久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

在多租戶環(huán)境中保護(hù)數(shù)據(jù)的基本安全工具之一就是加密。當(dāng)你對云計算環(huán)境不具有完全控制權(quán)時，如果實施得當(dāng)，云計算加密可以讓你保護(hù)數(shù)據(jù)。這一點對于私有云計算和公共云計算都是極具價值的，尤其是在你與其他用戶共享一個保存有不同敏感等級數(shù)據(jù)的存儲庫時。

但是云計算加密并不與你具有完全控制權(quán)的單租戶環(huán)境中所使用的加密技術(shù)相同。如果實施失當(dāng)，加密技術(shù)可能無法實現(xiàn)你所期望達(dá)到的功能和效果。而且，那些在傳統(tǒng)基礎(chǔ)設(shè)施中常見的錯誤也有隨著云計算遷移而產(chǎn)生更大的負(fù)面影響。

任何加密系統(tǒng)都有三個主要的組成部分：數(shù)據(jù)、加密引擎以及密鑰管理。如同使用筆記本電腦進(jìn)行加密一樣，所有這三個組成部分都在相同的位置中運(yùn)行或存儲。在我們的應(yīng)用程序架構(gòu)中，任何單一部分的損壞都有可能會導(dǎo)致整個系統(tǒng)的崩潰，因此我們往往會盡可能分離這三部分以便于減少這一可能性?，F(xiàn)在，讓我們來看看在一些常見的云計算安全架構(gòu)中這三部分是如何分布的：

1. 當(dāng)使用云計算進(jìn)行數(shù)據(jù)存儲時，通常會使用一個虛擬私有存儲架構(gòu)。

在把數(shù)據(jù)發(fā)送至云計算之前對其進(jìn)行加密處理，而當(dāng)數(shù)據(jù)發(fā)送回來后對其進(jìn)行解密。例如，使用一個云計算備份服務(wù)，在把數(shù)據(jù)存儲在云計算中之前，該服務(wù)就在備份軟件中使用一個本地密鑰對數(shù)據(jù)在本地進(jìn)行加密。由于是你自己在管理加密操作和密鑰，因此以安全備份的方式保留密鑰副本是其中的工具(這應(yīng)當(dāng)是你的備份解決方案中密鑰管理部分的一個功能)。

2. 對于存儲在IaaS應(yīng)用程序中數(shù)據(jù)的基本加密操作，你可以在你的實例中使用卷標(biāo)加密，并把數(shù)據(jù)保存在第二個加密卷標(biāo)中。

由于你的密鑰和加密引擎都保存在你的實例中，因此這并不是最安全的一個方法，但是這個方法確實能夠保護(hù)你的數(shù)據(jù)免受非法訪問的入侵。例如，假定你已正確地創(chuàng)建了你的實例 ，因此云計算供應(yīng)商的某人也就無法得到授權(quán)運(yùn)行系統(tǒng)或應(yīng)用程序(這是典型的默認(rèn)設(shè)置)，他們也就沒有辦法獲取密鑰進(jìn)而訪問加密卷標(biāo)。(唯一的例外是，他們從內(nèi)存中找出了密鑰，對于大多數(shù)威脅模式，這都是極為罕見的)。

3. 對于更為先進(jìn)的加密技術(shù)，你可以在實例中把密鑰與加密引擎分離開來。

在這個三層架構(gòu)中，你有一個卷標(biāo)用于存放加密數(shù)據(jù)，一個實例用于運(yùn)行加密引擎，而第三個密鑰管理服務(wù)器則可按需提供加密密鑰。如果你希望密鑰不在實例中，這個方法就能夠滿足你的要求，因為如果密鑰在實例中，那么能夠得到這個實例副本的攻擊者人也就自然得到了密鑰的副本。使用實例中的密鑰就能夠攻擊相同的一個新實例。而外部密鑰管理服務(wù)器只有在滿足一組基于規(guī)則的標(biāo)準(zhǔn)時才會返回密鑰，例如人工批準(zhǔn)一個新的運(yùn)行實例或在實例中運(yùn)行的加密客戶端中進(jìn)行一致性檢查。這樣，內(nèi)存中的實例就可以使用密鑰直至實例關(guān)閉。通常這個方法只適用于特殊的云計算加密產(chǎn)品。

這里介紹的用例只是眾多云計算加密中的三個，但是他們代表了三種分布加密引擎、密鑰管理以及數(shù)據(jù)的不同方法。例如，在SaaS供應(yīng)商企業(yè)網(wǎng)絡(luò)和代理流量商業(yè)產(chǎn)品的虛擬私有存儲中，加密諸如社會安全號碼這樣的敏感數(shù)據(jù)。

由于有如此多的不同云計算服務(wù)供應(yīng)商、內(nèi)部云計算配置以及SaaS、PaaS、IaaS模式，因此我們不可能在這里一一列舉。. 但是只要你知道你是在防備誰，你的數(shù)據(jù)、加密引擎以及密鑰在哪里，你就可以設(shè)計出非常安全的體系架構(gòu)，甚至是在你控制之外的多租戶環(huán)境也是如此。