù)安全的另一個(gè)好處是,一旦發(fā)生安全突破事件,這些措施能夠讓企業(yè)宣稱是“安全港”。采取這些措施并且達(dá)到安全港的目標(biāo)意味著可以減少與安全突破有關(guān)的許多報(bào)告要求和監(jiān)管處罰,因?yàn)槠髽I(yè)能夠證明數(shù)據(jù)是加密的并且加密的密鑰是安全的。
在混合云環(huán)境中,這些方法的組合能夠保護(hù)在多個(gè)云站點(diǎn)中的數(shù)據(jù)的安全并且實(shí)現(xiàn)“安全港”的目標(biāo),從而保護(hù)你自己。