沒(méi)有云加密，就沒(méi)有云計(jì)算，因?yàn)閿?shù)據(jù)丟失的風(fēng)險(xiǎn)太高—磁盤錯(cuò)位、低強(qiáng)度密碼、網(wǎng)絡(luò)窺探或盜竊都會(huì)導(dǎo)致數(shù)據(jù)丟失。

[[434869]]

讓我們回顧一下不同類型的云加密策略、服務(wù)和最佳做法，以幫助加強(qiáng)你的安全策略和維護(hù)工作應(yīng)用程序。

數(shù)據(jù)加密方法

云密碼學(xué)通過(guò)加密應(yīng)用于數(shù)據(jù)，加密有兩種形式：對(duì)稱和非對(duì)稱。兩者之間的差異很明顯。 對(duì)稱加密。

在對(duì)稱加密中，相同的密鑰用于執(zhí)行加密和解密。擁有密鑰副本的人可以解密和加密信息。如果密鑰暴露，則會(huì)使數(shù)據(jù)加密失效，從而失去隱私和保護(hù)。而且這里還有個(gè)問(wèn)題是，如何安全地將密鑰交到發(fā)起者手中的問(wèn)題。

非對(duì)稱加密。非對(duì)稱加密過(guò)程涉及兩個(gè)密鑰：公鑰和私鑰。任何擁有公鑰的人都可以輕松安全地發(fā)送信息;只有擁有私鑰的人才能解密。如果你只有公鑰，則這是一種單向功能。由于它不存在與對(duì)稱加密相同的安全問(wèn)題，因此團(tuán)隊(duì)可以輕松地分發(fā)公鑰。

傳輸中加密是指，當(dāng)數(shù)據(jù)在服務(wù)器、用戶和基礎(chǔ)設(shè)施之間的網(wǎng)絡(luò)中移動(dòng)時(shí)，對(duì)其進(jìn)行加密。例如，當(dāng)有人瀏覽啟用HTTPS的安全網(wǎng)站時(shí)，他們會(huì)在傳輸過(guò)程中使用加密。HTTPS展示了非對(duì)稱和對(duì)稱加密如何協(xié)同工作以帶來(lái)改進(jìn)。

非對(duì)稱加密的缺點(diǎn)是它消耗大量CPU，這意味著Web服務(wù)器只能處理更少的會(huì)話。要解決此問(wèn)題，請(qǐng)考慮對(duì)初始連接進(jìn)行非對(duì)稱加密，然后安全地協(xié)商對(duì)稱密鑰以用于該會(huì)話。此方法可降低CPU開(kāi)銷，并遠(yuǎn)離攻擊者和窺探者。

廣泛應(yīng)用加密

現(xiàn)代環(huán)境包含大量敏感信息，因此IT團(tuán)隊(duì)?wèi)?yīng)廣泛部署加密。你不應(yīng)該問(wèn)，“我們?yōu)槭裁匆用苓@個(gè)?”而應(yīng)該問(wèn)問(wèn)自己，“為什么不加密呢?”與數(shù)據(jù)丟失或盜竊的成本相比，加密的成本相形見(jiàn)絀。

對(duì)于最需要保護(hù)的數(shù)據(jù)，用戶可以對(duì)使用中的數(shù)據(jù)進(jìn)行加密。例如，VM應(yīng)在運(yùn)行時(shí)被加密。這有助于防止從一個(gè)VM逃離的惡意進(jìn)程VM讀取另一個(gè)VM的內(nèi)存。

企業(yè)可以使用加密來(lái)保護(hù)不同場(chǎng)景中的數(shù)據(jù)。最常用的類型之一是靜態(tài)加密。幾乎所有云計(jì)算提供商都對(duì)磁盤和任何重要媒介進(jìn)行靜態(tài)加密。

在受高度監(jiān)管的環(huán)境中，未加密磁盤丟失可能會(huì)對(duì)企業(yè)聲譽(yù)和財(cái)務(wù)產(chǎn)生重大影響。然而，加密設(shè)備丟失遠(yuǎn)沒(méi)有那么嚴(yán)重，輿論影響應(yīng)該最小。

謹(jǐn)慎管理密鑰

雖然密鑰本身相對(duì)簡(jiǎn)單，但密鑰管理對(duì)于托管環(huán)境至關(guān)重要。大多數(shù)云提供商都提供密鑰保管庫(kù)來(lái)存儲(chǔ)敏感信息，例如API密鑰和證書(shū)。云供應(yīng)商加密產(chǎn)品包括Google Secret Manager、Azure Key Vault和AWS Key Management Service。

對(duì)于加密虛擬機(jī)，云計(jì)算提供商顯然對(duì)提供高質(zhì)量加密有著濃厚興趣。問(wèn)題在于，客戶不希望將他們的加密密鑰傳遞給服務(wù)提供商，這是可以理解的。

根據(jù)系統(tǒng)的不同，供應(yīng)商可以管理云加密過(guò)程。

大多數(shù)主要供應(yīng)商提供的功能不僅可以加密云存儲(chǔ)和數(shù)據(jù)，還可以加密云環(huán)境中的VM。所有這一切的基本方面是負(fù)責(zé)任地?fù)碛泻凸芾砻荑€。雖然云服務(wù)提供商是安全戰(zhàn)斗的盟友，但企業(yè)的員工需要保持警惕，以確保將加密策略和云加密最佳實(shí)踐落實(shí)到位。