警惕数据泄露！快给你的数据加上安全密钥！

导语

据报道，此前，某媒体平台被曝有数亿用户的数据遭泄露，其中包含一些知名人士的信息。而数据加密是最常被应用来防止数据泄露的技术，亚马逊云科技提供了一系列的加密技术来保护用户的数据。

接下来，本文就将为你解答如何安全守卫你的数据！

数据加密的覆盖面非常广泛，但通常离不开三个方面，即密钥的管理、数据传输过程的加密、数据存储的加密。

我们可以将这三个方面扩展到密钥管理的架构，亚马逊资源的安全访问，安全的连接 VPC 资源， SSL 连接的建立与中断以及数据的加密。

管理加密密钥时要回答的三个问题是：

如何确保密钥的使用？

如何确保密钥的访问权限？

如何确保密钥的存储？

重要的是要记住，管理加密密钥非常关键，但并不是一件容易的事情。您计划如何处理加密密钥呢？密钥用于保护数据的安全性，因此需要考虑到密钥的机密性，完整性和可用性。密钥管理基础架构有以下三种不同模型。

● 用户控制加密方式和整个密钥管理基础架构；

● 用户提供密钥管理基础架构管理的同时，亚马逊云科技提供存储组件；

● 由亚马逊云科技控制加密方法和托管整个密钥管理基础架构；

Amazon Key Management Service（Amazon KMS）正是第三种，这是一项完全托管的服务，可让用户轻松创建和控制用于对数据进行加密或数字签名的密钥。 Amazon KMS 中的密钥可使用 SDK 在您自己的应用程序中使用，并且已集成到许多亚马逊云科技的服务中。对我们许多客户而言重要的另一个功能是审核密钥使用情况，Amazon KMS 可以与 Amazon CloudTrail 集成在一起，以帮助客户满足其法规和合规性需求。

以下是 Amazon KMS 仪表板外观的屏幕截图。它非常易于使用，并且界面上显示了创建和管理密钥所需的内容。

例如，通过 Amazon EBS 上的复选框加密，可以更加轻松地集成到服务中。Amazon KMS 还有许多管理操作，用户可以创建，描述和列出密钥。用户还可以根据需要启用和禁用这些键，也可以创建、删除和列出密钥别名。支持用户设置和检索关键使用策略。Amazon KMS 中的加密功能可以加密，解密和重新加密数据，还可以生成可在应用程序中使用的数据密钥，并为操作生成随机数。

亚马逊云科技提供的另一种选择是 Amazon CloudHSM。Amazon CloudHSM 可为用户提供专属的加密机。它使用防篡改的 HSM 设备保护您的加密密钥，在国际区域这是一个符合 FIPS-140 认证的加密机，用户可以在加密机上完全控制密钥和加密操作，亚马逊云科技仅负责管理和维护硬件。

除了 Amazon KMS 和 Amazon CloudHSM 之外，用户也可以使用自己的加密机。经过比较，我们发现使用 Amazon CloudHSM 可以获得较低延迟的密钥管理，因为 CloudHSM 更接近用户使用的实例。Amazon KMS 与亚马逊云服务的集成度最高，现在已经支持 140 多种服务，且它是最便宜的选择。

亚马逊云科技上有许多由第三方提供的加密软件和密钥管理选项，提供了许多保护 Amazon EC2，Amazon EBS，Amazon S3 和 Amazon RDS 的解决方案。用户可以根据自己的需要选择相关方案。我们的合作伙伴既有符合国际标准的，也有符合国家密码局认证标准的，有做平台加密的，也有做端到端加密的（安全星球）。

本文原创作者：姜积臣

原文链接：警惕数据泄露！快给你的数据加上安全密钥！