共计 1250 个字符,预计需要花费 4 分钟才能阅读完成。
作者:天翼云 研发一部 张贺然
本文关键词:数据安全,密码机,密钥治理
一、你的云上资产真的平安么?
- 2021 年 1 月,巴西的一个数据库 30TB 数据被毁坏,泄露的数据蕴含有 1.04 亿辆汽车和约 4000 万家公司的详细信息,受影响的人员数量可能有 2.2 亿;
- 2021 年 2 月,广受欢迎的音频聊天室利用 Clubhouse 的用户数据被歹意黑客或特务窃取。据悉,一位身份不明的用户可能将 Clubhouse 的音频从“多个房间”传送到他们本人的第三方网站上。
- 2021 年 3 月,日产北美公司一台 Bitbucket Git 服务器的信息在 Telegram 频道和黑客论坛上开始流传,该服务器是存有日产北美公司开发和正在应用的挪动应用程序和外部工具的源代码,目前已在线泄露,泄露的 Git 存储库包含的源代码。
数据安全引发的事件层出不穷,2021 年 6 月 10 日通过的中华人民共和国数据安全法,给出了数据安全的定义:
数据安全,是指通过采取必要措施,确保数据处于无效爱护和非法利用的状态,以及具备保障继续平安状态的能力
通常来说,数据安全波及加密算法以及密钥存储两个关键因素,通过暗藏加密算法细节,使攻击者难以破解的办法通常依赖于弱密码学的应用,一旦发现了算法实现的机密,应用这些算法的零碎反而更容易收到攻打。所以,基于 Kerckhoffs 原理,加密算法的惟一机密元素应该就是密钥自身。一个平安,牢靠的密钥管理系统是一个加密零碎安全性的根底组成部分,也是一个平安零碎保障平安的重要元素。
二、什么是密钥治理?
既然,密钥自身的平安是加密算法平安的外围,那么该如何保障密钥的平安呢?密钥管理系统应运而生。密钥管理系统通过对密钥进行加密,定期轮转,生命周期治理来保障加密算法的安全性。
以天翼云密钥管理系统为例,零碎底层采纳加密机以及多层密钥的加密形式,对用户密钥明文加密存储,当所有的加密解密操作都在密码机中执行时,密钥的明文就很难被人歹意窃取了。
三、密钥治理为数据安全提供了什么呢?
图 1 密钥治理功能模块
1. 平安的存储环境
存储地位的隐秘性以及安全性,对密钥平安有着关键作用,在保障数据物理环境平安,网络安全的同时,还要保障数据的可恢复性,防止产生加密数据无奈复原的状况。
2. 牢靠的密钥保护措施
采纳无效的加密算法加密之后再放入存储介质中,而用于加密密钥的根密钥则是整个密钥管理系统平安的要害,密钥治理采纳密码机爱护根密钥,根密钥在密码机中,所有的加密解密操作均在密码机外部实现。
图 2 密钥治理密钥应用逻辑
3. 欠缺的密钥更新伎俩
密钥的生命周期治理是密钥管理系统的要害,长期应用对立明码对大量数据进行加密,通过对一些关键字的解析,存在反推出密钥的可能性,在加密算法公开的状况下,存在泄露危险,所以,定期的密钥轮转以及密钥删除,能够无效的晋升数据的安全性。
4. 简略的应用办法
提供了简略易用的治理界面以及可调用接口,用户能够执行任意的相干操作。
图 3 天翼云密钥治理界面
5. 正当的权限治理。
通过身份认证,实现权限治理。针对不同用户对接口的拜访权限进行限度,从而保障系统的平安。