Nhờ công nghệ cloud, các tổ chức thuộc mọi quy mô có thể tận hưởng khả năng mở rộng, dễ sử dụng và tiết kiệm đáng kể bằng cách thuê ngoài sở hữu phần cứng và phần mềm và bảo trì trong môi trường nhiều người thuê. Các công ty cỡ trung không còn phải trả tiền để xây dựng cơ sở hạ tầng của riêng họ, điều này khiến cho cloud đặc biệt hấp dẫn thị trường này.
Tuy nhiên, cloud vẫn có các vấn đề về bảo mật. Di chuyển dữ liệu quan trọng và ứng dụng vào cloud có thể so sánh với việc để chìa khóa nhà của bạn dưới thảm cửa. Bạn đã thuê ngoài không chỉ cơ sở hạ tầng mà cả các khóa mã hóa cho dữ liệu và tệp nhạy cảm của bạn.
Bảo mật cloud mạnh đòi hỏi phải đánh giá các điều khiển khóa mã hóa. Trừ khi bạn độc quyền kiểm soát các khóa mã hóa cho dữ liệu của mình, bạn có thể gặp rủi ro. Thật không may, đó không phải là trường hợp của đám mây và đó là một trong những lý do tại sao chúng tôi tiếp tục nhận được email xin lỗi thông báo cho chúng tôi rằng dữ liệu của chúng tôi đã bị xâm phạm. Mỗi dịch vụ cloud và nhà cung cấp dịch vụ phần mềm đại diện cho một bề mặt tấn công khổng lồ và do đó là một mục tiêu nghiêm trọng. Với tất cả mọi thứ di chuyển vào đám mây, làm thế nào để bạn thực hiện quản lý khóa? Đây là một thách thức cần phải được giải quyết.
Bạn có nên đặt chìa khóa của bạn trong đám mây?
Giải pháp đám mây nhiều bên thuê (ứng dụng, cơ sở dữ liệu, tệp và mọi thứ khác được lưu trữ trên đám mây) là khái niệm đơn giản nhất, vì thật dễ hiểu làm thế nào cơ sở hạ tầng tại chỗ có thể được hình dung như các trường hợp đám mây. Các tổ chức thường cho rằng đây là những gì họ cần. Tuy nhiên, việc chuyển các hệ thống quản lý khóa (KMS) sang đám mây bằng cách sử dụng bất kỳ một trong ba tùy chọn dựa trên đám mây phổ biến đều gây ra rủi ro đáng kể.
Trong KMS thuê ngoài, nhà cung cấp dịch vụ đám mây sở hữu các khóa và họ sẽ cho bạn biết rằng tất cả dữ liệu và tệp của bạn được bảo mật và mã hóa. Điều đó tốt – ngoại trừ nếu nhà cung cấp hoặc thông tin đăng nhập tài khoản của bạn cho nhà cung cấp bị hack (như đã xảy ra trong trường hợp của Uber với AWS ). Các tệp của bạn có thể được mã hóa, nhưng nếu bạn đang lưu trữ khóa mã hóa của mình với chúng, thì kẻ tấn công có thể giải mã mọi thứ nếu cuộc tấn công của chúng cũng có quyền truy cập vào khóa của bạn.
Một tùy chọn khác là đám mây KMS, trong đó bạn sở hữu các khóa, nhưng chúng được lưu trữ trong phần mềm đám mây. Một KMS đám mây nhiều người thuê dựa trên phần mềm đặc biệt không phù hợp để quản lý khóa mật mã. Vì tài nguyên phần cứng được chia sẻ trên nhiều máy khách, mức độ không an toàn cao hơn đối với việc bảo vệ các khóa này – các lỗ hổng Spectre và Meltdown là minh chứng cho điều này.
Cách tiếp cận thứ ba là đám mây HSM: bạn sở hữu các khóa, nhưng chúng được lưu trữ trong phần cứng đám mây được thiết kế đặc biệt để bảo mật các khóa mật mã. Các tiêu chuẩn vàng của Vàng cho các khóa bảo vệ là các bộ xử lý mã hóa an toàn – mô-đun bảo mật phần cứng (HSM) và mô-đun nền tảng đáng tin cậy (TPM). Mặc dù các rủi ro nhất định được giảm thiểu bằng cách sử dụng HSM hoặc TPM dựa trên đám mây, nhưng thực tế vẫn là mặc dù các khóa có thể được bảo mật, nhưng việc truy cập vào chúng có thể gặp rủi ro: các ứng dụng truy cập các bộ xử lý mã hóa an toàn này vẫn là một phần của cơ sở hạ tầng nhiều bên thuê . Giữa việc tấn công một bộ mã hóa phần cứng được xây dựng có mục đích hoặc một ứng dụng chạy trong môi trường nhiều bên thuê, ứng dụng luôn là mục tiêu dễ dàng hơn theo quan điểm của kẻ tấn công.
Luật chính
Các nhà cung cấp đám mây cung cấp tường lửa tiên tiến, phát hiện xâm nhập và các biện pháp bảo vệ khác, nhưng an ninh không kết thúc ở đó. Đảm bảo các yếu tố cốt lõi của doanh nghiệp của bạn – dữ liệu và tệp nhạy cảm – chống lại các vi phạm yêu cầu mã hóa bằng cách sử dụng Luật cơ bản của Quản lý khóa mật mã:
- Bộ xử lý mật mã an toàn (HSM / TPM) phải kiểm soát và bảo vệ các khóa mật mã
- Nhiều người giám sát khóa trong một tổ chức phải kiểm soát độc quyền các khóa mật mã
- Các phần của ứng dụng sử dụng bộ xử lý mật mã để làm việc với dữ liệu nhạy cảm không được thực thi trong môi trường nhiều bên thuê công cộng. Dữ liệu nhạy cảm không chỉ không được bảo vệ trong môi trường nhiều bên thuê, mà còn là những bí mật xác thực ứng dụng với bộ xử lý tiền điện tử, có khả năng dẫn đến vi phạm dữ liệu được mã hóa bằng cách sử dụng bộ mã hóa bảo mật trong cuộc tấn công
Nếp nhăn trong tình huống này là không có bất kỳ đám mây công cộng nào có thể đáp ứng các yêu cầu thiết yếu này. Các tổ chức để lại an ninh chỉ trong tay các nhà cung cấp đám mây có thể là một sự thức tỉnh thô lỗ.
Chìa khóa cho vương quốc của bạn
Tuy nhiên, điều này không có nghĩa là sử dụng đám mây công cộng là điều không cần thiết. Thay thế,lưu trữ dữ liệu và tệp nhạy cảm của bạn trên đám mây trong khi vẫn giữ quyền kiểm soát độc quyền các khóa mã hóa của chúng dưới sự bảo vệ của bộ xử lý mã hóa an toàn của riêng bạn trong một môi trường được kiểm soát bên ngoài đám mây công cộng.
Nếu nhà cung cấp dịch vụ đám mây của bạn bị vi phạm bảo mật và kiến trúc này được đặt ra, kẻ tấn công sẽ không có giá trị gì. Họ chỉ có quyền truy cập vào thông tin được mã hóa mà không có ích cho họ mà không có khóa. Lợi ích của đám mây vẫn được nhận ra trong khi duy trì bảo vệ dữ liệu. Điều này cho phép các công ty chứng minh sự tuân thủ các quy định bảo mật dữ liệu trong khi tận dụng các đám mây, riêng tư hoặc công khai, ở mức tối đa có thể.
Lợi ích của đám mây là có thật, nhưng những thách thức về bảo mật cũng vậy. Ngay cả khi dữ liệu được sử dụng bởi các ứng dụng đám mây được mã hóa, các khóa mã hóa mới là điều quan trọng. Không chỉ thông tin cần phải được giữ an toàn, mà các phím cũng vậy. Vì vậy, sau đó, các công ty cỡ trung không thể cho rằng các nhà cung cấp đám mây có bảo mật vỏ sắt. Thay vào đó, hãy sử dụng luật quản lý khóa mật mã để tìm giải pháp bảo mật dữ liệu quan trọng và bảo vệ danh tiếng của công ty bạn.
Leave a Reply