大多数云服务提供商提供数据加密服务,但是对一些用户来说,这种服务还不足以全面保护云端的企业数据。
针对静态数据和传输中数据采取的数据加密应该是云计算界的一种标准做法。但是尽管加密技术在企业内部和云服务提供商当中几乎司空见惯,但是常见的加密技术对一些企业组织来说并非总是足够安全。
比如说,一些公司受制于严格的监管法规,比如《健康保险可携性及责任性法案》,这些法规要求医疗机构与合作伙伴(包括云服务提供商)签订正式的协议。虽然云服务提供商可能满足企业组织的一些加密要求,但是许多企业求助于云安全提供商,以帮助填补漏洞。
集中式云数据加密的优点
Vaultive和CipherCloud等集中式云数据加密提供商提供企业级技术,数据仍在可依赖的企业网络上时,让公司企业能够对数据进行加密。这确保了发送到云端和存储在云端的所有数据都经过了加密。只有云服务的最高级管理员才有权访问加密的数据。如果云服务提供商遭到黑客攻击或者因法律原因而需要交出数据,只有加密的数据才被交出。
面向亚马逊网络服务(AWS)的CipherCloud是一项专门为AWS云设计的加密服务,它支持关系数据库服务和Redshift。该服务使用AES 256位加密技术,并辅以集中式密钥存储和管理,将加密密钥存储在CipherCloud服务器上。CipherCloud加密功能内置在应用程序驱动程序上,它在本地加密数据,之后将数据在节点之间传输。
CipherCloud让管理员可以根据每个字段对数据进行加密。比如说,在线销售系统可能使用细粒度的CipherCloud工具,只对支付信息进行加密,任由其他数据(比如发货地址)处于明文格式。
CipherCloud的一项高级功能让管理员可以生成使用与非加密数据同一数据类型和大小的加密数据。当公司想要保护加密内容,但又不想入动数据库模式时,这项功能就显得特别重要。
有时候,公司在处理加密时想要做到责任分离。CipherCloud的密钥管理功能缓解了内部人员擅自访问密钥、因而擅自访问加密数据的风险。
与CloudCipher相似的是,Vaultive也有一项专门针对微软这一家云服务提供商的集中式服务。Vaultive为诸多微软服务提供了加密功能,包括Office 365、Yammer、OneDrive和Dynamics CRM Online等服务。
Vaultive作为无状态层来运行,它在云服务和用户端点设备之间充当了一道大门。比如说,Vaultive以及合作伙伴BitTitan在数据进入云时,为Office 365加密数据。之后,数据一直处于加密状态,直到它回到有权查看数据的最终用户。进出Office 365云的数据始终通过由BitTitan管理的网络加密层来进行传输。
准备防范集中式加密风险
尽管集中式加密服务具有诸多优点,但是它们也会在企业组织的基础设施中带来潜在的故障点。如果网关出现故障或加密软件即服务(SaaS)无法使用,你就无法将新的加密数据发送到云端。此外,只有问题得到了解决,你才可以访问云端的加密数据。
部署内部部署型网关时考虑使用的一个选项就是,使用其高可用性和可扩展性。为此,运行多个网关,在这些网关之间实行负载均衡机制,或者让一个网关处于待命模式。另外,如果你能忍受较长的恢复时间,那么主网关出现故障时,也可以手动启用一个新的网关。
使用加密SaaS时,务必要确保服务级别协议(SLA)满足你在可扩展性和可用性方面的预期目标。SLA还应该指定出现故障后的补偿方案,以满足约定的服务级别。
集中式云数据加密服务是云生态系统中的一个重要部分,对需要满足严格监管法规的公司来说特别大有帮助。然而,总是要事先料到出现临时故障的风险,并作好相应的规划。
原文标题:Fill security gaps with centralized cloud data encryption