雲計算加密與IaaS安全

我曾開玩笑說，各種越來越多的不同雲計算應用就如同是在打造一隻HTTP://www.aliyun.com/zixun/aggregation/17326.html">存儲資料加密工程師的「金飯碗「。 一直以來，加密就是一個重要的安全工具，但是在大多數情況下，我們還沒有頻繁地使用這一工具來保護存儲資料。 而正是由於雲計算的出現以及眾多公共資料洩漏事件的影響，這一情況已發生了改變。

目前，採用雲計算加密的原因可能並不如你所認為的那樣。 最常見的想法是應該由你的雲計算服務管理員來保護資料(這裡主要是指公共雲計算)。 毫無疑問，對你的資料垂涎欲滴的雲計算供應商是一個潛在的風險，但對大多數人來說，這可能只是一個小風險。 這也帶給我們一種錯覺，即不需要對私有雲計算資料進行加密。

實施雲計算加密的動因

除了加密資料(無論是進還是出雲計算)的常見原因，還有兩個主要的原因：

1. 雲計算是由API而不是物理訪問來管理。 因此，如果有人獲得了對管理平臺的管理級訪問權，那麼他們就可以很容易地複製和移動大量的資料，而這一點在傳統基礎設施中是根本無法實現的。 所有所需的僅僅是一個並不強壯的管理系統以便於竊取你的整個基於雲計算的資料中心。

2. 即便是私有雲計算，它也是具有多租戶特點的。 加密技術可以讓你的資料與其他使用者(甚至是管理員)保持安全的距離。 它允許你使用一個更加開放的共用基礎設施，同時還能夠保護你自己的資料，當然前提是你必須操作正確。

考慮到這些原因，那麼就讓我們來看看兩種IaaS存儲方法，以及應當如何對它們進行加密以實現IaaS安全性。

雲計算加密：物件存儲

首先是物件存儲，例如Amazon S3 或 OpenStack Swift。 物件存儲是一個檔/物件程式庫。 可以把它想像成一個檔案伺服器或硬碟磁碟機。 雖然，你可以配置大部分的物件存儲系統並對它們所存儲的所有資料進行加密，但是這種方式的作用是片面的，它只能防止磁碟機丟失，而不是保護你的檔免受外人的訪問。

為了在一個共用庫中保護你的檔，你需要使用一個我稱之為「虛擬私有存儲」的架構。 就如同虛擬私有網路(VPN)允許我們加密私有資料並使用公共網路一樣，虛擬私有存儲允許我們在公共存放裝置中保護私有資料。

其原理是相當簡單的：在你把你的資料發送至雲計算之前，對其進行加密。 根據你的實際工作情況，這一步操作可以在你用於訪問物件存儲的代理/應用程式中自動執行。 例如，我使用Dropbox (它在S3中存儲檔)，通過把敏感檔存放于存儲在服務中的加密標籤來對它們進行保護。 僅自己自己有金鑰，因此我的資料是安全的。

雲計算加密：標籤存儲

下面，讓我們談談標籤存儲，例如Amazon EBS 或 RackSpace RAID。 當在雲計算中運行長期計算實例時，你就會用到這種存儲系統。 它們類比成一個普通的硬體標籤，然後我們使用類似的技術對其進行加密。

第一種方法就是加密與你的實例相關的標籤。 你的實例並沒有被加密(對於引導標籤來說，其情況更為複雜)，但是你的敏感性資料存儲在與實例相關的加密標籤中。 有很多工具支援這一功能，它們甚至不需要針對雲計算做任何特殊的改動。 為了實現進一步的安全性，你可以把你的金鑰存儲在你的實例之外(對不起，鑒於篇幅有限，這一問題我將在今後的文章中具體介紹)。

另一個方法是使用特殊的加密代理，它位於計算實例和存儲標籤或用於檔案伺服器的第二實例之間。 當你有一堆實例連接至相同的存儲或需要類比出比實例中由工具支援的存儲更多的類型時，這種方式就有用武之地了。 這些代理一般都是成熟的商品，基本上就是在你的雲計算環境中運行的虛擬裝置。

最後，對於私有雲計算或混合雲計算，你可以使用外部管理加密工具，它們有可能是物理硬體。 此外，這些成熟商品對於利用現有的加密投資或更為複雜的部屬都是有用的。

我並不是想要過分簡化IaaS存儲加密。 我並沒有用過多的筆墨來介紹很多的方法和用例，但是IaaS的安全基礎可能並不如你想像的那樣複雜。 雲計算安全聯盟的培訓包括了一個手把手的標籤加密操作，其費時只需10分鐘。

(責任編輯：蒙遺善)