在云中加密数据?确保对您密钥的控制云和虚拟化

2014-12-10    来源:机房360    编辑:litao984lt
随着云计算的日渐普及,关于企业数据信息的加密早已经不再是是或否的问题了。而到了现如今,其所带来的问题则是:到底应该由谁来管理和控制加密密钥的问题?

  无论是对于像亚马逊或微软这样的基础设施供应商,或是一家SaaS供应商,对于数据加密密钥的控制的探讨都是非常有必要的。而随着越来越多的企业开始将进行相关的调整,将他们的数据信息迁移到云计算,数据隐私问题也随之变得越来越重要。

  对于数据的保护监管在美国属于顶级法规,如PCI和HIPAA,其要求禁止赋予第三方访问企业敏感数据信息的权利。即使数据进行了强加密,如果云服务提供商可以在未经数据拥有者获得知情权和相关授权的情况下访问完整的密钥并进行解密,也必须遵从这些相关的法律法规。

  而在欧洲国家,特别是在德国和法国,对于数据信息的隐私问题则更为关注。事实情况是:美国的云服务供应商需要遵从美国政府的传唤,向政府机构提供特定的访问权限以访问某些特定的信息,即使这些信息可能是存储在美国本土以外的地方。去年四月,微软被勒令将其客户的邮件交给美国当局,即使该数据信息是托管爱尔兰的数据中心的。如果微软还掌握了数据的加密密钥,供应商可能还会被迫将相关加密密钥也提供给政府当局。

  当涉及到处理和存储数据在云中时,企业需要严密控制自己的加密密钥。更重要的是,这种所有权必须在与云服务供应商在签署将数据托管在其云应用程序或平台的合同之前就明确规定。

  一家专注于密钥管理和数据加密的企业Porticor公司,就采用了一种非常有趣的方式来解决这些问题。2012年,Porticor还只是一家初创型的公司,彼时,该公司采用了组合式的密钥管理方法。这种方法已经在过去的两年里帮该企业赢得了巨大的影响力,而与惠普建立其重要的合作伙伴关系,提供验证加密密钥技术支持,验证“保险箱”的加密密钥,将帮助客户进行密钥的控制。

  Porticor同时提供加密机制以及密钥管理技术,但正是后者使其不同于其他的服务产品。 Porticor的虚拟专用数据(VPD)解决方案是一款基于云计算的虚拟设备。加密引擎和密钥管理功能是以软件为基础的,并托管在云中,使该解决方案成为云计算平台基础架构(例如,AWS、VMware、惠普云服务等)和SaaS服务的一部分。

  据Porticor公司首席执行官Gilad Parann-Nissany介绍说,该公司有两大客户群。一种终端用户企业是将其应用程序部署在AWS或类似的云基础设施上的。另一种是SaaS供应商,他们想要为其客户提供一系列的加密方案,最重要的是为这些高端客户控制自己的密钥的能力。

  在开发其虚拟密钥管理服务的过程中,Porticor一直遵循着类似于银行保管箱的原理。当云中的数据是被加密的,那么,该密钥就交由Porticor公司和企业客户分别管理密钥中的一部分: Porticor管理副密钥,客户管理主密钥。这样,采用类似于银行保管箱的管理机制,客户在没有Porticor公司的密钥的情况下无法自行解密被加密的数据,而Porticor更不能在没有客户密钥的前提下进行数据解密。密钥必须由双方同时提供,并进行匹配,才能保证对相关加密数据信息的正常访问,从而确保了企业用户对数据的控制。为了进一步加强安全防范,主密钥本身也是由客户进行加密的。

  该解决方案已被设计为云基础架构的基本规范,因此其显然可以在几分钟内弹出安全加密磁盘,并在几个小时之内处理整个数据库系统的问题。 Porticor广泛使用API,并提供RESTful的API接口,以便与云计算系统和应用程序集成。

  此外,Porticor的解决方案可以在多个水平条件下工作。例如,客户可以加密一个完整的数据库或一个完整的文件存储;而在同一时间,他们可以获得细粒度以加密应用程序的一个单一的领域。Porticor的客户经常使用这些功能以解决某个特定的需要。这种多层次的功能对于想让用户加密的SaaS提供商特别重要的。例如,一个数据集包含一些信用卡号码,但并非整个数据库都是信用卡号码。此外,不同的加密方案可以应用到每个元素,以进行加密;例如,保序加密将被应用于邮政编码字段。

  Porticor的加密和密钥管理方法在该公司选择与惠普建立起合作伙伴关系,并与其基于云的Atalla安全解决方案结合之后接获了不少的提升。Porticor的技术已经被集成到惠普堆栈,以提供安全的云加密。惠普云加密的客户现在可以自动存储加密密钥的一部分:主密钥,直接进入FIPS二级标准的兼容硬件安全模块,是Atalla安全系统的一部分。

  对于在云中加密的数据,必须每天都变得更加强大,确保其安全性,合规性,隐私保护等等方面。企业将他们的数据迁移到云中,需要对于这些加密数据的控制拥有选择权。而Porticor公司正是基于云计算的虚拟专用数据系统解决了那些需要在基础设施水平来降低复杂性的同时,提供强有力的数据信息安全保障的问题。

1
3