大多数云提供商都提供数据加密的服务,但是对某些用户来说,这些服务还不足以完全的保护云里的企业数据。
数据加密,不管是静态还是动态数据,在云计算中都应该采用标准的做法。无论是企业内部还是通过各种云服务提供商,加密几乎无处不在,但常见的加密技术并不总能满足所有组织的要求。
比方说有些企业受到严格的合规要求,如健康保险流通与责任法案,要求医疗保健企业和他们的合作伙伴,包括云供应商之间的正式协议。虽然云服务提供商也许会满足一些业务加密的需求,但许多企业正求助于云安全提供商来帮助填补差距。
集中云数据加密的好处
集中云数据加密提供商,如Vaultive和CipherCloud提供企业级别的技术,让企业可以对他们的数据进行加密的同时仍然处在值得信赖的企业网络中。这确保了所有发送并存储到云中的数据都是加密的。只有云服务最高级别的管理员可以访问加密数据。如果云提供商被黑客攻击或因为法律原因必须公开数据时,只有加密过的数据才被发布出来。
针对亚马逊Web服务(AWS)的CipherCloud是专为AWS云设计的加密服务,支持关系数据库服务和RedShift。该服务使用AES 256位加密配合集中密钥存储和管理,将加密密钥存储在CipherCloud的服务器上。 CipherCloud加密直接植入到应用程序的驱动中,在点到点之间传输前在本地先对数据进行加密。
CipherCloud允许管理员在字段的基础上进行数据加密。例如,在线销售系统可能采用细粒度的CipherCloud工具只对付款信息加密,而让其他数据,如送货地址,保持明文。
CipherCloud的一项高级功能允许管理员生成同未加密的数据一样数据类型和大小的加密数据。这在企业需要加密保护,但又不希望修改他们的数据库模式时尤其重要。
有时,一个企业想要在加密处理时进行职责分离。CipherCloud的密钥管理功能降低了内部人员获得非法密钥访问权限进而获得加密数据的风险。
与CloudCipher类似,Vaultive对单独的云服务提供商——微软有一个专门的服务。Vaultive为微软的一系列服务提供加密,包括Office 365、Yammer、OneDrive和Dynamics CRM Online。
Vaultive以一个无状态层的方式作为云服务和用户端之间的门。比如说,Vaultive,与合作伙伴BitTitan一起为Office 365进入云端的数据加密。从那一刻开始,该数据一直处于加密的状态,直到它返回到有权查看的终端用户那里。往返于Office 365云的传输数据总是经由一个BitTitan管理的网络加密层传输。
作好应对集中加密风险的准备
尽管集中加密服务会带来各种好处,它们也会在一个组织的基础设施里引入潜在的故障点。如果一个网关宕掉或加密软件即服务(SaaS)不可用时,你将不能发送新的加密数据到云中。此外,你在云中的加密数据将无法访问,直到问题得到解决。
部署本地网关时的一种选择,是利用其高可用性和可扩展性。要做到这一点,运行多个网关,让它们之间要么做负载平衡要么让一个待命。另外一种方法是,如果你可以容忍更长的恢复时间,你可以在主网关发生故障时,人工启动一个新的网关。
当使用加密的SaaS,请确保其SLA满足你在可扩展性和可用性方面的期望。SLA还应该指定对于各种故障的赔偿来满足所约定的服务水平。
集中云数据加密服务是云计算生态系统的重要组成部分,将特别有助于那些必须遵从苛刻法规的公司。然而,在实施的过程中总是要预估到临时故障的风险并制定相应的计划。
本文作者:谈翔
来源:51CTO
