安若泰山，云计算的安全之策: 解读今年云计算趋势(6)

最新推荐文章于 2024-07-25 19:17:02 发布

Moehoo猛虎

最新推荐文章于 2024-07-25 19:17:02 发布

阅读量1.1k

点赞数

分类专栏： IT深度分析文章标签：云计算安全 BYOK BYOE 安全网关

本文链接：https://blog.csdn.net/pkuair/article/details/70184109

版权

IT深度分析专栏收录该内容

9 篇文章 0 订阅

订阅专栏

本文是原创，首发于微信公众号『Moehoo猛虎』

【前导文章】《2017年预测：秉持客户至上理念的企业将启动云计算的第二个十年》（《Predictions 2017: Customer-Obsessed Enterprises Launch Cloud’s Second Decade》），这是权威研究机构Forrester发布的对2017年云计算发展趋势的研究报告。

解读此研究报告的系列文章，猛虎已经发过了如下五篇（可点击浏览）：

（1）《中国成为关键驱动：解读Forrester云计算研究报告（上）》

（2）《混合云难有作为，网络逡巡不前：解读2017年云计算权威报告（2）》

（3）《大道至简，实用为本：解读2017年云计算权威报告（3）》

（4）《满目容器，风卷战旗过大关：解读今年云计算趋势(4)》

（5）《细分化的SaaS是双刃剑：解读今年云计算趋势(5)》

本篇是第六篇，讨论企业云计算的根基 — 安全问题。

【导读】安全性得到全面的根本的保障，这是企业云计算应用和推广的根基，2017年，云计算安全发展的潮流所向是什么？

关键点之九：安若泰山，云计算的安全之策

安全性得到全面的根本的保障，这是企业云计算应用和推广的根基。数据加密技术、云安全网关技术和容器技术的安全固化，将是2017年的云计算安全发展的潮流所向。

当企业准备将其IT业务应用系统从本地迁移到云计算平台时，给相关数据和信息流加上安全保护是至关重要的。

要保证企业的敏感数据的安全性，最优的选择就是使用加密技术。因此，如果在云平台中使用加密技术，对加密密钥的管理就成为重中之重。这在私有云中不存在任何问题，企业自己可以完全负责加密密钥的管理，但是，在公有云或混合云中，矛盾就产生了，因为云服务提供商能接触到密钥，这一点，对于要使用公共云或者混合云服务的企业用户来说是无法接受的。

2017年，云服务提供商会进一步把云计算的安全性揉入其整体方案之中，实际上，大型云服务平台提供商早已开始了行动，它们推出了云安全管理功能，也向其云平台用户提供“自带密钥”或“自控密钥”的服务。其中，“自带密钥”，即BYOK（Bring-Your-Own-Key），谷歌、亚马逊AWS和Saleforce使用这个经典名称提供此项服务；而“自控密钥”，即HYOK（Hold Your Own Key）则是微软Azure采用的名称。

无论云服务提供商采用何种服务名称，其实质都是“自带加密”（BYOE，Bring-Your-Own-Encryption，即：BYOK），都是让云计算企业用户使用自己的加密软件和自有密钥来集成对敏感数据的加密功能，而且，密钥是基于企业用户的自有HSM（Hardware Security Module，硬件安全模块）而产生的，因此，可以构建出符合企业要求的统一的密钥管理系统。有了这样的技术基础，使用云平台加密服务的企业用户可以完全自主地控制密钥的创建、存储和管理。在如此高的数据安全等级保护下，即便是最苛刻的业务系统安全监管要求，也可以得到满足，企业可以放心地把敏感数据迁移到公有云中或者混合云中。

目前，BYOE这一全面数据安全策略的重要组成部分，在全球企业和组织机构中，已经或计划实施这一技术的只占大约35%的比重，然而，可以预见的是，2017年，随着商务敏感数据向公有云或混合云迁移这一趋势的发展，这个数字会稳步攀升。

与此同时，CSG（云安全网关，Cloud Security Gateway）技术也已经成熟地应用于实际运营之中，用于搜寻未经批准而擅自建设的云应用（即Shadow IT，“影子IT”，用于指称非IT部门擅自部署的一些应用，也是IT部门完全不知情的应用）并及时进行纠正和整改。CSG还可以用于数据保护，检测在本地和公有云之间以及私有云和公有云之间流动的敏感数据的合规性。CSG的地位正变得越来越重要，企业用户在决定是否将其业务应用迁移到公有云时，很多时候，完全取决于CSG的部署和运行情况是否良好。这实际上是一种很自然的选择，要将数据迁移到云平台上，首先必须确认现行的技术手段能完全监控所有的数据访问行为和细节，这是一个必须满足的先决条件，也是所有企业的共识。

2017年，容器（Container）技术的安全解决方案将进一步拓展而覆盖集成监控、系统调用跟踪和特许访问管理这三方面，在安全性方面的逐步增强会使其在企业中的应用日益广泛。这是一项极为精炼的技术，易于布署、对资源的要求也恰到好处，这些优异特性带来的是相应成本的大幅度降低。与此同时，也要清楚地认识到，一方面，在企业和机构的云计算策略中，这两种技术都是极其重要的；另一方面，在云计算生态环境中，与虚拟机技术相比，容器技术只是处于辅助性角色的地位，无法取而代之，过度地夸大容器技术同样会使得企业的云发展策略误入歧途。

如上所述，在各大云计算服务商的共同推进下，公有云的安全性确实变得日益强大和坚固，然而，信息安全，尤其是云计算环境中的信息安全，这一事关企业兴衰成败的命运之门的把手，一定要由企业自身去牢牢掌控。

具体而言，企业常用的一些云计算安全加固方法如下：

首先，企业在采用云平台安全解决方案的同时，仍然要坚持使用一些原生性的传统安全功能，比如：文件整体性监控、配置文件管理、使用传统安全设备IDS（Intrusion Defense Systems，入侵防御系统）和IPS（Intrusion Prevention Systems，入侵检测系统），在云计算环境中应用这些传统技术，仍然是颇具效率的。

其次，依托于CSG设备的行为智能技术，采纳SUBA（Security User Behavior Analytics，安全用户行为分析）解决方案，就可以对正常用户的行为进行自动定义，据此，可以区分非正常的恶意访问行为并进而采取相应的防御措施。

最后，企业在决定采纳公有云平台的时候，应该与各类云服务提供商就BYOE（即：自带加密）解决方案的具体施行细节进行讨论。基于BYOE，企业用户自身的加密软件就可作为一类特定服务在云计算平台中运行，由此，可在对企业的敏感数据进行加密处理后，再将其存入公有云中，在企业自主掌控密钥的情形下，即便是云服务提供商也无法获取，数据的安全性得到了极大的保障。

值得一提的是Salesforce的BYOE技术—Saleforce Shield平台加密技术，其加密工作原理为：基于企业用户掌控的“自带密钥”和由Salesforce维护的密钥组合而成，企业使用自有的加密库、企业密钥管理系统或HSM生成并存储“自带密钥”，然后，企业再授予Salesforce Shield密钥管理机制对私有密钥的访问权限，这样，就由此二者创建了唯一的数据加密密钥。当企业用户将敏感数据存入Saleforce的SaaS云平台时，Saleforce Shield就使用此密钥加密这些数据，而在企业用户需要这些数据时，也使用此密钥去解密经过加密的数据。