- Jämförelsen
- Tv
- Vad molntelekomtjänster behöver veta om kryptering
Spridningen av cloud computing-tjänster är en stor störande faktor i eran av Network Functions Virtualization (NFV). Molnbaserade tjänster erbjuder enorma fördelar som skalbarhet, kostnadsprestanda, central och enkel hantering. Dessa tjänster är dock ett centraliserat informationsarkiv som använder delade resurser, vilket gör dem till ett främsta mål för angripare.
Om författaren Danny Lahav, produktchef, Nokia Cloud Core. Dessa delade resurser inkluderar cloud computing eller lagringsservrar, och ett intrång på en enskild server kan potentiellt orsaka en fullständig informationsläcka och kompromiss. Säkerhetsbranschens experter utforskar tekniker som brandväggar och kryptering för att skydda molntjänster och plattformar. Eftersom fler och fler molntjänster för telekommunikation implementerar dessa tekniker är det viktigt att förstå nuvarande alternativ.
Innebörden av kryptering
Kryptering använder en kryptografisk nyckel för att konvertera vanlig text, även känd som läsbar data, till oläsbar text. På liknande sätt kräver dekryptering av krypterad data en respektive kryptografisk nyckel för att konvertera den till sin ursprungliga form. Datakryptering säkerställer datasäkerhet och integritet. Utan nyckeln kan en angripare eller obehörig användare inte dekryptera data, om inte nyckeln redan har äventyrats. Kryptering kan tillämpas på två typer av data: under överföring och i vila. Data som överförs inkluderar data som färdas över Internet och systemgränssnitt, som kan vara externa till systemet eller internt mellan servrar och applikationsprogrammeringsgränssnitt (API). Den kan krypteras med HTTPS, TLS, IPSec, etc., vilket är avgörande för att förhindra avlyssning av en obehörig användare. Data i vila betyder också data i vila och inkluderar lagringsnoder och flyttbara lagringsmedia. Data i vila kryptering kan tillämpas på en specifik datafil eller på all lagrad data. End-to-end-kryptering är ett sätt att kryptera data så att den bara kan dekrypteras vid endpoints. Gränssnitt mot molntjänster genom krypterad data under överföring eliminerar sannolikheten för att komma åt servern utan att ha en korrekt nyckel: endast avsändaren och mottagaren kan dekryptera meddelandet på dessa gränssnitt. Kryptering kan även tillämpas i molnsystem för att tillåta åtkomst av auktoriserade användare, samt för åtkomst till systemet genom externa gränssnitt och för att skydda känslig data lagrad i molnsystemet. Utan den kryptografiska nyckeln kan förlorade eller stulna data inte nås. Krypterad serverdata minimerar också chanserna för angripare att komma åt data i vila. Även om de har kommit åt krypterad data från servern kan angripare inte "läsa" eller äventyra data utan att ha nycklarna för att dekryptera den. Därför är kryptering av data i vila en nyckelfaktor för stark datasäkerhet i molnet.
Säkra krypteringsnyckelns livscykler med hjälp av en hårdvarusäkerhetsmodul
Dedikerad krypteringsprocessor speciellt utformad för att skydda livscykeln för krypteringsnycklar, hårdvarusäkerhetsmodulen (HSM) skyddar och hanterar digitala nycklar för stark autentisering och tillhandahåller krypteringsbehandling. Traditionellt är HSM:er ett expansionskort eller extern enhet som ansluter till en dator eller nätverksserver. Eftersom dessa moduler ofta är en del av en kritisk IT-infrastruktur, buntas de vanligtvis ihop för hög tillgänglighet, inklusive dubbla kraftmoduler. Molnoperatörer upprätthåller sitt moderprojekts hemliga nyckel, känd som Key Encryption Key (KEK), på HSM för att interagera med Barbican genom Crypto-plugin med protokollet PKCS#11. Ett REST API, utformat för att säkra lagring, tillhandahållande och hantering av hemligheter är Barbican ett OpenStack-projekt som gör det möjligt för användare att bygga säkra, molnförberedda nyckelhanteringssystem. Dessa system möjliggör hantering av känslig information, såsom symmetriska och asymmetriska nycklar, och råa hemligheter. Hemligheterna som finns på HSM krypteras och dekrypteras sedan under återställning av en projektspecifik KEK. Till exempel kommer HSM att generera en krypteringsnyckel per tjänst för att kryptera en lagringsvolym.
Serviceidentifiering med Keystone
Ett annat OpenStack-projekt är Keystone, som tillhandahåller centraliserad API-klientautentisering, tjänsteupptäckt och distribuerad auktorisering med flera klienter. Keystone autentiserar först en användare innan någon annan tjänst kommer åt. Du kan också använda ett externt autentiseringssystem som LDAP eller TACACS+. Efter framgångsrik autentisering får användaren en tillfällig token som ingår i tjänsteförfrågan. Användaren ges tillgång till tjänsten om och endast om token är validerad och användaren har lämpliga roller.
Dynamisk nyckelhantering: hur Barbican hanterar dina nycklar
Först verifierar Barbican en nyckelautentiseringstoken för att identifiera användaren och projektet som kommer åt eller lagrar en hemlighet. Den tillämpar sedan en strategi för att avgöra om åtkomst är tillåten. Barbican ersätter känslig information, såsom databaslösenord, med unika hyperlänkar, som lagras säkert för senare hämtning. Kryptera känslig data med dedikerade krypteringsenheter som HSM för att ge en förbättrad säkerhetsnivå. Som nämnts ovan används kryptografiska plugins för att kommunicera med HSM via protokollet PKCS#11. Detta protokoll specificerar ett API, kallat "Cryptoki", för enheter som bär kryptografisk information och utför teknologiagnostiska kryptografiska funktioner.
Varför lagringskryptering är viktigt
Virtuell maskin (VM) eller containerbaserade molnsystem använder volymlagring. Därför är volymkryptering viktigt för att skydda data och fysiska lagringsmedia i virtuella maskiner från stöld, läckor och åtkomst av angripare. Okrypterad VM-data riskerar att en angripare bryter sig in på en volymvärdplattform och kommer åt data från många olika virtuella datorer. Syftet med den krypterade volymfunktionen är att kryptera den virtuella maskinens data innan den skrivs till volymen/lagringen (data-in-transit) och därmed upprätthålla dataskyddet medan det finns på lagringsenheten (data i vila). När NFVs molntelekommunikationstjänster fortsätter att växa ökar möjligheten för dataläckage och kräver därför uppmärksamhet och lämpliga lösningar. Kryptering av interna och externa gränssnitt, data och volymer, dynamisk nyckelhantering och mer är ett nyckelsteg för att minska risken för dataläckage och spionage.