警惕数据泄露!快给你的数据加上安全密钥!
导语
据报道,此前,某媒体平台被曝有数亿用户的数据遭泄露,其中包含一些知名人士的信息。而数据加密是最常被应用来防止数据泄露的技术,亚马逊云科技提供了一系列的加密技术来保护用户的数据。
接下来,本文就将为你解答如何安全守卫你的数据!
数据加密的覆盖面非常广泛,但通常离不开三个方面,即密钥的管理、数据传输过程的加密、数据存储的加密。
我们可以将这三个方面扩展到密钥管理的架构,亚马逊资源的安全访问,安全的连接 VPC 资源, SSL 连接的建立与中断以及数据的加密。
管理加密密钥时要回答的三个问题是:
如何确保密钥的使用?
如何确保密钥的访问权限?
如何确保密钥的存储?
重要的是要记住,管理加密密钥非常关键,但并不是一件容易的事情。您计划如何处理加密密钥呢?密钥用于保护数据的安全性,因此需要考虑到密钥的机密性,完整性和可用性。密钥管理基础架构有以下三种不同模型。
● 用户控制加密方式和整个密钥管理基础架构;
● 用户提供密钥管理基础架构管理的同时,亚马逊云科技提供存储组件;
● 由亚马逊云科技控制加密方法和托管整个密钥管理基础架构;
Amazon Key Management Service(Amazon KMS)正是第三种,这是一项完全托管的服务,可让用户轻松创建和控制用于对数据进行加密或数字签名的密钥。 Amazon KMS 中的密钥可使用 SDK 在您自己的应用程序中使用,并且已集成到许多亚马逊云科技的服务中。对我们许多客户而言重要的另一个功能是审核密钥使用情况,Amazon KMS 可以与 Amazon CloudTrail 集成在一起,以帮助客户满足其法规和合规性需求。
以下是 Amazon KMS 仪表板外观的屏幕截图。它非常易于使用,并且界面上显示了创建和管理密钥所需的内容。
例如,通过 Amazon EBS 上的复选框加密,可以更加轻松地集成到服务中。Amazon KMS 还有许多管理操作,用户可以创建,描述和列出密钥。用户还可以根据需要启用和禁用这些键,也可以创建、删除和列出密钥别名。支持用户设置和检索关键使用策略。Amazon KMS 中的加密功能可以加密,解密和重新加密数据,还可以生成可在应用程序中使用的数据密钥,并为操作生成随机数。
亚马逊云科技提供的另一种选择是 Amazon CloudHSM。Amazon CloudHSM 可为用户提供专属的加密机。它使用防篡改的 HSM 设备保护您的加密密钥,在国际区域这是一个符合 FIPS-140 认证的加密机,用户可以在加密机上完全控制密钥和加密操作,亚马逊云科技仅负责管理和维护硬件。
除了 Amazon KMS 和 Amazon CloudHSM 之外,用户也可以使用自己的加密机。经过比较,我们发现使用 Amazon CloudHSM 可以获得较低延迟的密钥管理,因为 CloudHSM 更接近用户使用的实例。Amazon KMS 与亚马逊云服务的集成度最高,现在已经支持 140 多种服务,且它是最便宜的选择。
亚马逊云科技上有许多由第三方提供的加密软件和密钥管理选项,提供了许多保护 Amazon EC2,Amazon EBS,Amazon S3 和 Amazon RDS 的解决方案。用户可以根据自己的需要选择相关方案。我们的合作伙伴既有符合国际标准的,也有符合国家密码局认证标准的,有做平台加密的,也有做端到端加密的(安全星球)。
本文原创作者:姜积臣
原文链接:警惕数据泄露!快给你的数据加上安全密钥!
评论