信息來源:企業(yè)網(wǎng)
如果數(shù)據(jù)在數(shù)據(jù)庫中存儲以及數(shù)據(jù)在不同地方傳輸時都被加密,那么人們可能會認為這種方法比較安全。但是這仍然給數(shù)據(jù)中心安全策略留下了一個很大的盲區(qū):要使用這些數(shù)據(jù),必須對其進行解密,在解密的過程將會為攻擊者創(chuàng)建一個窗口,以便從內(nèi)存中抓取數(shù)據(jù)。
如今已經(jīng)出現(xiàn)了多種方法來解決這個問題,但是只有一個方法被證明是實用的,并且在數(shù)據(jù)中心運營商中越來越受歡迎。與人們的智能手機存儲最敏感的個人數(shù)據(jù)的方式類似,此方法不會將選擇敏感的應(yīng)用程序數(shù)據(jù)以未加密的狀態(tài)暴露給主機操作系統(tǒng)。
最近的一個例子是利用Heartbleed漏洞的攻擊。Cygilant公司安全研究主管Neil Weitzel說:“黑客能夠從內(nèi)存中獲取存儲的數(shù)據(jù)。”
現(xiàn)在也有各種各樣的解決方法。一些公司使用令牌替換關(guān)鍵數(shù)據(jù),這樣他們就可以處理敏感信息而不會暴露它們。其他人使用保存功能的加密功能,稱為同態(tài)加密。
但是,標記化和同態(tài)加密都有很大的局限性,并沒有被廣泛采用的數(shù)據(jù)中心安全以外的一些特定的使用情況。另外,任何基于軟件的解決方案都會影響性能。
NTT安全公司威脅情報產(chǎn)品管理總監(jiān)ChrisCamejo說:“在同態(tài)系統(tǒng)的情況下,這些影響性能的情況很普遍?!?
輸入基于硬件的安全飛地
通過新型智能手機就會看到這種方法的一個例子。人們的iPhone或Android手機中的“安全元素”存儲個人的生物識別信息和付款數(shù)據(jù),使其不會暴露給操作系統(tǒng)的其他部分。
數(shù)據(jù)中心安全等同于2015年發(fā)布的英特爾SGX芯片,其中包括一個可信的運行時間系統(tǒng),其中安全的私有安全區(qū)域被留出以供正在運行的應(yīng)用程序使用。
即使黑客能夠進入本地操作系統(tǒng),他們也將無法竊聽應(yīng)用程序正在做什么。
安全廠商Fortanix公司近日發(fā)布了一款產(chǎn)品,利用新硬件來保護加密密鑰和數(shù)據(jù),而應(yīng)用程序開發(fā)將會積極使用。
Fortanix公司聯(lián)合創(chuàng)始人兼首席執(zhí)行官Ambuj Kumar表示,安全飛地適用于其他應(yīng)用程序或操作系統(tǒng)本身。
他說:“如果在操作系統(tǒng)中發(fā)現(xiàn)了一個零日的錯誤,這個飛地是安全的。如果具有惡意的內(nèi)部人員訪問系統(tǒng),這個飛地是安全的,如果一個能夠解密所有內(nèi)存的物理攻擊,飛地被嵌入CPU內(nèi)部,所以它仍然是安全的?!?
因此,如果導(dǎo)致大量數(shù)據(jù)對外泄露的Equifax公司使用安全區(qū)域運行其應(yīng)用程序,則在運行時加密將保護它的話,就不會造成這么大的影響。
他說:“可以在Apache Struts中發(fā)現(xiàn)一個漏洞,并使用它升級權(quán)限,現(xiàn)在人們可以控制整個系統(tǒng)以及系統(tǒng)上運行的所有應(yīng)用程序。但是,當嘗試使用它時,運行時加密將阻止這種攻擊?!?
Equifax公司將黑客獲得美國信貸局存儲的14550萬人的個人信息的安全漏洞歸因于開源Web應(yīng)用服務(wù)器ApacheStruts的未修補實例。
Fortanix公司運行的加密平臺允許現(xiàn)有應(yīng)用程序利用新的基于硬件的安全性。
Kumar說:“應(yīng)用程序認為它是在解密的數(shù)據(jù)上運行。當程序需要時,數(shù)據(jù)總是變得神奇可用,不需要其他的應(yīng)用程序管理來加載或卸載數(shù)據(jù)。“
英特爾公司的SGX擴展自2016年以來一直在市場上推出,可用于企業(yè)的本地數(shù)據(jù)中心和云服務(wù)下的基礎(chǔ)架構(gòu)。
例如,Microsoft Azure在其新的Azure保密計算產(chǎn)品中支持SGX的飛地技術(shù),今年9月這種產(chǎn)品已提供給早期客戶。
Equinix和IBM也在致力于支持安全飛地。
但Kumar警告說,在運行時進行加密并不是解決數(shù)據(jù)中心安全性的一個靈丹妙藥。
例如,如果應(yīng)用程序本身受到攻擊(無論是通過漏洞還是通過盜取證書),黑客就可以使用它來訪問數(shù)據(jù)。
數(shù)據(jù)中心運營商Markley集團首席技術(shù)官Patrick Gilmore表示,運行時加密對于保護公共和多租戶基礎(chǔ)設(shè)施(如云平臺)中的數(shù)據(jù)至關(guān)重要。但是它在數(shù)據(jù)中心中也有一席之地。
他說:“并不是所有的威脅都是來自外部的?!?