深入探讨云计算安全的拯救者:加密

我现在开始觉得对于云安全的恐惧有点被夸大其词了。原因?因为一个保护数据、应用程序和连接的智能框架已经在那里了。它叫做“加密”。现在正在发展中,并且已接近完善的是一套大家都同意的实施方式和最佳的实践操作。

通过这篇文章,我们来谈谈趋势科技(Trend Micro)和 IBM 所进行的一些相关并且很有趣的工作。

对于趋势科技和 IBM,我们看到的除了行业领导者身份之外,还可以添加这样一条评论:大多数的安全产品销售商和云服务提供商自身也正在研究云计算安全这个问题。妨碍书写有关云安全的一个路障是人们倾向于选择闭嘴不谈这个话题,因为安全问题是一个事关重大。正如一句老话所言:“如果我给告诉你了,那我不得不干掉你。”

此外,存在着各种各样截然不同的活动,很难对于安全问题的方向有一个整体的把握。因此,我试图将所有相关话题塞进这个“加密”口袋里的举动是一个总结的尝试,并对这些活动连接点所在进行归纳,试图找出一些含义。

当我希望将所有复杂全面的文章综合在一起的过程中,我发现所能做的是提供一些不完全的零碎片段。于是,我在下面列出非常有趣的三点,尽管它们之间没有什么紧密的相关性。

1. 加密已经被使用了

首先,从我的读者那里获得了一个提醒(是我之前博文的评论),是有关他使用加密来保护云连接的信息。

“从 2006 年年初我就开始使用 Amazon Web 服务,我只能从我的这些经验谈起,但所有工具都在那儿,只有他们被使用了。例如,你可以使用轮换密钥(rotating key),我最喜欢私人 VPN 的。如果你已经拥有了一个运行良好的安全架构,你现在可以从现有系统内部使用私人 VPN 来扩展晕资源,而无需将你的系统向往开放。在 80 年代早期,当我们通过 SNA 网关将那些烦人的 LAN 连接到可进行事务处理的主机系统上时,我们遇到了很多相同的问题。”

2. 人们正在研究改良的云加密技术

我在趋势科技的朋友曾暗示他们正在进行一些功能性的工作,在未来某个尚未确定的日期(我想澄清一点他们还没有谈到要投入生产),他们将为提供公共云计算提供加密方案。这些工作室基于 Identum Ltd. 公司的技术,一家在布里斯托大学(Bristol University)孵化出来的一家英国公司,2008 年被趋势科技收购。Identum 公司的技术构成了趋势科技当前电子邮件加密解决方案的基础。

Indentum 公司的加密技术专家们现在正在参与这个有关云计算的研究。这个基本而又非常强大的理念是为每一个虚拟计算实例提供加密代理。这样,每个虚拟机(VM)都将具有自身的驻留管理器,以确保加密安全资源的正确应用。

本质上来讲,通过这种方式,你获得的最大好处是在每一处的安全策略的自动化应用。因此,你将拥有内置于进程内部的加密密钥管理,并且不必再担心你的计算资源中未受保护的虚拟机实例。

3. 诱人的第三点

对于第三点,我实在想不出合适的标题,只有用它了。从有关趋势科技的第二代过度到有关 IBM 的本小节,我应说明一点,加密密钥管理并不是琐碎的小事情。你可以想象一下,所有云安全都依赖于能够生成和分发这些密钥,同时保证它们不落入坏人之手。黑客们不是能够破解你的密钥,入侵你的安全体系,他们所做的是偷取这些密钥。

这是这点引发 IBM 对于同态加密的研究。请参阅这篇新闻稿:IBM 研究人员解决了长期悬而未决的密码学难题。这是一个非常难懂的话题,我尽可能对其进行还原,IBM 的突破是它使得用户可以在云的每个地方发送加密数据,可以用任何你想要的方式对其进行操作,并且最后你仍能够对其进行解密。

目前,对加密数据所能够执行的操作还存在着严格的限制,因为某些操作可能将数据搞得一团糟,从而无法再进行解密。

为什么这是一个问题?因为你想要尽可能长的对加密数据进行处理,同时不必将其还原为简单的可见格式。那样你就无需在密钥上花费时间,或者,更为有害的是,将这些密钥提供给那些你无法确认是否可信的人。

有关 IBM 的那项研究的问题是并不能确认他们已经解决了这个问题。长久以来的权威人士 Bruce Schneier 指出,他们的工作在理论上令人印象深刻,但完全不切实际。

无论如何,IBM 找到了推动这个事情前进的支点。

最后,我想向你推荐一篇很好的文章,George Reese 的《Amazon 云安全的 20 条规则》。他这篇文章的基本要点是“对所有东西进行加密”并仅在你所用的简单实例的表层使用解密密钥。