隨著好萊塢明星們的裸照在全球互聯(lián)網(wǎng)瘋傳，云計算幾乎成了危險的代名詞，從好萊塢女星到上百億資產(chǎn)的銀行家都為之憂心忡忡。

[[120394]]

對于銀行等數(shù)據(jù)安全要求較高的企業(yè)來說，云計算的安全是個兩難問題，一方面云計算分布式的數(shù)據(jù)存儲可以抵御DDoS攻擊，但同時又會增加數(shù)據(jù)泄露風險，云和安全似乎總是難以兼顧。

例如2012年伊朗黑客曾對美國銀行企業(yè)發(fā)起大規(guī)模的DDoS攻擊，當時安全公司Cloudflare曾指出，云計算將企業(yè)數(shù)據(jù)存放在世界各地多個服務器上，這能有效緩解DDoS攻擊的壓力;但敏感數(shù)據(jù)也面臨更大的泄露風險，尤其是SSL私鑰，控制對此類關鍵數(shù)據(jù)的訪問對于銀行來說至關重要。今年4月爆出的心臟出血漏洞，使得黑客能夠獲取公共服務器中的內(nèi)存緩存，從而提取私鑰(企業(yè)內(nèi)網(wǎng)的噩夢：HeartBleed漏洞會暴露OpenVPN私鑰)，造成安全與合規(guī)的雙重災難。

類似心臟出血漏洞的風險驅(qū)使銀行(以及其他注重數(shù)據(jù)安全的企業(yè))將數(shù)據(jù)放到少數(shù)更加安全的服務器中，這不但使硬件成本急速飆升，同時也使得企業(yè)更加容易遭受DDoS攻擊。

近日，Cloudflare首席執(zhí)行官Matthew Prince宣稱，Cloudflare已經(jīng)奪取了云安全的圣杯，將企業(yè)拯救出云安全的兩難困境。

Cloudflare發(fā)明一種方法，允許企業(yè)將加密數(shù)據(jù)分布式存儲于云中，但將私鑰儲存在一個單獨的安全服務器中。當用戶訪問網(wǎng)站時，Cloudflare會簽發(fā)一個臨時的“會話秘鑰”，與用戶的設備一一對應，從而讓私鑰從公眾視野中消失。這聽上去挺簡單，但是Prince表示，這需要每秒處理1000萬次安全交易，是技術上的一次重大創(chuàng)新，目前高盛公司已經(jīng)成為該技術的首批用戶之一。

一些知名安全專家，包括個人加密標桿技術PGP的發(fā)明者Jon Callas和Phil Zimmerman，將Cloudflare發(fā)明的這種“無秘鑰SSL”與PGP進行了對比，認為Cloudflare的無私鑰加密技術不僅僅適用于安全企業(yè)，還可應用于云數(shù)據(jù)中心擴展，例如在非洲和中國的安全管理水平較差一些的數(shù)據(jù)中心里部署關鍵應用，而無需擔心安全問題。

在云安全領域，Cloudflare的“無秘鑰SSL”能算是一個小號圣杯。本周IBM的密碼學者Craig Gentry榮獲麥克阿瑟獎金，Gentry的研究項目才是云安全的“iPhone 6 Plus”——在云計算環(huán)境中，如何對數(shù)據(jù)加密，使得云服務商無法獲取數(shù)據(jù)內(nèi)容，但擁有合法證書的用戶卻能夠訪問。

Gentry研究中的加密算法目前還主要停留在理論層面，目前面臨的主要挑戰(zhàn)是處理速度與實際應用需求相差1000倍，但是在IT業(yè)，提速1000倍，只需要五年時間而已。

原文地址：http://www.aqniu.com/neotech/datasecurity/4660.html