Abstract:
Key words :
隨著云計算的普及,企業將越來越多的核心業務以及重要數據都存儲在了云端,然而,企業對于存儲在云端的數據的擔心也越來越高。這時,更多的云加密服務供應商如雨后春筍般的出現。
很多研究都顯示關于誰應該承擔客戶數據的安全責任方面,云服務供應商及其客戶之間存在很大分歧:供應商將責任交到客戶手中,但客戶通常不同意。根據Ponemon研究所去年的調查顯示,十個云服務供應商中有七個供應商將客戶數據的安全責任交給客戶,只有30%的客戶同意。
云安全供應商CipherCloud公司首席執行官兼創始人Pravin Kothari表示,“供應商沒有承擔責任,如果你將數據托管到云環境,你對云供應商沒有可視性,對數據也沒有控制權。”
難怪云加密供應商越來越受歡迎。通過加密數據,客戶可以確保他們的信息是安全的,即使發生數據泄露事故,而且還能保密于云服務供應商。例如,CipherCloud公司使用Web代理服務器在數據去往受支持的軟件即服務公司(例如Salesforce)的路上加密數據,其他供應商對在平臺即服務環境運行的應用程序進行加密,而其他則側重于在加密云存儲中的數據或加密基礎設施即服務。
Porticor公司首席執行官兼聯合創始人ays Gilad Parann-Nissany表示:“問題主要在于信任和數據控制權,尤其是靜態數據。”
云服務正在迅速發展,旨在對云端數據加密的安全服務也在不斷發展。
隨著企業從軟件即服務轉移到基礎設施即服務,技術和解決方案變得越來越成熟,Gartner副總裁同時也是著名分析師Dan Blum表示,云端存儲加密是最成熟的解決方案,而云端具體領域的應用程序加密是醉不成書的。
關鍵是管理
最好的解決方案是那些允許客戶控制密鑰或者部分密鑰的解決方案,通過控制密鑰,客戶還可以控制對數據的訪問,甚至還可以防止云服務供應商訪問數據。
Blum表示:“如果所有信息都被加密,而且是通過客戶控制的一個密鑰來進行的,即使云管理員也不能看到密鑰,這樣就很安全。”
Porticor的Gilad表示,安全地加密數據并不是云安全服務的技術障礙,困難之處在于找到一種方法來安全地管理密鑰。
他表示,“在這個時代,任何開發人員都知道如何加密數據,但是你將加密密鑰保存在哪里?這時候,事情就變得沒那么簡單了。”
一些供應商將密鑰保存在數據相同的云環境中,這樣并不安全。其他供應商則將密鑰外包給第三方,還有供應商讓客戶自己管理密鑰。Porticor采用了混合的方法,有點類似銀行的保險箱,銀行持有一個密鑰,客戶持有另一個密鑰。這種技術可以使客戶確保其數據的保密性,同時簡化密鑰管理。
讓加密變得可用
然而,加密云端數據也會帶來一些問題:
Gartner公司的Blum表示,在軟件即服務中使用數據加密會限制其可用性搜索包含加密數據的字段會帶來問題,因為強大的加密不會保留原始純文本的屬性。如果名字字段被加密的話,在客戶數據庫搜索類似名字的條目將不能實現。
Blum表示:“如果你想要搜索和索引的能力,你必須消弱加密或者增加數據傳輸,才能實現。”
一些公司已經找到了允許搜索的方法,例如,客戶可以搜索一個或多個字段的精確匹配,本地解密所有匹配的記錄,然后細化搜索。
另一個潛在問題是:軟件即服務供應商可能想要訪問客戶的數據,特別是員工帶入工作場所的面向用戶的服務,例如社交網絡。加密供應商會加密社交網絡的帖子,允許客戶控制對數據的訪問,社交媒體公司可能會將這種服務視為威脅,因為用戶的帖子是他們的利益所在。
“如果我們認為社交網站不是玩具,而是真正的實用工具,那么將需要一個更安全、更易于控制和溝通的機制,”Wave Systems公司首席執行官Steven Sprague表示。已經通過社交網站遭遇數據泄露事故的公司可能會非常同意。
此內容為AET網站原創,未經授權禁止轉載。