大量企业正在从传统的内部IT环境转向基于云计算的平台,从而提高业务效率和有效性,但也引入了数据泄露、未经授权的访问和复杂的身份管理等安全威胁。
发展趋势
现在越来越多的公司将云环境用于服务模型,如基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。这些是允许使用虚拟机、存储、负载平衡器、数据库、Web服务器和第三方提供和托管的应用程序。
截至2021年,大约50%的公司数据存储在云端。这一比例在2015年只有30%,并随着公司越来越多地将其资源转移到云环境中,在提高业务灵活性的同时提高安全性和可靠性成为企业的关注的焦点。
下图中云安全联盟(云计算关键重点领域的安全指南)概述了云环境的特点及其服务模型。
企业在实施上述几种服务模型并将数据存储在不同的地方时,通常使用多云环境并与各种提供商合作。这些提供商对其云环境和保存的数据的安全负有部分责任,这是在与客户创建的服务级别协议中制定的。但大多数安全问题仍然属于企业本身的责任范围,并且审计和控制这些外部提供商也需要时间和资源。
对安全的影响
云环境给企业带来了各种安全挑战。我们在这里讨论一些关键问题。
1、数据泄露
当企业数据存储在本地时,IT部门可以进行绝对控制。他们对此负有全部责任,并可以随时查看是否存在可能或实际的违规行为。当数据迁移到云端时,此存储服务的提供商会为企业进行监控,企业将会开始依赖第三方来保护其数据安全。
企业将不可避免地失去部分控制。而且,近年来云端发生了许多数据泄露事件——包括一些涉及雅虎、阿里巴巴、LinkedIn等知名公司的数据泄露。数据泄露以及其它基于云的安全威胁,可能导致敏感数据丢失、声誉损害以及违反相关法规的罚款。
2、未经授权的访问
当数据存储在本地,保护数据免受外部威胁和未经授权的访问要困难得多。由于云提供商为多个组织存储数据,因此会成为黑客的主要目标。
3、身份管理
为了使员工和系统能够安全地与云端的数据、应用程序或基础设施一起工作,需要正确识别他们。这意味着云环境及其托管组织需要知道试图访问环境者的身份,以及他们是否被允许这样做。但应该如何识别谁被允许访问?如何进行管理呢?这就是数字证书发挥作用的地方。
在云端使用数字证书的重要性
为了减轻云环境带来的安全威胁,企业可以使用精心管理的数字证书。例如X.509数字证书,X.509是一个标准,定义了许多互联网协议(如TLS/SSL)中使用的数字证书格式,用于安全浏览网页。这些证书绑定到密钥对,密钥对一起启用加密操作,如安全访问或数据加密。它们通常用于使人们或机器在访问环境时能够安全地进行身份验证,或加密正在存储或传输的数据。
X.509数字证书可用于:
1)加密存储在云中的数据。数据加密是可用于确保数据机密性的技术措施。因为这意味着,即使存在漏洞,数据对黑客也没有用,因为他们无法解密。
2)在云环境中不同位置或提供商的环境之间设置安全(TLS)连接。
3)通过防止未经授权者读取或泄露数据,在传输过程中保持数据的机密性。
此外,它允许企业确保只有授权人员或系统才能访问云环境,因为它只信任组织签发的证书,如果授权方没有受信任的证书,则无法获得访问权限。
总之,通过使用和管理自己的数字证书,可以重新控制数据并进行访问——即使数据正在移动到云端或已经保存在云端。
如何管理数字证书?
上述策略要求谨慎使用和管理数字证书及其相应的密钥对。证书管理系统(CMS)是管理每个有权访问云环境的人或系统的证书的安全、高效的方式。
例如,Windows Hello for Business(WhfB)基于证书结构,并使用数字证书来确保安全访问Azure环境。但证书需要妥善管理,以确保合适的人能够以最佳方式使用WhfB。
通过使用灵活的CMS,企业可以确保遵循正确的政策,并让合适的人员或系统获得正确的数字证书。CMS还将帮助企业尽可能多地自动化该流程。甚至可以将CMS连接到容器(包含所有依赖项的整个软件应用程序),以便企业通过标准化API管理相关数字证书。
使用CMS的另一个优势是,企业可以控制自己的证书和密钥,而不是将其移交给云提供商,我们称之为“自带钥匙”(BYOK)。
云计算的使用只会不断增加,通过应用使用集中管理的数字证书的数字策略,企业及授权人员可以安全访问其云环境和已经保存的数据。