電訊盈科的云服務(wù)需要了解什么是加密

網(wǎng)絡(luò)功能虛擬化(NFV)時代的一個主要干擾因素是電信云服務(wù)的擴展。 基于云的服務(wù)提供了巨大的好處，如可伸縮性、成本性能、中心和易于管理。 然而，這些服務(wù)是使用共享資源的集中信息存儲庫，這使得它們成為攻擊者的主要目標(biāo)。

這些共享資源包括計算或云存儲服務(wù)器，單個服務(wù)器中的漏洞可能導(dǎo)致完整的信息泄漏和妥協(xié)。 因此，安全行業(yè)專家正在探索防火墻和加密等技術(shù)，以保護云服務(wù)和平臺。 隨著越來越多的電信云服務(wù)實現(xiàn)這些技術(shù)，了解當(dāng)前的選項是很重要的。

加密使用密碼密鑰將明文（也稱為人類可讀數(shù)據(jù)）轉(zhuǎn)換為不可讀文本。 同樣，加密數(shù)據(jù)的解密需要一個各自的密碼密鑰將其轉(zhuǎn)換為其原始形式。 數(shù)據(jù)加密保證了數(shù)據(jù)的安全性和完整性.. 沒有密鑰，數(shù)據(jù)不能被攻擊者或未經(jīng)授權(quán)的用戶解密，除非密鑰已經(jīng)被破壞。 加密可以應(yīng)用于兩種類型的數(shù)據(jù)：在運輸中和在休息時。

過境數(shù)據(jù)包括跨越互聯(lián)網(wǎng)和系統(tǒng)接口的數(shù)據(jù)，這些數(shù)據(jù)可以是系統(tǒng)外部的，也可以是服務(wù)器和軟件應(yīng)用程序編程接口(API)之間的內(nèi)部數(shù)據(jù)。 它可以使用HTTPS、TLS、IPSec等加密，這對于防止未經(jīng)授權(quán)的用戶攔截至關(guān)重要。

數(shù)據(jù)在REST也意味著數(shù)據(jù)在存儲，包括存儲節(jié)點和可移動存儲介質(zhì)。 數(shù)據(jù)在REST加密可以應(yīng)用到特定的數(shù)據(jù)文件或所有存儲的數(shù)據(jù).. 端到端加密是對數(shù)據(jù)進行加密的一種手段，因此它只能在端點處解密。 在傳輸過程中通過加密數(shù)據(jù)對云服務(wù)進行接口，可以消除服務(wù)器訪問的可能性，而不需要適當(dāng)?shù)拿荑€-只有發(fā)送方和接收方可以通過這些接口解密消息。

加密也可以應(yīng)用于云系統(tǒng)，以啟用授權(quán)用戶訪問，以及用于外部接口上的系統(tǒng)訪問，并保護存儲在云系統(tǒng)上的敏感數(shù)據(jù)。 沒有密碼密鑰，丟失或被盜數(shù)據(jù)無法訪問。

加密的服務(wù)器數(shù)據(jù)也使攻擊者在休息時訪問數(shù)據(jù)的機會最小化。 即使他們訪問了加密的服務(wù)器數(shù)據(jù)，攻擊者也無法“讀取”數(shù)據(jù)或破壞它，而沒有密鑰來解密它。 因此，在靜止?fàn)顟B(tài)下加密數(shù)據(jù)是穩(wěn)健云數(shù)據(jù)安全的關(guān)鍵要素。

一種專門設(shè)計用于保護密碼密鑰生命周期的專用密碼處理器，硬件安全模塊(HSM)保護和管理數(shù)字密鑰以進行強身份驗證，并提供密碼處理。

傳統(tǒng)上，HSMS要么是插件卡，要么是連接到計算機或網(wǎng)絡(luò)服務(wù)器的外部設(shè)備。 由于這些模塊通常是關(guān)鍵任務(wù)信息技術(shù)基礎(chǔ)設(shè)施的一部分，它們通常是為高可用性而分組的，包括雙電源模塊。

云運營商在HSM中保留其主要的項目秘密密鑰，稱為密鑰加密密鑰(KE K)，使用PKCS#11協(xié)議通過密碼插件與Barbican進行交互。 一個用于確保存儲、供應(yīng)和管理秘密的RESTAPI，Barbican是一個Open Stack項目，使用戶能夠構(gòu)建安全的、云準(zhǔn)備的密鑰管理系統(tǒng)。

這些系統(tǒng)允許管理敏感信息，如對稱和非對稱密鑰以及原始秘密。 在HSM中，秘密被加密，然后在檢索時由特定于項目的KEK解密。 例如，HSM將每個服務(wù)生成一個加密密鑰來加密存儲卷。

另一個Open Stack項目是Keystone，它提供集中式API客戶端身份驗證、服務(wù)發(fā)現(xiàn)和分布式多租戶授權(quán)。 keystone在訪問任何其他服務(wù)之前首先對用戶進行身份驗證。 它還可以使用外部身份驗證系統(tǒng)，如LDAP或TACACS。 一旦成功認(rèn)證，用戶將獲得包含在服務(wù)請求中的臨時令牌。 用戶接收服務(wù)訪問當(dāng)且僅當(dāng)令牌被驗證并且如果用戶有適當(dāng)?shù)慕巧?.

首先，Barbican驗證keystone身份驗證令牌以識別用戶和項目訪問或存儲秘密。 然后，它應(yīng)用策略來確定是否授權(quán)訪問。

巴比康用唯一的超鏈接取代敏感信息，如數(shù)據(jù)庫密碼，這些超鏈接被安全地存儲起來，以便以后檢索。 它用HSMS等專用加密設(shè)備加密敏感數(shù)據(jù)，以提供更高的安全性。

如前所述，密碼插件用于通過PKCS#11協(xié)議與HSM通信。 此協(xié)議指定一個API，稱為“Cryptoki”，用于攜帶密碼信息并執(zhí)行技術(shù)無關(guān)的密碼功能的設(shè)備。

基于虛擬機(VM)或容器的云系統(tǒng)使用體積存儲。 因此，卷加密對于確保VM數(shù)據(jù)和物理存儲介質(zhì)不被攻擊者竊取、泄露和訪問至關(guān)重要。 非加密的VM數(shù)據(jù)會有攻擊者闖入容量托管平臺并訪問許多不同VM的數(shù)據(jù)的風(fēng)險。

加密卷功能的目標(biāo)是在VM數(shù)據(jù)寫入卷/存儲（傳輸中的數(shù)據(jù))之前對其進行加密，從而在存儲設(shè)備上駐留時保持?jǐn)?shù)據(jù)保護(數(shù)據(jù)處于靜止?fàn)顟B(tài)）。

隨著telco云N FV服務(wù)的持續(xù)增長，數(shù)據(jù)泄漏的可能性增加，因此需要關(guān)注和適當(dāng)?shù)慕鉀Q方案.. 加密內(nèi)部和外部接口、數(shù)據(jù)和卷、動態(tài)密鑰管理等是降低數(shù)據(jù)泄漏和信息竊聽風(fēng)險的關(guān)鍵步驟。