通信人家园

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

  新兵

注册:2009-5-6
跳转到指定楼层
1#
发表于 2019-5-9 14:53:47 |只看该作者 |倒序浏览
1        概述
1.1        研究背景
云计算技术飞速发展,传统信息系统及应用开始大量向云迁移。但是,数据及隐私安全是云计算安全的重要问题,CSA 在2016年发布的12大云计算安全威胁中,至少10个与其相关。而密码技术是云计算环境中保护用户数据及隐私的关键技术之一。
目前,传统密码设备不能很好地适应云计算环境,主要存在以下缺陷:
        业务系统独占加密机,不仅导致加密机重复投资、运算资源浪费,同时加密机基数的增大会造成设备管理分散,运维管理复杂;
        传统密码设备的部署管理模式无法满足云计算业务按需弹性扩展的需求
为了适应云计算业务数据安全保护的需求,需要进行密码设备的云化改造,使之适应云计算应用需求。
1.2        研究目标
当前,虚拟化技术已经发展成熟,可将密码设备集中成密码资源池,通过虚拟化技术,将密码设备虚拟成各个相互独立的虚拟密码设备,通过密码资源调度系统进行密码资源的分配、管理和统一调度,并对外提供统一的密钥管理服务。云服务提供商根据用户密码服务需求,对密码资源进行合理分配和处理,当已有密码资源不能满足需求时,通过在密码资源池增加新的硬件密码设备,实现扩展性。
本研究报告将对云密码资源池的实现方案进行研究,从组网、管理、流程等角度提出云密码资源池技术方案建议,以满足云计算环境下多租户的数据安全业务需求。

2        云计算环境内密码技术发展现状
CASB (Cloud Access Security Broker,云访问安全代理)依托于密码学与委托式安全代理技术,在用户无感知的前提下,不改造应用系统,把数据加密能力适配进应用操作与业务流程,向用户端交付明文,向服务端交付密文。
企业用户可以根据敏感数据密级与类型配置响应的加密策略,敏感数据只有在用户侧是明文状态,经由CipherGateway根据预先设置的加密策略加密后,把密文交付给应用服务,即数据在进入服务端前就已经被加密了,可以有效防止攻击者、内部未授权人员、应用系统服务商,以及其他恶意人员对数据的非法访问。

3        云密码业务需求分析
3.1        云计算应用对密码服务的需求
云计算应用根据服务的形式,一般分为IAAS、PAAS、SAAS三种,它们对密码服务的需求如下:
1)        IaaS云服务提供商主要负责为客户提供基础架构服务,一般服务形式包括计算资源、存储资源、网络资源等,租户租用所租用的资源相对独立,且与具体业务数据无关,所以在IAAS层的密码需求主要集中在云平台的身份访问控制安全以及存储系统的数据加密方面
2)        PaaS云服务提供商主要负责为客户提供简化的分布式软件开发、测试和部署环境,目前常见的形式包括数据库服务、对象存储服务、多媒体、地图服务等,租户以各种应用系统为主,租户并不拥有独立的存储、计算资源,所以PaaS层的密码需求主要集中在应用系统的安全认证以及应用数据的安全存储
3)        SaaS云服务提供商需保障其所提供的SaaS服务从基础设施到应用层的整体安全,因此对密码应用的需求与传统应用系统基本一致,基本可以归纳为用户安全接入(通讯)、用户身份认证、关键业务防抵赖和敏感数据的安全存储等四个方面。
3.2        云计算技术特点对密码设备的需求
云计算业务按需弹性扩展的特点对传统密码设备提出了新的要求:
1、密码资源池化
在云计算环境下,为了支撑海量数据的密码服务,必须构建云密码资源池,并形成对客户透明的统一密码能力池。其要求如下:
1)        资源池的容量应可以根据业务需求的增加进行弹性的扩充,并可对资源池进行统一监控调度和分配;
2)        资源池应具有统一的一体化的协同处理和容错能力,不会因为特定物理安全设备单元的故障或失效影响到整个资源池的正常运作。
2、资源虚拟化
底层的密码运算模块(密码机、密码卡)可支持主流虚拟化环境中的部署,支持将一组密码运算模块为多应用系统共享使用,提高密码资源利用率。
在虚拟化过程中,应实现密码资源和数据的隔离,虚拟密码机应可以在不同物理设备上热迁移。
3、集中管理
应具有集中的密码资源调度管理系统,通过提供统一密码服务接口,实现对虚拟密码资源、密钥的分配、管理和统一调度,并可根据租户密码服务需求,对虚拟密码资源进行合理分配和处理。
针对不同业务系统提供密码服务时,通过统一的API接口,使业务系统与密码运算模块不用直接关联,减少业务系统了解复杂的密码机指令,降低开发难度。
4、日志审计
具备完善的日志功能,针对管理员操作、业务运行、各密码运算模块状态等提供完整的日志记录,方便审计管理和故障排查。

举报本楼

您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系我们 |网站地图  

GMT+8, 2024-11-23 21:45 , Processed in 0.114082 second(s), 15 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部