随着产业互联网的发展,越来越多的企业将业务上云,开始使用更具可靠性和扩展性、更加易于维护的云原生应用。云原生技术以其高效稳定、快速响应的特点驱动引领企业的业务发展,帮助企业构建更加适用于云上的应用服务。与此同时,随着云原生应用、容器、微服务及DevOps开发流程的倍速发展,越来越多的应用基于云平台构建,与云平台深度融合,安全与开发过程也逐步融合,高效构建云上数据全生命周期保护架构愈发重要。
在近期腾讯安全联合CSDN和云+社区共同举办的“云原生安全专场”产业安全公开课上,腾讯安全云鼎实验室专家姬生利以腾讯云数据安全中台解决方案为例,分享云原生背景下企业应如何应用密码技术构建云上数据全生命周期安全防护体系,帮助企业提前规避在资源隔离、数据存储、数据传输、数据共享、虚拟化等方面可能存在的业务风险,整体提升云上业务开发及业务数据安全性。
云原生背景下,催生新的安全基础设施
2019年Forrester 在《云安全解决方案预测,2018至2023》中曾提到云原生安全的定义和发展趋势,表明云原生平台安全将成为云安全市场增长最快的部分。企业在云原生安全上需要重点关注的一些核心安全能力,从异常监测审计到网络隔离(VPC、ACL)、访问控制(IAM、资源级鉴权)、最后到数据的分类隔离、传输及存储加密等,数据安全隐私保护的诉求全流程贯穿其中。
基于此,腾讯云提供了数据安全与隐私保护的基础设施。其中,身份认证鉴权 CAM实现子账号的管理、资源的授权、身份的认证等,确保正确的人访问授权的数据;私有网络 VPC进行网络的隔离和强化访问控制;云审计CloudAudit进行资源访问的日志审计。而云上核心的数据安全与隐私保护,就需要通过安全基础设施密钥管理系统(KMS)来实现密钥的管理。KMS的核心优势就是基于硬件加密机而非软件实现密钥的安全生产和托管,任何人(包括云厂商)都无法拿到用户密钥的明文,确保了核心密钥的安全性。
针对于云原生时代面临一系列数据安全问题,如核心数据流动过程中存在的合规和治理风险、合规要求下敏感数据传输过程中的加密保护、与第三方进行数据交换时的隐私保护和额外技术攻击等。KMS在开发与应用相结合的新型诉求下,逐步建立了适用于不同场景的云上数据的保护机制以解决数据流动风险问题。
打造开箱即用的数据加密体系
KMS是云隐私数据加密保护的基础设施组件,也是云上数据安全与隐私保护基础设施的重要组成部分。云租户以及云产品通过接入KMS实现对自身的敏感数据、云产品存储的租户隐私数据进行加密存储,提升安全性,并满足国内外合规审查标准。
KMS的主要功能包括密钥创建、启用、禁用、轮换、导入等密钥的全生命周期,与此同时还与对象存储、分布式数据库、云硬盘等多款云产品无缝集成,可以轻松地实现对这些服务内的密钥集中管理。因此,面对云原生时代企业在多元化场景下的诉求,围绕KMS落成了一系列最佳实践。
1. 云数据一键透明加密
KMS和云产品无缝集成实现云上数据原生加密能力,为用户提供透明加密的解决方案,用户只需要开通相应的服务,无需关心加密的细节,即可实现透明的云上数据加解密。
2. 敏感凭据类信息托管加密保护
基于KMS封装,提供凭据管理,用户可通过凭据管理系统轻松实现对数据库凭证、API 密钥和其他密钥、敏感配置的集中检索、管理以及加密存储,有效避免程序硬编码导致的明文泄密,以及权限失控带来的业务风险。
3. 小型敏感数据加密
通过调用 KMS的API选择采用对称密钥或非对称密钥进行数据加解密,用来保护服务器硬盘上敏感数据的安全(小于4KB)。加密后本地保存密钥的密文文件,使用时解密且不保存本地,使得攻击者难以获取敏感数据。
4. 大型敏感数据加密
KMS产生两级密钥(主密钥CMK和数据加密密DEK),海量的业务数据采用DEK进行本地高效加密,而DEK通过CMK进行加密保护,是一种应对海量数据的高性能加解密方案,用于本地核心数据存储保护。
除此之外,腾讯安全云鼎实验室还提出以“腾讯云数据安全中台”为中心,打造端到端的云数据全生命周期安全体系,将密码运算、密码技术及密码产品以服务化、组件化的方式输出,并无缝集成至腾讯云产品中,实现从数据获取、事务处理及检索、数据分析与服务,数据访问与消费过程中的安全防护,展开了一系列以数据加密软硬件系统(CloudHSM/SEM)、凭据管理系统(SSM)以及云访问安全代理(CASB)为例的密码应用上的最佳实践
着眼于云原生背景下日趋变化的数据安全挑战,综合运用数据安全管理经验和数据保护技术,针对性地在数据全生命周期每个阶段提供保护,在应用与开发相结合的的变化前提下,建立一套全生命周期的防护措施已刻不容缓。因此,企业自身应该建立一个全面的数据安全治理平台,顺应云原生时代的变化,以此来统筹业务数据流和数据风险管控,避免数据安全隐患导致不必要的损失。