隨著好萊塢明星們的裸照在全球互聯網瘋傳,云計算幾乎成了危險的代名詞,從好萊塢女星到上百億資產的銀行家都為之憂心忡忡。
對于銀行等數據安全要求較高的企業來說,云計算的安全是個兩難問題,一方面云計算分布式的數據存儲可以抵御DDoS攻擊,但同時又會增加數據泄露風險,云和安全似乎總是難以兼顧。
例如2012年伊朗黑客曾對美國銀行企業發起大規模的DDoS攻擊,當時安全公司Cloudflare曾指出,云計算將企業數據存放在世界各地多個 服務器上,這能有效緩解DDoS攻擊的壓力;但敏感數據也面臨更大的泄露風險,尤其是SSL私鑰,控制對此類關鍵數據的訪問對于銀行來說至關重要。今年4 月爆出的心臟出血漏洞,使得黑客能夠獲取公共服務器中的內存緩存,從而提取私鑰(企業內網的噩夢:HeartBleed漏洞會暴露OpenVPN私鑰),造成安全與合規的雙重災難。
類似心臟出血漏洞的風險驅使銀行(以及其他注重數據安全的企業)將數據放到少數更加安全的服務器中,這不但使硬件成本急速飆升,同時也使得企業更加容易遭受DDoS攻擊。
近日,Cloudflare首席執行官Matthew Prince宣稱,Cloudflare已經奪取了云安全的圣杯,將企業拯救出云安全的兩難困境。
Cloudflare 發明一種方法,允許企業將加密數據分布式存儲于云中,但將私鑰儲存在一個單獨的安全服務器中。當用戶訪問網站 時,Cloudflare會簽發一個臨時的 “會話秘鑰”,與用戶的設備一一對應,從而讓私鑰從公眾視野中消失。這聽上去挺簡單,但是Prince表示,這 需要每秒處理1000萬次安全交易,是技術上的一次重大創新,目前高盛公司已經成為該技術的首批用戶之一。
一些知名安全專家,包括個人加密標桿技術PGP的 發明者 Jon Callas和Phil Zimmerman,將Cloudflare發明的這種“無秘鑰SSL”與PGP進行了對比,認為Cloudflare 的無私鑰加密技術不僅僅適用于安全 企業,還可應用于云數據中心擴展,例如在非洲和中國的安全管理水平較差一些的數據中心里部署關鍵應用,而無需擔心安全問題。
在云安全領域,Cloudflare的“無秘鑰SSL”能算是一個小號圣杯。本周IBM的密碼學者Craig Gentry 榮獲麥克阿瑟獎金,Gentry的研究項目才是云安全的“iPhone 6 Plus”——在云計算環境中,如何對數據加密,使得云服務商無法獲取數據內容,但擁有合法證書的用戶卻能夠訪問。
Gentry研究中的加密算法目前還主要停留在理論層面,目前面臨的主要挑戰是處理速度與實際應用需求相差1000倍,但是在IT業,提速1000倍,只需要五年時間而已。
京公網安備 11010502049343號