我曾開(kāi)玩笑說(shuō)，各種越來(lái)越多的不同云計(jì)算應(yīng)用就如同是在打造一只存儲(chǔ)數(shù)據(jù)加密工程師的“金飯碗“。一直以來(lái)，加密就是一個(gè)重要的安全工具，但是在大多數(shù)情況下，我們還沒(méi)有頻繁地使用這一工具來(lái)保護(hù)存儲(chǔ)數(shù)據(jù)。而正是由于云計(jì)算的出現(xiàn)以及眾多公共數(shù)據(jù)泄漏事件的影響，這一情況已發(fā)生了改變。

　　目前，采用云計(jì)算加密的原因可能并不如你所認(rèn)為的那樣。最常見(jiàn)的想法是應(yīng)該由你的云計(jì)算服務(wù)管理員來(lái)保護(hù)數(shù)據(jù)(這里主要是指公共云計(jì)算)。毫無(wú)疑問(wèn)，對(duì)你的數(shù)據(jù)垂涎欲滴的云計(jì)算供應(yīng)商是一個(gè)潛在的風(fēng)險(xiǎn)，但對(duì)大多數(shù)人來(lái)說(shuō)，這可能只是一個(gè)小風(fēng)險(xiǎn)。這也帶給我們一種錯(cuò)覺(jué)，即不需要對(duì)私有云計(jì)算數(shù)據(jù)進(jìn)行加密。

　　實(shí)施云計(jì)算加密的動(dòng)因

　　除了加密數(shù)據(jù)(無(wú)論是進(jìn)還是出云計(jì)算)的常見(jiàn)原因，還有兩個(gè)主要的原因：

　　1. 云計(jì)算是由API而不是物理訪問(wèn)來(lái)管理。因此，如果有人獲得了對(duì)管理平臺(tái)的管理級(jí)訪問(wèn)權(quán)，那么他們就可以很容易地復(fù)制和移動(dòng)大量的數(shù)據(jù)，而這一點(diǎn)在傳統(tǒng)基礎(chǔ)設(shè)施中是根本無(wú)法實(shí)現(xiàn)的。所有所需的僅僅是一個(gè)并不強(qiáng)壯的管理系統(tǒng)以便于竊取你的整個(gè)基于云計(jì)算的數(shù)據(jù)中心。

　　2. 即便是私有云計(jì)算，它也是具有多租戶特點(diǎn)的。加密技術(shù)可以讓你的數(shù)據(jù)與其他用戶(甚至是管理員)保持安全的距離。它允許你使用一個(gè)更加開(kāi)放的共享基礎(chǔ)設(shè)施，同時(shí)還能夠保護(hù)你自己的數(shù)據(jù)，當(dāng)然前提是你必須操作正確。

　　考慮到這些原因，那么就讓我們來(lái)看看兩種IaaS存儲(chǔ)方法，以及應(yīng)當(dāng)如何對(duì)它們進(jìn)行加密以實(shí)現(xiàn)IaaS安全性。

　　云計(jì)算加密：對(duì)象存儲(chǔ)

　　首先是對(duì)象存儲(chǔ)，例如Amazon S3 或 OpenStack Swift。對(duì)象存儲(chǔ)是一個(gè)文件/對(duì)象庫(kù)?？梢园阉胂蟪梢粋€(gè)文件服務(wù)器或硬盤(pán)驅(qū)動(dòng)器。雖然，你可以配置大部分的對(duì)象存儲(chǔ)系統(tǒng)并對(duì)它們所存儲(chǔ)的所有數(shù)據(jù)進(jìn)行加密，但是這種方式的作用是片面的，它只能防止驅(qū)動(dòng)器丟失，而不是保護(hù)你的文件免受外人的訪問(wèn)。

　　為了在一個(gè)共享庫(kù)中保護(hù)你的文件，你需要使用一個(gè)我稱之為“虛擬私有存儲(chǔ)”的架構(gòu)。就如同虛擬私有網(wǎng)絡(luò)(VPN)允許我們加密私有數(shù)據(jù)并使用公共網(wǎng)絡(luò)一樣，虛擬私有存儲(chǔ)允許我們?cè)诠泊鎯?chǔ)設(shè)備中保護(hù)私有數(shù)據(jù)。

　　其原理是相當(dāng)簡(jiǎn)單的：在你把你的數(shù)據(jù)發(fā)送至云計(jì)算之前，對(duì)其進(jìn)行加密。根據(jù)你的實(shí)際工作情況，這一步操作可以在你用于訪問(wèn)對(duì)象存儲(chǔ)的代理/應(yīng)用程序中自動(dòng)執(zhí)行。例如，我使用Dropbox (它在S3中存儲(chǔ)文件)，通過(guò)把敏感文件存放于存儲(chǔ)在服務(wù)中的加密卷標(biāo)來(lái)對(duì)它們進(jìn)行保護(hù)。只有我自己有密鑰，因此我的數(shù)據(jù)是安全的。

　　云計(jì)算加密：卷標(biāo)存儲(chǔ)

　　下面，讓我們談?wù)劸順?biāo)存儲(chǔ)，例如Amazon EBS 或 RackSpace RAID。當(dāng)在云計(jì)算中運(yùn)行長(zhǎng)期計(jì)算實(shí)例時(shí)，你就會(huì)用到這種存儲(chǔ)系統(tǒng)。它們模擬成一個(gè)普通的硬件卷標(biāo)，然后我們使用類(lèi)似的技術(shù)對(duì)其進(jìn)行加密。

　　第一種方法就是加密與你的實(shí)例相關(guān)的卷標(biāo)。你的實(shí)例并沒(méi)有被加密(對(duì)于引導(dǎo)卷標(biāo)來(lái)說(shuō)，其情況更為復(fù)雜)，但是你的敏感數(shù)據(jù)存儲(chǔ)在與實(shí)例相關(guān)的加密卷標(biāo)中。有很多工具支持這一功能，它們甚至不需要針對(duì)云計(jì)算做任何特殊的改動(dòng)。為了實(shí)現(xiàn)進(jìn)一步的安全性，你可以把你的密鑰存儲(chǔ)在你的實(shí)例之外(對(duì)不起，鑒于篇幅有限，這一問(wèn)題我將在今后的文章中具體介紹)。

　　另一個(gè)方法是使用特殊的加密代理，它位于計(jì)算實(shí)例和存儲(chǔ)卷標(biāo)或用于文件服務(wù)器的第二實(shí)例之間。當(dāng)你有一堆實(shí)例連接至相同的存儲(chǔ)或需要模擬出比實(shí)例中由工具支持的存儲(chǔ)更多的類(lèi)型時(shí)，這種方式就有用武之地了。這些代理一般都是成熟的商品，基本上就是在你的云計(jì)算環(huán)境中運(yùn)行的虛擬設(shè)備。

　　最后，對(duì)于私有云計(jì)算或混合云計(jì)算，你可以使用外部管理加密工具，它們有可能是物理硬件。此外，這些成熟商品對(duì)于利用現(xiàn)有的加密投資或更為復(fù)雜的部屬都是有用的。

　　我并不是想要過(guò)分簡(jiǎn)化IaaS存儲(chǔ)加密。我并沒(méi)有用過(guò)多的筆墨來(lái)介紹很多的方法和用例，但是IaaS的安全基礎(chǔ)可能并不如你想象的那樣復(fù)雜。云計(jì)算安全聯(lián)盟的培訓(xùn)包括了一個(gè)手把手的卷標(biāo)加密操作，其費(fèi)時(shí)只需10分鐘。