下载安卓APP箭头
箭头给我发消息

客服QQ:3315713922

云端进行数据加密原因详解

作者:课课家教育     来源: http://www.kokojia.com点击数:873发布时间: 2017-06-16 10:00:47

标签: 云计算数据安全虚拟化

  数据加密,是一门历史悠久的技术,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。它的核心是密码学。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。

  最近联邦调查局与苹果公司之间有关数据隐私的论战再次将这个备受争议的问题摆在了公众意识的面前。事实上,数据隐私和网络安全问题也是美国总统选举中的重点讨论问题,尤其是在指控一些国家决策者密谋影响选举结果的时候。

云端进行数据加密原因详解_云计算_数据安全_虚拟化_课课家教育

  虽然公众可以借此让自己在数据隐私问题上接受强化教育,但是要知道技术提供商们实际上在过去已在这个问题上已经多次“犯规”过了。事实上,随着企业客户的市场需求增加,多个云提供者包括亚马逊、谷歌,Salesforce已经扩展他们的加密功能到了客户持有的加密密钥或称Bring-Your-Own-Keys(BYOK)领域。

  以前,这些云提供商不但进行数据加密而且对加密密钥保留控制权。如今,通过允许企业自行管理密钥,云服务提供商正在向客户引入另一种保证数据安全和隐私的方式。

  1. 控制政府对公司数据的访问

  为了应对政府可能数据请求,企业选择对云中的数据用其自行管控的密钥进行加密。而云服务提供商则为了定期回应政府机构的抽查,他们依法被迫在客户不知情的情况下提供出用户数据。

  在2016年上半年,谷歌报告显示收到过近45000个请求以寻求超过76000的帐户信息。在Twitter的透明度报告中,也提及他们已收到过2871次请求,该请求的数量较去年增加了40%。云服务提供商若持有加密密钥则可以完全的访问所有客户的数据平台。而由企业自行管理的密钥时,他们能获悉政府的数据请求,并且可以选择他们自己的方式来应对。

  2. 规范密钥管理的过程

  通过自行管理他们的钥匙,企业可以更好地保护他们的数据并提高合规性。通过制定和执行内部的密钥流转使用策略,企业可以通过模拟密钥丢失、被损坏或是持有主密钥的员工离开公司等场景,以确保他们的数据安全性。选择适当的密钥管理策略也能让企业更好的遵守行业规范。例如,PCI规范就建议公司至少一年要流转使用其密钥一次。

  3. 预防云服务管理员的渎职行为

  认识到云提供商可能出现的类似“斯诺登”的风险后,企业正在寻找方法来提高对“流氓”管理员的防御。当云服务提供商用他们自己的密钥加密数据时,就潜在着管理员滥用特权进行未经授权的访问的可能性。而客户用自己的密钥加密数据时,这种风险会随着云服务员工只有访问到已被加密数据而降低了许多。

  在过去,云服务提供商禁用了诸如搜索和排序等功能,因此客户自行加密和服务方案能力都受到了限制。但是密码学的进步,提供了在保留最终用户各项功能的同时的多种加密数据的方式。这使得像Salesforce,Box和亚马逊之类的公司能为他们客户提供BYOK的选项。

在过去,云服务提供商禁用了诸如搜索和排序等功能,因此客户自行加密和服务方案能力都受到了限制。但是密码学的进步,提供了在保留最终用户各项功能的同时的多种加密数据的方式。这使得像Salesforce,Box和亚马逊之类的公司能为他们客户提供BYOK的选项。

  4. 维护客户数据的保密性

  像律师事务所和咨询公司,他们受严格的客户保密协议的制约,对采用云服务往往是天生抵触的。因为如果这样做,他们可能会暴露其数据而任由第三方所访问。但是如果他们通过用自己的密钥去加密他们的云端数据,这些公司便可以限制只有经过授权的用户才能访问。如此,他们在践行其保密承诺的同时,又能享受到利用云服务所带来的好处。

  5. 符合数据保护的法律和法规

  有许多法律和法规涉及到个人数据保护和健康数据,它们都提及了各组织应该实施适当的安全措施来降低风险。部分甚至认为加密是一种积极的部署防御方式。例如,新的欧盟通用数据保护规则就具体建议到:加密可以降低风险。它还指出,当被加密的个人信息暴露时,因为数据不能被第三方所访问到,所以并不触发事件通知的要求。

  随着云的使用正以指数级在增长着,企业越来越多地使用云访问安全代理(CASBs)来加固云中的数据及其使用。CASBs作为用户和云服务之间的控制点提供了云端活动的可见性、践行了合规性、检测来自内部的威胁和账户被盗,并且使用访问控制和加密来保护数据。

  和防火墙配合使用的数据加密技术,是为提高信息系统和数据的安全性和保密性,防止秘密数据被外部破译而采用的主要技术手段之一。在技术上分别从软件和硬件两方面采取措施。按照作用的不同,数据加密技术可分为数据传输加密技术、数据存储加密技术、数据完整性的鉴别技术和密钥管理技术。数据传输加密技术的目的是对传输中的数据流加密,通常有线路加密与端—端加密两种。线路加密侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。端—端加密指信息由发送端自动加密,并且由TCP/IP进行数据包封装,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息到达目的地,将被自动重组、解密,而成为可读的数据。

数据存储加密技术的目的是防止在存储环节上的数据失密,数据存储加密技术可分为密文存储和存取控制两种。

  数据存储加密技术的目的是防止在存储环节上的数据失密,数据存储加密技术可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现;后者则是对用户资格、权限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据。数据完整性鉴别技术的目的是对介入信息传送、存取和处理的人的身份和相关数据内容进行验证,一般包括口令、密钥、身份、数据等项的鉴别。系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。密钥管理技术包括密钥的产生、分配、保存、更换和销毁等各个环节上的保密措施。

  对于使用自己的密钥来加密云端数据的公司来说,CASBs充当的是密钥的代理,它能和公司的密钥管理服务器集成,促进密钥向云服务提供商的安全传输,而无需人工干预。最近的一个例子就是Skyhigh与Salesforce协作,并将‘Bring Your Own Key’的能力引入其提供的保护范畴。作为密钥代理,Skyhigh可使客户能在跨多个Salesforce的组织域内流转使用密钥。此功能减少了管理的开销,降低了人为错误,并确保在Salesforce云中的公司数据得以保护。

  任何一个加密系统都是由明文、密文、算法和密钥组成。发送方通过加密设备或加密算法,用加密密钥将数据加密后发送出去。接收方在收到密文后,用解密密钥将密文解密,恢复为明文。在传输过程中,即使密文被非法分子偷窃获取,得到的也只是无法识别的密文,从而起到数据保密的作用。

  还有更多详细内容,尽在课课家教育,我们期待您的咨询!

赞(17)
踩(0)
分享到:
华为认证网络工程师 HCIE直播课视频教程