[[130054]]

AWS的密鑰管理服務(wù)是個(gè)很好的云加密密鑰管理工具。專家Dave Shackleford帶你檢視AWS KMS的細(xì)節(jié)及其對企業(yè)的益處。

亞馬遜Web服務(wù)(AWS)最近發(fā)布了嶄新的加密管理平臺(tái)，AWS密鑰管理服務(wù)(KMS)。AWS KMS允許用戶在幾個(gè)AWS最熱門的功能中加密數(shù)據(jù)和管理加密密鑰。

這篇技巧文將仔細(xì)檢視在云端方面越來越重要的加密密鑰管理，尤其是AWS KMS。它的原理是什么，以及這個(gè)新的云服務(wù)所帶來的好處及缺點(diǎn)。

云端加密密鑰管理

密鑰管理的重要性不容忽視。對很多組織來說，適當(dāng)?shù)脑谠浦屑用軘?shù)據(jù)，安全的創(chuàng)建并保留加密密鑰，還有在理論上，防止任何云供應(yīng)商的管理人員訪問這些密鑰等需求，在任何的云計(jì)算環(huán)境里，尤其是基礎(chǔ)架構(gòu)即服務(wù)(IaaS)領(lǐng)域方面，都是一些最搶手最重要的安全機(jī)制。理論上，所有的密鑰都應(yīng)該在服務(wù)實(shí)例化時(shí)產(chǎn)生，然后從云中移除并由用戶管理。很不幸，大部分云環(huán)境并沒有完全支持客戶端的密鑰管理，而云中服務(wù)器端的密鑰管理也不允許用戶完全擁有及控制，雖然這通常是一個(gè)很基本的遵守規(guī)范。

AWS KMS的使用

Amazon在2013年發(fā)布了他們的CloudHSM服務(wù)，目的是允許客戶在虛擬私有云(VPC)環(huán)境中使用一個(gè)用于密鑰管理的專屬硬件存儲(chǔ)裝置，但這個(gè)服務(wù)并沒有與所有的AWS服務(wù)完全整合，并且需要很大量的手動(dòng)配置及操作才能正常運(yùn)行。

隨著KMS的發(fā)布，Amazon很明顯在加密密鑰管理上下了重注。他們在CloudHSM服務(wù)上增加了更細(xì)致并強(qiáng)大的密鑰創(chuàng)建，循環(huán)，及整合工具和功能，可用于現(xiàn)今使用的大部分AWS主要服務(wù)。當(dāng)中的硬件模塊符合業(yè)界標(biāo)準(zhǔn)所要求的，絕不將全部密鑰存在硬盤或內(nèi)存，以及任何一個(gè)客戶HSM的訪問需要多層的審查和批準(zhǔn)。這允許顧客將密鑰存在AWS 云中，使得來自其他服務(wù)和系統(tǒng)的訪問變得容易許多。

AWS的主要服務(wù)如S3、EBS和 Redshift現(xiàn)在可以使用由AWS KMS控制的密鑰來加密離線數(shù)據(jù)。顧客們可以在每個(gè)服務(wù)中使用主密鑰，也就是當(dāng)一個(gè)用戶開始使用服務(wù)時(shí)生成的默認(rèn)密鑰，或者顧客們也可以按需使用AWS KMS來創(chuàng)建并管理新的密鑰。用戶也可以替每個(gè)Amazon里單獨(dú)的服務(wù)，應(yīng)用種類或數(shù)據(jù)分類層分別定義密鑰。

KMS好處

要開始使用AWS KMS時(shí)，管理員要先訪問Amazon AWS控制臺(tái)里，“IAM”服務(wù)類別下的“加密密鑰”部分。新的密鑰管理配置文件及政策也可以在此處定義，這也同Amazon的IAM規(guī)則的標(biāo)準(zhǔn)模型相符合，并與所有標(biāo)準(zhǔn)AWS應(yīng)用程序界面(API)整合。事實(shí)上，這是KMS所帶來的其中一個(gè)最立竿見影的優(yōu)點(diǎn)之一，同所有AWS服務(wù)API的完全集成。此外，還提供新的密鑰管理API，可以很容易的為開發(fā)人員和運(yùn)營團(tuán)隊(duì)在密鑰管理和密鑰訪問，使用和生命周期管理的整合上提供更實(shí)用的體驗(yàn)。

另一個(gè)能夠讓團(tuán)隊(duì)們覺得欣賞的KMS安全要素是，在所有有關(guān)于AWS CloudTrail里服務(wù)的活動(dòng)都有完全的記錄。安全團(tuán)隊(duì)可以分析KMS記錄來找出特定的密鑰在何時(shí)及如何被使用，以及哪些服務(wù)和用戶訪問并使用了這些密鑰。

以每月每個(gè)密鑰版本1美金的價(jià)格，這個(gè)新服務(wù)很可能是現(xiàn)今云計(jì)算中最能承受的密鑰管理產(chǎn)品。API請求也只需要每10000次請求3美分的價(jià)格。

結(jié)論

KMS 很可能會(huì)成為現(xiàn)有AWS顧客覺得馬上可用的一個(gè)服務(wù)，而安全團(tuán)隊(duì)也會(huì)看到使用KMS帶來的立竿見影的好處，因?yàn)樗械腁WS服務(wù)都支持它。這個(gè)服務(wù)沒有明顯的缺點(diǎn)，現(xiàn)有的客戶在密鑰及加強(qiáng)安全過程方面獲得更多的控制權(quán)，而潛在的云服務(wù)客戶也許將能夠?qū)嵤┲耙驗(yàn)榧用芎兔荑€管理需求而不得不放棄的云項(xiàng)目。