雲計算安全漫談:雲端加密資料的利與弊

很多研究都顯示關於誰應該承擔客戶資料的安全責任方面，雲服務供應商及其客戶之間存在很大分歧：供應商將責任交到客戶手中，但客戶通常不同意。 根據Ponemon研究所去年的調查顯示，十個雲服務供應商中有七個供應商將客戶資料的安全責任交給客戶，只有30%的客戶同意。

難怪雲加密供應商越來越受歡迎。 通過加密資料，客戶可以確保他們的資訊是安全的，即使發生資料洩露事故，而且還能保密于雲服務供應商。 例 如，CipherCloud公司使用Web代理伺服器在資料去往受支援的軟體即服務公司(例如Salesforce)的路上加密資料，其他供應商對在平臺 即服務環境運行的應用程式進行加密， 而其他則側重于在加密雲存儲中的資料或加密基礎設施即服務。

Porticor公司首席執行官兼聯合創始人ays Gilad Parann-Nissany表示：「問題主要在於信任和資料控制權，尤其是靜態資料。 」

雲服務正在迅速發展，旨在對雲端資料進行加密的安全服務也在不斷發展。

隨著企業從軟體即服務轉移到基礎設施即服務，技術和解決方案變得越來越成熟，Gartner副總裁同時也是著名分析師Dan Blum表示，雲端存儲加密是最成熟的解決方案，而雲端具體領域的應用程式加密是醉不成書的。

關鍵是管理

最好的解決方案是那些允許客戶控制金鑰或者部分金鑰的解決方案，通過控制金鑰，客戶還可以控制對資料的訪問，甚至還可以防止雲服務供應商訪問資料。

Blum表示：「如果所有資訊都被加密，而且是通過客戶控制的一個金鑰來進行的，即使雲管理員也不能看到金鑰，這樣就很安全。 」

Porticor的Gilad表示，安全地加密資料並不是雲安全服務的技術障礙，困難之處在于找到一種方法來安全地管理金鑰。

他表示，「在這個時代，任何開發人員都知道如何加密資料，但是你將加密金鑰保存在哪裡?這時候，事情就變得沒那麼簡單了。 」

一些供應商將金鑰保存在資料相同的雲環境中，這樣並不安全。 其他供應商則將金鑰外包給協力廠商，還有供應商讓客戶自己管理金鑰。 Porticor 採用了混合的方法，有點類似銀行的保險箱，銀行持有一個金鑰，客戶持有另一個金鑰。 這種技術可以使客戶確保其資料的保密性，同時簡化金鑰管理。

讓加密變得可用

然而， 加密雲端資料也會帶來一些問題：

Gartner公司的Blum表示，在軟體即服務中使用資料加密會限制其可用性搜索包含加密資料的欄位會帶來問題，因為強大的加密不會保留原始純文字的屬性。 如果名字欄位被加密的話，在客戶資料庫搜索類似名字的條目將不能實現。

Blum表示：「如果你想要搜索和索引的能力，你必須消弱加密或者增加資料傳輸，才能實現。 」

一些公司已經找到了允許搜索的方法，例如，客戶可以搜索一個或多個欄位的精確匹配，本地解密所有匹配的記錄，然後細化搜索。

另一個潛在問題是：軟體即服務供應商可能想要訪問客戶的資料，特別是員工帶入工作場所的面向使用者的服務，例如社交網路。 加密供應商會加密社交網路的帖子，允許客戶控制對資料的訪問，社交媒體公司可能會將這種服務視為威脅，因為使用者的帖子是他們的利益所在。

(責任編輯：蒙遺善)