2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
網(wǎng)絡功能虛擬化(NFV)時代的一個主要干擾因素是電信云服務的擴展。 基于云的服務提供了巨大的好處,如可伸縮性、成本性能、中心和易于管理。 然而,這些服務是使用共享資源的集中信息存儲庫,這使得它們成為攻擊者的主要目標。
這些共享資源包括計算或云存儲服務器,單個服務器中的漏洞可能導致完整的信息泄漏和妥協(xié)。 因此,安全行業(yè)專家正在探索防火墻和加密等技術(shù),以保護云服務和平臺。 隨著越來越多的電信云服務實現(xiàn)這些技術(shù),了解當前的選項是很重要的。
加密使用密碼密鑰將明文(也稱為人類可讀數(shù)據(jù))轉(zhuǎn)換為不可讀文本。 同樣,加密數(shù)據(jù)的解密需要一個各自的密碼密鑰將其轉(zhuǎn)換為其原始形式。 數(shù)據(jù)加密保證了數(shù)據(jù)的安全性和完整性.. 沒有密鑰,數(shù)據(jù)不能被攻擊者或未經(jīng)授權(quán)的用戶解密,除非密鑰已經(jīng)被破壞。 加密可以應用于兩種類型的數(shù)據(jù):在運輸中和在休息時。
過境數(shù)據(jù)包括跨越互聯(lián)網(wǎng)和系統(tǒng)接口的數(shù)據(jù),這些數(shù)據(jù)可以是系統(tǒng)外部的,也可以是服務器和軟件應用程序編程接口(API)之間的內(nèi)部數(shù)據(jù)。 它可以使用HTTPS、TLS、IPSec等加密,這對于防止未經(jīng)授權(quán)的用戶攔截至關(guān)重要。
數(shù)據(jù)在REST也意味著數(shù)據(jù)在存儲,包括存儲節(jié)點和可移動存儲介質(zhì)。 數(shù)據(jù)在REST加密可以應用到特定的數(shù)據(jù)文件或所有存儲的數(shù)據(jù).. 端到端加密是對數(shù)據(jù)進行加密的一種手段,因此它只能在端點處解密。 在傳輸過程中通過加密數(shù)據(jù)對云服務進行接口,可以消除服務器訪問的可能性,而不需要適當?shù)拿荑€-只有發(fā)送方和接收方可以通過這些接口解密消息。
加密也可以應用于云系統(tǒng),以啟用授權(quán)用戶訪問,以及用于外部接口上的系統(tǒng)訪問,并保護存儲在云系統(tǒng)上的敏感數(shù)據(jù)。 沒有密碼密鑰,丟失或被盜數(shù)據(jù)無法訪問。
加密的服務器數(shù)據(jù)也使攻擊者在休息時訪問數(shù)據(jù)的機會最小化。 即使他們訪問了加密的服務器數(shù)據(jù),攻擊者也無法“讀取”數(shù)據(jù)或破壞它,而沒有密鑰來解密它。 因此,在靜止狀態(tài)下加密數(shù)據(jù)是穩(wěn)健云數(shù)據(jù)安全的關(guān)鍵要素。
一種專門設(shè)計用于保護密碼密鑰生命周期的專用密碼處理器,硬件安全模塊(HSM)保護和管理數(shù)字密鑰以進行強身份驗證,并提供密碼處理。
傳統(tǒng)上,HSMS要么是插件卡,要么是連接到計算機或網(wǎng)絡服務器的外部設(shè)備。 由于這些模塊通常是關(guān)鍵任務信息技術(shù)基礎(chǔ)設(shè)施的一部分,它們通常是為高可用性而分組的,包括雙電源模塊。
云運營商在HSM中保留其主要的項目秘密密鑰,稱為密鑰加密密鑰(KE K),使用PKCS#11協(xié)議通過密碼插件與Barbican進行交互。 一個用于確保存儲、供應和管理秘密的RESTAPI,Barbican是一個Open Stack項目,使用戶能夠構(gòu)建安全的、云準備的密鑰管理系統(tǒng)。
這些系統(tǒng)允許管理敏感信息,如對稱和非對稱密鑰以及原始秘密。 在HSM中,秘密被加密,然后在檢索時由特定于項目的KEK解密。 例如,HSM將每個服務生成一個加密密鑰來加密存儲卷。
另一個Open Stack項目是Keystone,它提供集中式API客戶端身份驗證、服務發(fā)現(xiàn)和分布式多租戶授權(quán)。 keystone在訪問任何其他服務之前首先對用戶進行身份驗證。 它還可以使用外部身份驗證系統(tǒng),如LDAP或TACACS。 一旦成功認證,用戶將獲得包含在服務請求中的臨時令牌。 用戶接收服務訪問當且僅當令牌被驗證并且如果用戶有適當?shù)慕巧?.
首先,Barbican驗證keystone身份驗證令牌以識別用戶和項目訪問或存儲秘密。 然后,它應用策略來確定是否授權(quán)訪問。
巴比康用唯一的超鏈接取代敏感信息,如數(shù)據(jù)庫密碼,這些超鏈接被安全地存儲起來,以便以后檢索。 它用HSMS等專用加密設(shè)備加密敏感數(shù)據(jù),以提供更高的安全性。
如前所述,密碼插件用于通過PKCS#11協(xié)議與HSM通信。 此協(xié)議指定一個API,稱為“Cryptoki”,用于攜帶密碼信息并執(zhí)行技術(shù)無關(guān)的密碼功能的設(shè)備。
基于虛擬機(VM)或容器的云系統(tǒng)使用體積存儲。 因此,卷加密對于確保VM數(shù)據(jù)和物理存儲介質(zhì)不被攻擊者竊取、泄露和訪問至關(guān)重要。 非加密的VM數(shù)據(jù)會有攻擊者闖入容量托管平臺并訪問許多不同VM的數(shù)據(jù)的風險。
加密卷功能的目標是在VM數(shù)據(jù)寫入卷/存儲(傳輸中的數(shù)據(jù))之前對其進行加密,從而在存儲設(shè)備上駐留時保持數(shù)據(jù)保護(數(shù)據(jù)處于靜止狀態(tài))。
隨著telco云N FV服務的持續(xù)增長,數(shù)據(jù)泄漏的可能性增加,因此需要關(guān)注和適當?shù)慕鉀Q方案.. 加密內(nèi)部和外部接口、數(shù)據(jù)和卷、動態(tài)密鑰管理等是降低數(shù)據(jù)泄漏和信息竊聽風險的關(guān)鍵步驟。
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。