電訊盈科的云服務(wù)需要了解什么是加密

網(wǎng)絡(luò)功能虛擬化(NFV)時(shí)代的一個(gè)主要干擾因素是電信云服務(wù)的擴(kuò)展。 基于云的服務(wù)提供了巨大的好處，如可伸縮性、成本性能、中心和易于管理。 然而，這些服務(wù)是使用共享資源的集中信息存儲(chǔ)庫，這使得它們成為攻擊者的主要目標(biāo)。

這些共享資源包括計(jì)算或云存儲(chǔ)服務(wù)器，單個(gè)服務(wù)器中的漏洞可能導(dǎo)致完整的信息泄漏和妥協(xié)。 因此，安全行業(yè)專家正在探索防火墻和加密等技術(shù)，以保護(hù)云服務(wù)和平臺(tái)。 隨著越來越多的電信云服務(wù)實(shí)現(xiàn)這些技術(shù)，了解當(dāng)前的選項(xiàng)是很重要的。

加密使用密碼密鑰將明文（也稱為人類可讀數(shù)據(jù)）轉(zhuǎn)換為不可讀文本。 同樣，加密數(shù)據(jù)的解密需要一個(gè)各自的密碼密鑰將其轉(zhuǎn)換為其原始形式。 數(shù)據(jù)加密保證了數(shù)據(jù)的安全性和完整性.. 沒有密鑰，數(shù)據(jù)不能被攻擊者或未經(jīng)授權(quán)的用戶解密，除非密鑰已經(jīng)被破壞。 加密可以應(yīng)用于兩種類型的數(shù)據(jù)：在運(yùn)輸中和在休息時(shí)。

過境數(shù)據(jù)包括跨越互聯(lián)網(wǎng)和系統(tǒng)接口的數(shù)據(jù)，這些數(shù)據(jù)可以是系統(tǒng)外部的，也可以是服務(wù)器和軟件應(yīng)用程序編程接口(API)之間的內(nèi)部數(shù)據(jù)。 它可以使用HTTPS、TLS、IPSec等加密，這對(duì)于防止未經(jīng)授權(quán)的用戶攔截至關(guān)重要。

數(shù)據(jù)在REST也意味著數(shù)據(jù)在存儲(chǔ)，包括存儲(chǔ)節(jié)點(diǎn)和可移動(dòng)存儲(chǔ)介質(zhì)。 數(shù)據(jù)在REST加密可以應(yīng)用到特定的數(shù)據(jù)文件或所有存儲(chǔ)的數(shù)據(jù).. 端到端加密是對(duì)數(shù)據(jù)進(jìn)行加密的一種手段，因此它只能在端點(diǎn)處解密。 在傳輸過程中通過加密數(shù)據(jù)對(duì)云服務(wù)進(jìn)行接口，可以消除服務(wù)器訪問的可能性，而不需要適當(dāng)?shù)拿荑€-只有發(fā)送方和接收方可以通過這些接口解密消息。

加密也可以應(yīng)用于云系統(tǒng)，以啟用授權(quán)用戶訪問，以及用于外部接口上的系統(tǒng)訪問，并保護(hù)存儲(chǔ)在云系統(tǒng)上的敏感數(shù)據(jù)。 沒有密碼密鑰，丟失或被盜數(shù)據(jù)無法訪問。

加密的服務(wù)器數(shù)據(jù)也使攻擊者在休息時(shí)訪問數(shù)據(jù)的機(jī)會(huì)最小化。 即使他們訪問了加密的服務(wù)器數(shù)據(jù)，攻擊者也無法“讀取”數(shù)據(jù)或破壞它，而沒有密鑰來解密它。 因此，在靜止?fàn)顟B(tài)下加密數(shù)據(jù)是穩(wěn)健云數(shù)據(jù)安全的關(guān)鍵要素。

一種專門設(shè)計(jì)用于保護(hù)密碼密鑰生命周期的專用密碼處理器，硬件安全模塊(HSM)保護(hù)和管理數(shù)字密鑰以進(jìn)行強(qiáng)身份驗(yàn)證，并提供密碼處理。

傳統(tǒng)上，HSMS要么是插件卡，要么是連接到計(jì)算機(jī)或網(wǎng)絡(luò)服務(wù)器的外部設(shè)備。 由于這些模塊通常是關(guān)鍵任務(wù)信息技術(shù)基礎(chǔ)設(shè)施的一部分，它們通常是為高可用性而分組的，包括雙電源模塊。

云運(yùn)營商在HSM中保留其主要的項(xiàng)目秘密密鑰，稱為密鑰加密密鑰(KE K)，使用PKCS#11協(xié)議通過密碼插件與Barbican進(jìn)行交互。 一個(gè)用于確保存儲(chǔ)、供應(yīng)和管理秘密的RESTAPI，Barbican是一個(gè)Open Stack項(xiàng)目，使用戶能夠構(gòu)建安全的、云準(zhǔn)備的密鑰管理系統(tǒng)。

這些系統(tǒng)允許管理敏感信息，如對(duì)稱和非對(duì)稱密鑰以及原始秘密。 在HSM中，秘密被加密，然后在檢索時(shí)由特定于項(xiàng)目的KEK解密。 例如，HSM將每個(gè)服務(wù)生成一個(gè)加密密鑰來加密存儲(chǔ)卷。

另一個(gè)Open Stack項(xiàng)目是Keystone，它提供集中式API客戶端身份驗(yàn)證、服務(wù)發(fā)現(xiàn)和分布式多租戶授權(quán)。 keystone在訪問任何其他服務(wù)之前首先對(duì)用戶進(jìn)行身份驗(yàn)證。 它還可以使用外部身份驗(yàn)證系統(tǒng)，如LDAP或TACACS。 一旦成功認(rèn)證，用戶將獲得包含在服務(wù)請求中的臨時(shí)令牌。 用戶接收服務(wù)訪問當(dāng)且僅當(dāng)令牌被驗(yàn)證并且如果用戶有適當(dāng)?shù)慕巧?.

首先，Barbican驗(yàn)證keystone身份驗(yàn)證令牌以識(shí)別用戶和項(xiàng)目訪問或存儲(chǔ)秘密。 然后，它應(yīng)用策略來確定是否授權(quán)訪問。

巴比康用唯一的超鏈接取代敏感信息，如數(shù)據(jù)庫密碼，這些超鏈接被安全地存儲(chǔ)起來，以便以后檢索。 它用HSMS等專用加密設(shè)備加密敏感數(shù)據(jù)，以提供更高的安全性。

如前所述，密碼插件用于通過PKCS#11協(xié)議與HSM通信。 此協(xié)議指定一個(gè)API，稱為“Cryptoki”，用于攜帶密碼信息并執(zhí)行技術(shù)無關(guān)的密碼功能的設(shè)備。

基于虛擬機(jī)(VM)或容器的云系統(tǒng)使用體積存儲(chǔ)。 因此，卷加密對(duì)于確保VM數(shù)據(jù)和物理存儲(chǔ)介質(zhì)不被攻擊者竊取、泄露和訪問至關(guān)重要。 非加密的VM數(shù)據(jù)會(huì)有攻擊者闖入容量托管平臺(tái)并訪問許多不同VM的數(shù)據(jù)的風(fēng)險(xiǎn)。

加密卷功能的目標(biāo)是在VM數(shù)據(jù)寫入卷/存儲(chǔ)（傳輸中的數(shù)據(jù))之前對(duì)其進(jìn)行加密，從而在存儲(chǔ)設(shè)備上駐留時(shí)保持?jǐn)?shù)據(jù)保護(hù)(數(shù)據(jù)處于靜止?fàn)顟B(tài)）。

隨著telco云N FV服務(wù)的持續(xù)增長，數(shù)據(jù)泄漏的可能性增加，因此需要關(guān)注和適當(dāng)?shù)慕鉀Q方案.. 加密內(nèi)部和外部接口、數(shù)據(jù)和卷、動(dòng)態(tài)密鑰管理等是降低數(shù)據(jù)泄漏和信息竊聽風(fēng)險(xiǎn)的關(guān)鍵步驟。