|
即使在最理想的條件下���,密匙管理也是一項(xiàng)繁重的任務(wù)����。雖然通過(guò)加密可以對(duì)你的數(shù)據(jù)進(jìn)行訪問(wèn)控制,但糟糕的密匙管理和存儲(chǔ)會(huì)導(dǎo)致密匙遭到破壞��。如果第三方控制了基礎(chǔ)設(shè)施的物理和邏輯訪問(wèn)權(quán),這就給你構(gòu)成了額外的風(fēng)險(xiǎn)����,此時(shí)保持密匙安全的挑戰(zhàn)會(huì)變得更加困難。隱藏在背后的主要原因是���,目前密匙管理正與密匙存儲(chǔ)相結(jié)合���。它類(lèi)似于你在銀行租用保險(xiǎn)箱,并讓銀行負(fù)責(zé)保管保險(xiǎn)箱的鑰匙。擁有訪問(wèn)密匙的權(quán)限使得供應(yīng)商也可以訪問(wèn)你的數(shù)據(jù)��。
供應(yīng)商采取的糟糕措施,如脆弱的密匙生成����、存儲(chǔ)和管理方法使得密匙很容易泄漏���。最近,粗糙的密碼工作就導(dǎo)致了Twitter的安全問(wèn)題�����。一個(gè)違規(guī)的雇員會(huì)引入訪問(wèn)機(jī)器密鑰的后門(mén)�����,或者當(dāng)機(jī)器運(yùn)行時(shí)對(duì)其進(jìn)行訪問(wèn)、或?qū)⑵滢D(zhuǎn)接到一個(gè)沒(méi)有加密的鏈接��。違規(guī)的雇員甚至可以暫停機(jī)器�����,并搜索內(nèi)存中的文件以找到密鑰�。不管在什么時(shí)候�,如果你認(rèn)為密鑰已被盜竊�����,那么你的數(shù)據(jù)就處于危險(xiǎn)中��。在這種情況下,我建議取消該密鑰���,并用新的密鑰重新對(duì)數(shù)據(jù)進(jìn)行加密�。
當(dāng)前密匙管理的另一個(gè)問(wèn)題是備份��,因?yàn)楹茈y跟蹤供應(yīng)商的歸檔媒介���。對(duì)于長(zhǎng)期歸檔存儲(chǔ)��,我建議將你的數(shù)據(jù)進(jìn)行加密,然后發(fā)送給一個(gè)云數(shù)據(jù)存儲(chǔ)供應(yīng)商��。這樣,您就能夠保持并控制加密密匙�����。這種將加密密匙管理從托管數(shù)據(jù)的云供應(yīng)商分離的做法還創(chuàng)建了一系列的分離���,在遇到規(guī)則遵從問(wèn)題時(shí)����,這有助于保護(hù)云供應(yīng)商和你��。密碼粉碎(crypto-shredding)也是減輕云計(jì)算風(fēng)險(xiǎn)的有效方法����。通過(guò)該方法��,供應(yīng)商可以銷(xiāo)毀密匙的所有副本,以確保在你物理控制之外的任何數(shù)據(jù)都無(wú)法被訪問(wèn)�。如果你管理自己的密匙�,密碼粉碎也應(yīng)該作為你安全策略的重要組成部分��。
云計(jì)算還引入了針對(duì)密匙管理的其他一些風(fēng)險(xiǎn)�。在所有的虛擬化軟件中都發(fā)現(xiàn)過(guò)漏洞,這些漏洞都可以被利用,從而繞過(guò)某些安全限制或者獲取訪問(wèn)機(jī)器的更高權(quán)限�����。同樣����,新技術(shù)也意味著我們不能再認(rèn)為現(xiàn)有進(jìn)程仍然是安全的�����。最近��,安全研究人員Stamos、Becherer和Wilcox提出了一個(gè)觀點(diǎn),他們認(rèn)為虛擬機(jī)一直都沒(méi)有足夠的權(quán)限去獲得所需的隨機(jī)數(shù)字對(duì)數(shù)據(jù)進(jìn)行適當(dāng)加密。這是因?yàn)橐话愕臋C(jī)器可以利用鼠標(biāo)移動(dòng)和鍵盤(pán)鍵入創(chuàng)建一個(gè)熵池(entropypool)來(lái)生成隨機(jī)通行密匙�����,但虛擬機(jī)比一般的機(jī)器擁有的熵的來(lái)源更少���,這使得密匙更容易被猜到�����。雖然它不是一個(gè)直接的威脅���,但需要強(qiáng)調(diào)的是,關(guān)于影響云計(jì)算和虛擬計(jì)算的安全問(wèn)題�,我們?nèi)匀挥泻芏鄸|西需要學(xué)習(xí)��。
然而�����,我們關(guān)注的主要問(wèn)題是供應(yīng)商的安全政策強(qiáng)度以及實(shí)施的情況�����。他們是否應(yīng)用了密匙管理生命周期�����?密匙是如何生成、使用��、儲(chǔ)存��、備份、恢復(fù)�、循環(huán)使用(rotate)和刪除的�����?他們采用哪些數(shù)據(jù)清理措施來(lái)銷(xiāo)毀不再需要的密鑰���?與你的云供應(yīng)商簽署的合同中應(yīng)包括一個(gè)“沒(méi)有密匙存儲(chǔ)”的條款�����,該條款應(yīng)指出��,“提供使用的任何密匙在不需要時(shí)將不會(huì)被保留”�����。這一條款在過(guò)去是沒(méi)有先例的。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)定�,商家不能保存信用卡的CVS號(hào)碼��,即使商家使用CVS號(hào)碼來(lái)進(jìn)行身份驗(yàn)證。如果到最后你仍對(duì)與云供應(yīng)商簽署的合同或處理流程不滿(mǎn)意���,那你可以不去使用。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商��!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
