很多人都写关于在云中的数据进行加密,但一些挑战依然存在。谁控制或访问密钥,并存储在钥匙在哪里?KeyNexus,暗物质实验室的一个部门,地址那些用于分隔钥匙锁和只给出了关键数据所有者的独立密钥管理解决方案的挑战。
任何时候,一家公司决定将其应用程序驻留在云中,或者使用将公司数据存储在云中的SaaS应用程序,it安全专业人员都必须询问一系列问题。我们能加密数据吗?如果是,谁将有访问密钥?我们将如何执行键旋转?我们能对加密的数据进行排序和搜索吗?云供应商是否使用专有加密技术,阻止我们将数据转移到其他供应商?如果我们使用10个SaaS应用程序,我们将不得不管理10组不同的加密密钥吗?
这些问题是艰难的,足以回答当数据和加密技术是公司自己的数据中心,它拥有的一切完全控制。雷竞技电脑网站事情时,该公司已在第三方主机如亚马逊和Rackspace或SaaS提供商如谷歌企业应用套件,工作日和Salesforce的因素变得更加复杂,。
如今,云加密的状况仍然非常混乱。有些供应商提供,有些没有。有时加密必须是固定的,它不是一个很好的集成过程。有些加密方案是特定供应商专有的。
在许多情况下,如果提供加密,云提供商持有或有权访问的钥匙,它创建另一套为最终用户的问题。一方面,其对数据的访问中明确第三方是违反法规,如PCI-DSS,HIPAA,GLBA等。此外,客户在云平台或SaaS提供商失去信任,以保护他们的数据。已经有很高的数据泄露事件,使最终用户感到紧张。更重要的是,客户担心美国政府将传唤访问他们的数据没有他们的知识或许可。对于美国以外的公司,选择使用美国托管的云或应用程序,有数据隐私和居住的担忧。
这一切都可以归结为这样的:当加密的数据被存储或在云中时,锁定处理和密钥必须分开并仅在最终用户应该控制的键。
9月初,加密设备制造商暗物质实验室(Dark Matter Labs)宣布成立一个新的部门,名为“暗物质实验室”(Dark Matter Labs)KeyNexus这需要瞄准所有这些云密钥管理问题。(请参阅服务可以让企业管理Amazon Web Services的加密密钥。)
KeyNexus用于加密密钥管理安全的云服务。它被设计为与加密技术一起使用,在基于云的,SaaS的企业或移动应用程序确保数据安全。即巩固KeyNexus该技术是暗物质实验室企业级的加密设备。有了这个解决方案,企业可以采用在云或企业环境中加密,而保持安全,异地存储的加密密钥,有效地分离键锁。
下面是它是如何工作的30000英尺概述。
KeyNexus是一个独立的平台,公司可以在这里创建一个账户,创建他们的密钥,并将密钥安全地存储在那里。没有其他人能访问这些钥匙。为了使用这些密钥,公司需要在任何碰巧进行业务的地方将它们拉下。
现在让我们假设公司有一个特定的平台上(云,企业,移动等)的加密软件。在当加密软件即将加密的东西的瞬间,就伸出手来KeyNexus并得到一把钥匙。最关键的是从应用和数据的独立平台,而只有公司先后获得其键。
该KeyNexus解决方案的最初产品是KeyNexus和亚马逊网络服务(AWS)之间的集成。KeyNexus为AWS将允许AWS用户从多个Linux品种KeyNexus亚马逊机实例(AMI)的选择。KeyNexus推出与亚马逊的Linux与更多版本的Linux将很快跟上,他们将可免费在AWS市场。而加密密钥安全地存储在KeyNexus这些AMI的将加密存储在客户的弹性块存储(EBS)分区上的所有数据。据杰夫·麦克米兰,暗物质实验室的创始人和CEO,这里的工作原理是:
•短暂的一次性安装后,启动时,该KeyNexus AMI会安全地与KeyNexus和提供客户的选择的加密密钥连接。
•该密钥将暂时用于挂载加密的EBS分区。
•密钥将被从AWS环境中清除,以确保它不会被存储或写入磁盘。
所有写入客户的EBS分区的数据现在使用AES 256位加密加密。
•在整个过程中实现了多个AWS安全协议,包括EC2 IAM实例角色、描述的实例和实例身份文档。
激活多个ami的过程可以是完全自动化的,并且与AWS EC2中操作的Hadoop等大数据实现完全兼容。最重要的是,客户的密钥是安全的,属于客户,并且从不存储在AWS上。
MacMillan说,用于AWS的KeyNexus是KeyNexus路线图的第一阶段,未来还会有更多。这里是对未来工作的一瞥。
•KeyNexus计划深入亚马逊,连接到Redshift和S3等产品,这些产品都有一定程度的内置加密功能。客户将能够使用Amazon提供的加密,而无需将密钥存储在Amazon中。
•KeyNexus将集成不同的开发语言,例如,可能在亚马逊上用Java编码的客户可以使用Java crypto引擎在应用程序级别执行加密,因为它更细粒度。通过与KeyNexus的集成,这些键将不再存在于Amazon上的Java中;相反,它们位于KeyNexus中,只有在需要它们时才会被拉下。
KeyNexus的重点是保护密钥,而不是执行加密。通过这种方式,KeyNexus可以支持嵌入在不同平台或应用程序中的任意数量的加密方案。事实上,KeyNexus的目标是与已建立的加密供应商合作,这些供应商希望为他们的客户提供额外的安全性和遵从性。
KeyNexus店客户对硬件安全模块按键是物理一样金库。该技术具有的API集,并可以从任何技术访问的RESTful接口。KeyNexus计划通过公开的API,并允许他们插上KeyNexus’集成到他们选择的任何平台的开发者社区的参与。这可能是SaaS应用,移动应用程序,或任何客户所要求的。
最后,使用KeyNexus的好处是这样的。客户公司控制自己的密钥,这些密钥永远不会与加密数据驻留在同一位置。这既满足了法规遵循的要求,也消除了外界人士(包括美国政府)可能获得容易解密的数据的担忧。随着时间的推移,KeyNexus平台上的一组密钥可以用于客户加密的多个SaaS或云应用,将密钥合并到一个解决方案上,节省了时间和资金。
Linda Musthaler (LMusthaler@essential-iws.com)是该公司的首席分析师基本解决方案公司该研究信息技术的实用价值,以及它如何可以使职工个人和整个组织的工作效率。基本解决方案为计算机行业和企业客户提供咨询服务,以帮助定义和实现IT的潜力。