共计 1762 个字符,预计需要花费 5 分钟才能阅读完成。
大量企业正在从传统的外部 IT 环境转向基于云计算的平台,从而进步业务效率和有效性,但也引入了数据泄露、未经受权的拜访和简单的身份治理等平安威逼。
发展趋势
当初越来越多的公司将云环境用于服务模型,如基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。这些是容许应用虚拟机、存储、负载平衡器、数据库、Web 服务器和第三方提供和托管的应用程序。
截至 2021 年,大概 50% 的公司数据存储在云端。这一比例在 2015 年只有 30%,并随着公司越来越多地将其资源转移到云环境中,在进步业务灵活性的同时进步安全性和可靠性成为企业的关注的焦点。
下图中云平安联盟(云计算要害重点畛域的平安指南)概述了云环境的特点及其服务模型。
企业在施行上述几种服务模型并将数据存储在不同的中央时,通常应用多云环境并与各种提供商单干。这些提供商对其云环境和保留的数据的平安负有局部责任,这是在与客户创立的服务级别协定中制订的。但大多数平安问题依然属于企业自身的责任范畴,并且审计和管制这些内部提供商也须要工夫和资源。
对平安的影响
云环境给企业带来了各种平安挑战。咱们在这里探讨一些关键问题。
1、数据泄露
当企业数据存储在本地时,IT 部门能够进行相对管制。他们对此负有全副责任,并能够随时查看是否存在可能或理论的违规行为。当数据迁徙到云端时,此存储服务的提供商会为企业进行监控,企业将会开始依赖第三方来爱护其数据安全。
企业将不可避免地失去局部管制。而且,近年来云端产生了许多数据泄露事件——包含一些波及雅虎、阿里巴巴、LinkedIn 等出名公司的数据泄露。数据泄露以及其它基于云的平安威逼,可能导致敏感数据失落、名誉侵害以及违反相干法规的罚款。
2、未经受权的拜访
当数据存储在本地,爱护数据免受内部威逼和未经受权的拜访要艰难得多。因为云提供商为多个组织存储数据,因而会成为黑客的次要指标。
3、身份治理
为了使员工和零碎可能平安地与云端的数据、应用程序或基础设施一起工作,须要正确辨认他们。这意味着云环境及其托管组织须要晓得试图拜访环境者的身份,以及他们是否被容许这样做。但应该如何辨认谁被容许拜访?如何进行治理呢?这就是数字证书发挥作用的中央。
在云端应用数字证书的重要性
为了加重云环境带来的平安威逼,企业能够应用精心治理的数字证书。例如 X.509 数字证书,X.509 是一个规范,定义了许多互联网协议(如 TLS/SSL)中应用的数字证书格局,用于平安浏览网页。这些证书绑定到密钥对,密钥对一起启用加密操作,如平安拜访或数据加密。它们通常用于使人们或机器在拜访环境时可能平安地进行身份验证,或加密正在存储或传输的数据。
X.509 数字证书可用于:
1)加密存储在云中的数据。数据加密是可用于确保数据机密性的技术措施。因为这意味着,即便存在破绽,数据对黑客也没有用,因为他们无奈解密。
2)在云环境中不同地位或提供商的环境之间设置平安(TLS)连贯。
3)通过避免未经受权者读取或泄露数据,在传输过程中保持数据的机密性。
此外,它容许企业确保只有受权人员或零碎能力拜访云环境,因为它只信赖组织签发的证书,如果受权方没有受信赖的证书,则无奈取得拜访权限。
总之,通过应用和治理本人的数字证书,能够从新控制数据并进行拜访——即便数据正在挪动到云端或曾经保留在云端。
如何治理数字证书?
上述策略要求审慎应用和治理数字证书及其相应的密钥对。证书管理系统(CMS)是治理每个有权拜访云环境的人或零碎的证书的平安、高效的形式。
例如,Windows Hello for Business(WhfB)基于证书构造,并应用数字证书来确保安全拜访 Azure 环境。但证书须要妥善治理,以确保适合的人可能以最佳形式应用 WhfB。
通过应用灵便的 CMS,企业能够确保遵循正确的政策,并让适合的人员或零碎取得正确的数字证书。CMS 还将帮忙企业尽可能多地自动化该流程。甚至能够将 CMS 连贯到容器(蕴含所有依赖项的整个软件应用程序),以便企业通过标准化 API 治理相干数字证书。
应用 CMS 的另一个劣势是,企业能够管制本人的证书和密钥,而不是将其移交给云提供商,咱们称之为“自带钥匙”(BYOK)。
云计算的应用只会一直减少,通过利用应用集中管理的数字证书的数字策略,企业及受权人员能够平安拜访其云环境和曾经保留的数据。