AWS密钥管理服务如何增强云安全?

日期:2015-3-19作者:Dave Shackleford翻译:谈翔 来源:TechTarget中国 英文

【TechTarget中国原创】AWS的密钥管理服务是个很好的云加密密钥管理工具。专家Dave Shackleford带你检视AWS KMS的细节及其对企业的益处。

亚马逊Web服务(AWS)最近发布了崭新的加密管理平台,AWS密钥管理服务(KMS)。AWS KMS允许用户在几个AWS最热门的功能中加密数据和管理加密密钥。

这篇技巧文将仔细检视在云端方面越来越重要的加密密钥管理,尤其是AWS KMS。它的原理是什么,以及这个新的云服务所带来的好处及缺点。

云端加密密钥管理

密钥管理的重要性不容忽视。对很多组织来说,适当的在云中加密数据,安全的创建并保留加密密钥,还有在理论上,防止任何云供应商的管理人员访问这些密钥等需求,在任何的云计算环境里,尤其是基础架构即服务(IaaS)领域方面,都是一些最抢手最重要的安全机制。理论上,所有的密钥都应该在服务实例化时产生,然后从云中移除并由用户管理。很不幸,大部分云环境并没有完全支持客户端的密钥管理,而云中服务器端的密钥管理也不允许用户完全拥有及控制,虽然这通常是一个很基本的遵守规范。

AWS KMS的使用

Amazon在2013年发布了他们的CloudHSM服务,目的是允许客户在虚拟私有云(VPC)环境中使用一个用于密钥管理的专属硬件存储装置,但这个服务并没有与所有的AWS服务完全整合,并且需要很大量的手动配置及操作才能正常运行。

随着KMS的发布,Amazon很明显在加密密钥管理上下了重注。他们在CloudHSM服务上增加了更细致并强大的密钥创建,循环,及整合工具和功能,可用于现今使用的大部分AWS主要服务。当中的硬件模块符合业界标准所要求的,绝不将全部密钥存在硬盘或内存,以及任何一个客户HSM的访问需要多层的审查和批准。这允许顾客将密钥存在AWS 云中,使得来自其他服务和系统的访问变得容易许多。

AWS的主要服务如S3、EBS和Redshift现在可以使用由AWS KMS控制的密钥来加密离线数据。顾客们可以在每个服务中使用主密钥,也就是当一个用户开始使用服务时生成的默认密钥,或者顾客们也可以按需使用AWS KMS来创建并管理新的密钥。用户也可以替每个Amazon里单独的服务,应用种类或数据分类层分别定义密钥。

KMS好处

要开始使用AWS KMS时,管理员要先访问Amazon AWS控制台里,“IAM”服务类别下的“加密密钥”部分。新的密钥管理配置文件及政策也可以在此处定义,这也同Amazon的IAM规则的标准模型相符合,并与所有标准AWS应用程序界面(API)整合。事实上,这是KMS所带来的其中一个最立竿见影的优点之一,同所有AWS服务API的完全集成。此外,还提供新的密钥管理API,可以很容易的为开发人员和运营团队在密钥管理和密钥访问,使用和生命周期管理的整合上提供更实用的体验。

另一个能够让团队们觉得欣赏的KMS安全要素是,在所有有关于AWS CloudTrail里服务的活动都有完全的记录。安全团队可以分析KMS记录来找出特定的密钥在何时及如何被使用,以及哪些服务和用户访问并使用了这些密钥。

以每月每个密钥版本1美金的价格,这个新服务很可能是现今云计算中最能承受的密钥管理产品。API请求也只需要每10000次请求3美分的价格。

结论

KMS很可能会成为现有AWS顾客觉得马上可用的一个服务,而安全团队也会看到使用KMS带来的立竿见影的好处,因为所有的AWS服务都支持它。这个服务没有明显的缺点,现有的客户在密钥及加强安全过程方面获得更多的控制权,而潜在的云服务客户也许将能够实施之前因为加密和密钥管理需求而不得不放弃的云项目。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

云的数据隐私>更多

  • 如何发现和预防man-in-the-cloud攻击

    多年来,越来越多的信息已经转移到并存储在许多云平台中。Dropbox,Microsoft OneDrive和Google Drive等服务让这样的过程变得很容易。

  • 云日志安全事件如何高效管理?

    随着开发和运营团队不断把资源迁移向云端,企业对于基于云的服务也使用越来越多,致使安全团队不得不时刻准备应用对不预期的问题——大量新的预警和事件。

  • 亚马逊EC2专用主机可提供哪些安全优势?

    亚马逊弹性计算云实例有两种不同的配置:亚马逊EC2专用主机和专用实例。与在共享服务器上运行的基本EC2实例相比,这两种配置都提供了额外的安全措施。

  • AWS监控归根到底是工具的选择

    AWS有一系列专为其公有云能够变得更易于管理而开发的扩展功能和特性。AWS config、AWS CloudTrail和亚马逊Inspector是能够帮助管理人员处理监控AWS安全和资源配置的三个相关服务。

相关推荐

  • Cisco CloudCenter Orchestrator漏洞如何工作?

    业界有一个关键的安全公告,是 针对Cisco CloudCenter Orchestrator中的一个漏洞,该漏洞导致Docker Engine管理端口可以在Cloud Orchestrator系统之外访问。

  • 如何发现和预防man-in-the-cloud攻击

    多年来,越来越多的信息已经转移到并存储在许多云平台中。Dropbox,Microsoft OneDrive和Google Drive等服务让这样的过程变得很容易。

  • 看“风水反转”技术如何危害云安全

    在安全领域中的相关专业人员都应该知道的是,当后果和影响足够严重时, 比较有利的一种做法就是将当前环境保持在趋势模型中相对不会发生的场景中。

  • 数据中心副本策略:向左走还是向右走?

    安全威胁是无可避免的,网络犯罪随时可能发生;在这种情况下,容灾备份、设置副本是必要手段,我们无法做出全面预防,但我们可以做到完全的恢复,只要我们有副本。

技术手册>更多

  • 云计算和大数据实践手册

    调查显示,大数据已经走入组织内部,正在改变开发人员的工作方式。实际上,Gartner的一项调查表明,超过70%的组织计划在2016年对大数据进行投资。

  • 企业私有云架构构建指南

    由于云计算所带来的好处和虚拟化的本质局限的原因,云计算几乎吸引了所有的眼球。虚拟化主要关注其本身和虚拟机(VM),虚拟机的性能以及一旦物理服务器实现虚拟化后所能实现的功能。与之不同,私有云计算的范围更为广泛,它并不仅仅关注虚拟机本身,而且还包括托管虚拟机的整个基础设施。本文将介绍私有云的优势以及如何构建私有云架构。

  • 私有云安全风险与部署技巧指导

    与传统数据中心相比,私有云架构的定义是什么呢?私有云环境的安全风险是什么?企业如何建立虚拟云环境虚拟服务器连接?本技术手册将为您一一讲解。

  • 云存储最佳实践

    云存储可帮助用户在能访问互联网的任何地方,恢复任一个时间点的数据。本手册将介绍云存储的发展状况与云存储的最佳实践与技巧。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心