云安全加密存储技术剖析之Amazon AWS

来源:硅谷动力  
2011/11/11 10:24:42
从将文件夹储存在服务器上这观点来看,新的S3服务器端加密功能跟Dropbox所用的方式一样。唯一的差别是当使用S3服务器端加密功能时,金钥在Amazon手上,而使用Dropbox时,金钥在Dropbox手上。

话说Amazon AWS上的储存系统能有多安全?

  首先,弄清楚你所能得到的安全性之前,要先知道你想采用哪种储存模式。Amazon提供了三种不同的储存模式:

  主机储存(Instance Storage)

  这是当你在AWS上启动一个服务器的虚拟机时,所包含的储存装置。可以将它看成一般的C槽硬盘。它只提供给这个虚拟机使用,当虚拟机终止时也就不再存在。这类储存的安全性跟Amazon虚拟机本身是一样的。

  原始区块储存(Raw block storage)

  被称为弹性区块储存系统(Elastic Block Storage, EBS)。提供一个快速且持久存在的原始信息储存装置,它跟主机映像文件(AMI)的虚拟机是分开的。可以将它当成是云磁盘机,当主机要使用时就在这原始区块上挂载一个文件夹系统,就可以开始进行存取。这是目前AWS唯一提供区块储存的方式。很巧的是,趋势科技的Secure Cloud金钥管理服务也在这上面发挥作用。经由加密EBS区块,可以在主机映像文件尝试存取时提供存取控制。

  简单存储服务(Simple Storage Service, S3)

  这是AWS所提供的独立且持久存在的云端储存服务,只能经由一个良好设计,基于HTTP的Web API来存取。客户可以利用这服务来储存和取得在S3上的大量信息,通常用来储存Amazon Machine Images(即主机映像文件的范本)。AWS并没有要求这些储存信息的结构,也没有透露这些信息在后端是如何储存的。有些第三方公司会提供类似中介文件夹系统的解决方案在S3上。但总的来说,这些都还是在起步阶段,因为使用上还是有很多限制。为了消除客户对于将敏感信息储存在S3的疑虑,AWS建议客户使用一个加密函数库程序库,这必须加进客户用来储存信息到S3上的应用程序设计中,然后将加密金钥分开管理。Amazon最近宣布推出提供给静止信息的S3服务器端加密(Server Side Encryption),下面是它的工作原理图。

 

云安全加密存储技术剖析之Amazon AWS



  在这公告中,Amazon提供客户一个选项去使用AWS代管的加密功能去对S3信息做加解密的动作,这也让那些不想重写应用程序的S3使用者松了一口气。

  一个重大的限制是,这个解决方案没有提供外部金钥管理的功能。金钥跟S3认证相连结,如果帐户认证被入侵,黑客就可以存取一切。所以我能想到关于这功能的使用情境是,储存信息在S3时可以满足现行法规或政策的要求,或是某人不使用你的帐号认证就侵入 AWS来窃取你的信息(最后这个例子非常的不可能…)。

  从将文件夹储存在服务器上这观点来看,新的S3服务器端加密功能跟Dropbox所用的方式一样。唯一的差别是当使用S3服务器端加密功能时,金钥在Amazon手上,而使用Dropbox时,金钥在Dropbox手上。这两种都一样,客户上传的信息在供应商的服务器上是保持加密的,而信息拥有者(客户)无法控制这些加密金钥。

  而如果是用S3客户端加密,信息所有者可以控制金钥,但是必须手动管理这些金钥。

  希望以上这些有助于澄清Amazon上储存模式所用的不同安全技术。

责编:孔维维
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
IT系统一体化时代来了

2009年Oracle 用Exadata服务器告诉企业,数据中心的IT服务一体化解决方案才是大势所趋,而当前企业对大数据处理的..

高性能计算——企业未来发展的必备..

“天河二号”问鼎最新全球超级计算机500强,更新的Linpack值让世界认识到了“中国速度”。但超算不能只停留于追求..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918