BYOK是否是云计算安全的关键?
正是由于爱德华·斯诺登对于美国国家安全局的揭露;索尼遭受到全面的黑客入侵;以及正在持续进行的存储在云中的电子邮件到底是属于发件人还是服务托管机构的法律纠纷,促使越来越多的云服务迁移到了加密数据。有些甚至更进一步,提供了带上您自己的密钥(BYOK)的选项,使得用户拥有自己的云数据的加密密钥。
去年夏天,谷歌计算引擎开始为用户自己的密钥加密的数据和计算提供预览服务,而亚马逊则同时为EC2和S3云服务实例提供软键管理和价格更高的(设置较慢)云硬件安全模块服务(Cloud HSM service),用户的密钥被存在亚马逊的云的专用硬件安全模块。Adobe创意云现在支持用户管理的数据加密密钥,用来保护同步到创意云帐户的内容。而微软的密钥库是一个单一的、经审核的、有相应版本的安全库,结合了Azure活动目录进行身份验证。密钥库允许用户存储密码、配置细节、API密钥、证书、连接字符串、签名密钥、SSL密钥和Azure权限管理的加密密钥、SQL Server TDE、Azure存储、Azure磁盘加密、用户自己在Azure上的.NET应用程序以及使用EMC的CloudLink安全虚拟机加密的虚拟机。在密钥库的密钥要么可以作为软键存储,在一个HSM中由系统密钥加密;要么直接从用户自己的HSM加载到微软HSM(在一个选定的地理区域),所以您可以在您企业内部创建密钥,并将他们转移到密钥库。
Dan Plastina所运行的微软信息保护组就包括密钥库。他指出了以同样的方式管理不同系统的密钥的优点。“这其中吸引人的地方就在于:如果您企业有这样一个机制,其适用于Office 365的工作负载,包括Exchange、SharePoint和OneDrive业务,那么,同样的机制也将适用于业务线应用程序,其将被用于虚拟机、将秘密填充到虚拟机、CRM、SQL Server、HD Insight,您将开始以非常相似的一种范式来管理您的微软工作负载,而其培训也是非常相似的。”他说,如果您企业因为担心失去您的密钥的危险而正在考虑BYOK是至关重要的。
“您正在寻找能够帮助您实现环绕式处理技术的东西,然后培训您的员工去这么做,因为您不想失去您的密钥,然后再失去了您的数据。”Plastina说。当您使用HSM支持的键时,就像在Azure密钥库的云HSM或BYOK一样,密钥从您的HSM直接上传,而云服务从来也看不到密钥。这意味着他们无法把您的密钥交给一个攻击者或一个政府的调查机构。但这同时也意味着他们无法将密钥交还给您。
“如果您失去了您的密钥,所有被该密钥加密的数据便永远消失一去不复返了。”Plastina说。“当密钥是从他们的基础设施转移到我们的HSM时,是以我们看不见方式完成的,因此如果某位客户回来告诉我们说,他们的办公建筑焚毁了,HSM也没有了,那么,这就意味着所有的密钥也都丢失了,一切都结束了。俗话说,能力越大责任越大。人们如果想要参与进来,就需要执行相应的任务。”
服务托管的密钥可以向您的保证,其每位租户和每个订购的密钥都是管理职责和审计职责分离的,而没有管理密钥的头疼问题。“但是,借助BYOK,我们要求客户以重要的方式参与进来。” Plastina说。“这意味着设置密钥库并管理库;在某些情况下,需要HSM支持的密钥,以便他们能够在企业内部采购一款HSM,他们必须运行他们自己法定人数的管理员的智能卡和PIN码,并且必须在正确的地方保存智能卡。这肯定增加了他们的负担。”
如果您企业正在考虑采用携带自己的密钥的政策是否适合您企业的业务的话——这也意味着确保您自己的密钥安全,您需要考虑的第一个问题便是您企业是否准备好成为一家银行。因为您企业将不得不采用同样的严格要求来运行您的关键基础设施,甚至包括考虑您企业办公人员的旅行计划。如果您企业有三名授权的人员能够使用智能卡访问您企业的密钥,您肯定不会想让他们三位都同时出现。
保护密钥的负担意味着尽管一些微软的客户,特别是在汽车制造行业的用户选择了采用BYOK政策,“有人说我们相信微软将做的是正确的事情,”Plastina说。“他们都以’我想要拥有控制权’作为他们的开场白,但当他们看到需要承担的相应责任,并了解了微软承担了相当多的责任时,他们会说’您为什么不做’。他们不想成为一个链条上较弱的一环。”
甚至一些纽约的金融机构,最初也曾想采用BYOK来帮助他们管理企业内部的HSM,而当他们考虑到哪些可能出问题的领域时,他们开始坚决反对了,Rich表示说。“一款HSM可能已经关闭,会漏出大量的用户基本信息。他们很快想到,这可能是一个潜在的巨大的拒绝服务攻击,由公司内部的恶意攻击者执行。这些都是我们最先进的高度敏感的顾客,这不仅是一个巨大的责任,同时也潜在的具有破坏的威胁,无论是意外的或是恶意的。”
一些企业认为他们需要BYOK以遵守法律要求的密钥在他们的监督下的规定。在不同的司法管辖区有一系列实际意义的解释;“我们相信我们满足了这些法律的精神和目的。”Plastina表示说。一项类似于密钥库的服务可以使得在特定的地区保管密钥更容易,特别是规对于那些规模较小的、在他们所开展业务的所有地区没有相应物理基础设施的企业。
然而,仍有一些企业想拥有携带自己的密钥的选择——或者甚至将密钥托管在一款他们运营的HSM中。在许多方面,托管自己的密钥违背了许多公司采用云服务的初衷,因为云服务的速度,简单性和节省成本的特点,使得企业不再运行自己的基础设施以提供这些服务。如果您企业想保持可接受的性能和服务水平,您将需要大量的基础设施。“那些客户将需要运行高可用性容错的数据中心分布式服务到问题密钥。”Plastina警告说。如果不是今天微软所提供的服务,那么这些行业的企业要做到像银行一样是相当重要的,因为这些银行企业已经有了流程和安全的密钥方面的专业知识,以及审查员工方面的经验
BYOK和Office 365
企业用户不必携带和管理自己的密钥,以便获得更多的控制和透明度,微软Office 365团队的Paul Rich表示说。BYOK并不是解决企业用户失去对加密的控制权与通过在将数据迁移到云服务之前对其进行加密而失去云服务的大多数好处之间紧张关系的唯一方式。
“如果您在将相关的数据迁移到云服务之前对数据进行了加密,那么这些数据就不能被推理,而简单的表格,以及诸如垃圾邮件和病毒检测之类的任务也是不可能完成的,而更高级别的功能,如符合法律监管和深入的文档发现等等功能都将需要获得上传这些内容的人员的授权。企业CIO们明白,当他们来到云服务时,他们希望具备这些功能。他们所问的问题是“我们怎样才能让您能够通过利用机器做到这一点,同时又不让您的人员看到我们的数据呢?”
另一种选择是采用新的Office Lockbox。“这一服务理念是:提供云服务的人没有权限访问您的内容。您可以确保微软不会有人访问您所存储的内容。如果有我们需要访问的一个支持的理由,我们会请求获得访问许可,并直到我们得到该许可,人为运行的服务无法访问这些内容。”客户将获得透明度和能见度,Rich说;他们可以看到有哪些访问请求,并能够控制那些业务访问请求可以被批准,并获得相关的活动日志,了解当访问发生时,哪些内容被访问了。
而如果您想知道有哪些因素可以防止微软随意宣称他们并没有访问这些内容,或者监督管理员是否执行了远远超出了日志显示的操作的话,Rich列举了微软所负责运行的政府安全计划,在该计划中,微软负责提供对于微软源代码的访问控制,而这些代码最近刚刚被北约组织进行了更新。“我们与我们的客户达成协议,我们托管负责Lockbox的代码,并使其成为一个程序的一部分,允许第三方代码审查,以显示其没有侧门或后门。”
提供Lockbox意味着重写Office服务,以便能够删除来自企业内部部署的服务器软件的默认设置,因为管理员总是对于这些数据有访问权限。这在Exchange中已经实现了,而Lockbox中的选择现也已经有了;其将在2016年第一季度成为SharePoint的一项功能选项。
Office 365也将从依靠BitLocker转为对工作负载运行在其之上的服务器的加密,当工作负载运行时不会提供保护,而是转为对应用程序层进行加密。这一功能已经在SharePoint中完成,而对于在Exchange实现这一功能也已经于2015年底准备就绪了,企业版Skype的业务则被排在此之后。“这将把数据管理员与服务管理员独立开来。”他声称。其也将是BYOK的。”我们将在应用程序层中使用密钥包装,以通过用户所拥有的Azure密钥库保护邮箱的内容。”
“当服务完全释放时,我们的计划是为客户提供少量的密钥,也许10或20个,方便用户用来与您的客户通过Exchange、SharePoint和企业版Skype进行交流。大多数客户表示说他们不需要太多的密钥,例如在美国和欧洲企业一般位三个密钥,而在亚太地区,他们会将密钥存储在密钥库。
这些密钥将需要保护,但不会使得Office 365的运行更复杂,他预测说。“您企业只需要做最少量的管理工作,偶尔调整一下密钥。”Rich表示说。“您使用这些密钥的方法是作为整个服务的策略。在正常操作中,我们没有权限访问您的内容;如果一个人需要访问,那么Office Lockbox便会记录,这样用户就能够知道谁在何时进行了访问。而一旦您离开办公大楼时,在密钥库中的密钥会把所有的灯关掉。”
保护您的密钥
根据去年的一项调查显示,只有很少的企业加强了对于他们已经负责的密钥的安全保护,BYOK和HYOK将超出了许多企业的范围。据Ponemon Institute的调查发现,大约有一半的企业对于其自己的SSH密钥和许多非旋转操作器(Rotate Key)没有集中控制,这使得它们更容易受到攻击。失去云加密密钥会更麻烦,因为您可能会因此而永远失去数据。
记住,BYOK并不是您企业所需要承担的唯一与密钥管理相关的安全责任。Windows 10包括了新设备的保护选项以限制PC机只能运行那些要么来自于Windows商店或已经由ISV或由企业自己签署的使用微软认证密钥链的应用程序。ISV和微软可以签署任何企业能运行的应用程序;但这些企业组织已经经历了保护高价值的密钥的过程。
签名密钥的企业得到的是更多的限制,生产的签名应用程序只能运行在自己的领域。但这仍然意味着违背了您的签名密钥的攻击者可以产生恶意软件,以攻击您的最安全的设备。
如果您正在使用设备保护配置代码以完整您的电脑,微软的Chris Hallum指出,“确保这些访问的人员是值得信赖的人进行的是非常重要的,您企业可以使用双因素身份验证,以确保只有有限数量的、您信任的资深人员在您的企业组织才有访问权限。”
在2007年,黑客偷了诺基亚用于其塞班操作系统应用程序的数字签名的密钥,并勒索该公司交出数百万欧元。
如果您企业没有准备好处理从突发火灾事故到黑客勒索的这一系列或将潜在的对您企业的信息基础设施和公司的数据造成拒绝服务攻击的状况的话,您企业可能不会准备采用携带自己的密钥的策略。最近,在Visual Studio 2015的创建的GitHub的插件bug,意味着开发者在他们的代码中嵌入AWS凭据上传到一个私人库,却发现,黑客们利用这些密钥运行了价值数千美元的AWS实例。