云时代密码上云的三种常见方式及其存在问题
2023-06-25
|技术动态 |
摘要:
过去十年,在云计算广泛深入社会各个领域的同时,安全也成为云计算领域亟待突破的重要问题。尤其是作为网络安全核心的密码应用,正在加速从幕后走向台前。密码上云开始成为企业需要关注的问题之一。
就目前而言,密码与云的融合还在发展中,相关的标准规范也尚不完备。这种状况下,国内市场从具体需求的视角,出现了形态各异的密码应用实践。根据数字认证首席科学家、研究院院长夏鲁宁的介绍,目前国内常见的密码上云方式及存在的问题如下所示:
1.纯SaaS平台密码应用实践
即把电子合同等业务放在云计算的SaaS层提供。由于缺乏硬件密码资源的支持,密码功能多以SaaS层的软件方式来实现,这导致对于密钥等关键密码参数的保护强度不够,相当多的案例都是在开放环境下进行密码计算和密钥存储,随机数的熵和随机性也得不到保障。虽然看起来做到了“云原生”,但关键安全参数的泄露风险颇大,整体安全风险不可忽视,也不符合国家、行业标准对密码应用的要求。
2.支持虚拟化的密码设备实践
即采用虚拟化技术,在物理密码机内提供虚拟密码机vHSM。这种方式的优势在于密钥等关键安全参数仍在密码机物理边界内,能够依赖设备内建安全体系来保护密码计算、密钥管理以及随机数的安全。但缺点是可扩展性差,能够利用的最大计算和存储资源受限于物理密码机自身,资源分配的灵活性受限。
3.云密码资源池实践
即在多台物理密码设备的基础上云化成密码资源池,统一管理密码资源集群,向应用按需提供密码资源服务。这种方式能够有效保证密码应用安全,是近年来云密码应用的巨大进步。但现有的云密码资源池实践通用化程度不高,多为具体的云计算平台定制,只能有效支持运行在本平台上的信息化应用,在业务迁移、敏捷演进等方面存在挑战。
不难发现,无论是哪种密码上云的方式,在安全合规、可灵活扩展、可中立运营等方面都尚未做到兼顾。如何做到既符合对敏感密码资源的保护要求,又充分实现云上密码资源的按需配用、灵活扩展、快速演进,成为云时代密码应用的挑战。
就目前而言,密码与云的融合还在发展中,相关的标准规范也尚不完备。这种状况下,国内市场从具体需求的视角,出现了形态各异的密码应用实践。根据数字认证首席科学家、研究院院长夏鲁宁的介绍,目前国内常见的密码上云方式及存在的问题如下所示:
1.纯SaaS平台密码应用实践
即把电子合同等业务放在云计算的SaaS层提供。由于缺乏硬件密码资源的支持,密码功能多以SaaS层的软件方式来实现,这导致对于密钥等关键密码参数的保护强度不够,相当多的案例都是在开放环境下进行密码计算和密钥存储,随机数的熵和随机性也得不到保障。虽然看起来做到了“云原生”,但关键安全参数的泄露风险颇大,整体安全风险不可忽视,也不符合国家、行业标准对密码应用的要求。
2.支持虚拟化的密码设备实践
即采用虚拟化技术,在物理密码机内提供虚拟密码机vHSM。这种方式的优势在于密钥等关键安全参数仍在密码机物理边界内,能够依赖设备内建安全体系来保护密码计算、密钥管理以及随机数的安全。但缺点是可扩展性差,能够利用的最大计算和存储资源受限于物理密码机自身,资源分配的灵活性受限。
3.云密码资源池实践
即在多台物理密码设备的基础上云化成密码资源池,统一管理密码资源集群,向应用按需提供密码资源服务。这种方式能够有效保证密码应用安全,是近年来云密码应用的巨大进步。但现有的云密码资源池实践通用化程度不高,多为具体的云计算平台定制,只能有效支持运行在本平台上的信息化应用,在业务迁移、敏捷演进等方面存在挑战。
不难发现,无论是哪种密码上云的方式,在安全合规、可灵活扩展、可中立运营等方面都尚未做到兼顾。如何做到既符合对敏感密码资源的保护要求,又充分实现云上密码资源的按需配用、灵活扩展、快速演进,成为云时代密码应用的挑战。
上一篇: 门户网站信息系统安全等级保护解决方案
下一篇: 关键信息基础设施如何落实等级保护?
