信息來源:企業(yè)網(wǎng)
如果數(shù)據(jù)在數(shù)據(jù)庫中存儲(chǔ)以及數(shù)據(jù)在不同地方傳輸時(shí)都被加密,那么人們可能會(huì)認(rèn)為這種方法比較安全�����。但是這仍然給數(shù)據(jù)中心安全策略留下了一個(gè)很大的盲區(qū):要使用這些數(shù)據(jù)�����,必須對(duì)其進(jìn)行解密�����,在解密的過程將會(huì)為攻擊者創(chuàng)建一個(gè)窗口�����,以便從內(nèi)存中抓取數(shù)據(jù)�����。
如今已經(jīng)出現(xiàn)了多種方法來解決這個(gè)問題�����,但是只有一個(gè)方法被證明是實(shí)用的�����,并且在數(shù)據(jù)中心運(yùn)營商中越來越受歡迎�����。與人們的智能手機(jī)存儲(chǔ)最敏感的個(gè)人數(shù)據(jù)的方式類似�����,此方法不會(huì)將選擇敏感的應(yīng)用程序數(shù)據(jù)以未加密的狀態(tài)暴露給主機(jī)操作系統(tǒng)�����。
最近的一個(gè)例子是利用Heartbleed漏洞的攻擊�����。Cygilant公司安全研究主管Neil Weitzel說:“黑客能夠從內(nèi)存中獲取存儲(chǔ)的數(shù)據(jù)�����?����!?
現(xiàn)在也有各種各樣的解決方法�����。一些公司使用令牌替換關(guān)鍵數(shù)據(jù),這樣他們就可以處理敏感信息而不會(huì)暴露它們�����。其他人使用保存功能的加密功能�����,稱為同態(tài)加密�����。
但是�����,標(biāo)記化和同態(tài)加密都有很大的局限性�����,并沒有被廣泛采用的數(shù)據(jù)中心安全以外的一些特定的使用情況�����。另外�����,任何基于軟件的解決方案都會(huì)影響性能�����。
NTT安全公司威脅情報(bào)產(chǎn)品管理總監(jiān)ChrisCamejo說:“在同態(tài)系統(tǒng)的情況下�����,這些影響性能的情況很普遍�����?����!?
輸入基于硬件的安全飛地
通過新型智能手機(jī)就會(huì)看到這種方法的一個(gè)例子�����。人們的iPhone或Android手機(jī)中的“安全元素”存儲(chǔ)個(gè)人的生物識(shí)別信息和付款數(shù)據(jù),使其不會(huì)暴露給操作系統(tǒng)的其他部分�����。
數(shù)據(jù)中心安全等同于2015年發(fā)布的英特爾SGX芯片�����,其中包括一個(gè)可信的運(yùn)行時(shí)間系統(tǒng)�����,其中安全的私有安全區(qū)域被留出以供正在運(yùn)行的應(yīng)用程序使用�����。
即使黑客能夠進(jìn)入本地操作系統(tǒng)�����,他們也將無法竊聽?wèi)?yīng)用程序正在做什么�����。
安全廠商Fortanix公司近日發(fā)布了一款產(chǎn)品�����,利用新硬件來保護(hù)加密密鑰和數(shù)據(jù)�����,而應(yīng)用程序開發(fā)將會(huì)積極使用�����。
Fortanix公司聯(lián)合創(chuàng)始人兼首席執(zhí)行官Ambuj Kumar表示�����,安全飛地適用于其他應(yīng)用程序或操作系統(tǒng)本身�����。
他說:“如果在操作系統(tǒng)中發(fā)現(xiàn)了一個(gè)零日的錯(cuò)誤�����,這個(gè)飛地是安全的�����。如果具有惡意的內(nèi)部人員訪問系統(tǒng),這個(gè)飛地是安全的�����,如果一個(gè)能夠解密所有內(nèi)存的物理攻擊�����,飛地被嵌入CPU內(nèi)部�����,所以它仍然是安全的�����?����!?
因此�����,如果導(dǎo)致大量數(shù)據(jù)對(duì)外泄露的Equifax公司使用安全區(qū)域運(yùn)行其應(yīng)用程序�����,則在運(yùn)行時(shí)加密將保護(hù)它的話,就不會(huì)造成這么大的影響�����。
他說:“可以在Apache Struts中發(fā)現(xiàn)一個(gè)漏洞�����,并使用它升級(jí)權(quán)限�����,現(xiàn)在人們可以控制整個(gè)系統(tǒng)以及系統(tǒng)上運(yùn)行的所有應(yīng)用程序�����。但是�����,當(dāng)嘗試使用它時(shí)�����,運(yùn)行時(shí)加密將阻止這種攻擊�����?����!?
Equifax公司將黑客獲得美國信貸局存儲(chǔ)的14550萬人的個(gè)人信息的安全漏洞歸因于開源Web應(yīng)用服務(wù)器ApacheStruts的未修補(bǔ)實(shí)例�����。
Fortanix公司運(yùn)行的加密平臺(tái)允許現(xiàn)有應(yīng)用程序利用新的基于硬件的安全性�����。
Kumar說:“應(yīng)用程序認(rèn)為它是在解密的數(shù)據(jù)上運(yùn)行�����。當(dāng)程序需要時(shí)�����,數(shù)據(jù)總是變得神奇可用�����,不需要其他的應(yīng)用程序管理來加載或卸載數(shù)據(jù)?����!?
英特爾公司的SGX擴(kuò)展自2016年以來一直在市場上推出�����,可用于企業(yè)的本地?cái)?shù)據(jù)中心和云服務(wù)下的基礎(chǔ)架構(gòu)�����。
例如�����,Microsoft Azure在其新的Azure保密計(jì)算產(chǎn)品中支持SGX的飛地技術(shù)�����,今年9月這種產(chǎn)品已提供給早期客戶�����。
Equinix和IBM也在致力于支持安全飛地�����。
但Kumar警告說�����,在運(yùn)行時(shí)進(jìn)行加密并不是解決數(shù)據(jù)中心安全性的一個(gè)靈丹妙藥�����。
例如�����,如果應(yīng)用程序本身受到攻擊(無論是通過漏洞還是通過盜取證書)�����,黑客就可以使用它來訪問數(shù)據(jù)�����。
數(shù)據(jù)中心運(yùn)營商Markley集團(tuán)首席技術(shù)官Patrick Gilmore表示�����,運(yùn)行時(shí)加密對(duì)于保護(hù)公共和多租戶基礎(chǔ)設(shè)施(如云平臺(tái))中的數(shù)據(jù)至關(guān)重要。但是它在數(shù)據(jù)中心中也有一席之地�����。
他說:“并不是所有的威脅都是來自外部的�����?����!?
