昨天,Google 宣布其 IaaS(基礎(chǔ)設(shè)施即服務(wù))服務(wù) Google Compute Engine 開始允許用戶使用自己的密鑰對數(shù)據(jù)進(jìn)行加密,較早之前,AWS、Windows Azure、Box 等公有云平臺已先后推出了自己的同類型產(chǎn)品。
通過私有的或者共有的密鑰對數(shù)據(jù)進(jìn)行加密是一種在云計算興起之前就較為普遍的數(shù)據(jù)保護(hù)方式,主要包括 128 位和 256 位兩種加密方式,Google Compute Engine 之前就是使用的 256 位的 AES 密鑰來對數(shù)據(jù)進(jìn)行加密的,但是這種加密是由 Google 進(jìn)行的,并且密鑰會定期循環(huán)使用,用戶并沒有密鑰的所有權(quán),因此或多或少的造成用戶對安全方面的擔(dān)憂。
此次 Google 采用的 Customer-Supplied Encryption Keys 方式將密鑰進(jìn)行了私有化,不僅允許用戶自行創(chuàng)建并保管密鑰,決定數(shù)據(jù)的激活和休眠,更為重要的是在沒有密鑰的情況下,Google 內(nèi)外的任何人都無法獲取這些休眠的數(shù)據(jù)。而 Google 除了暫時使用密鑰來執(zhí)行客戶請求外不會保留這些密鑰。從企業(yè)內(nèi)部到云上時,加密過程可以不需要用戶干預(yù)是保障數(shù)據(jù)安全的首選方式。比如多備份采用的將數(shù)據(jù)先分塊再加密的方式,在安裝了多備份客戶端之后,會自動生成一個密鑰,這個密鑰只有用戶自己有權(quán)限查看和保存。
除密鑰加密方式之外,眾多的云服務(wù)商也在積極探討其他的加密方式,比如:
內(nèi)容感知:在數(shù)據(jù)防泄露中使用,內(nèi)容感知軟件理解數(shù)據(jù)或格式,并基于策略設(shè)置加密;
保格式加密:加密一個消息后產(chǎn)生的結(jié)果仍像一個輸入的消息。
Cloud 5 數(shù)據(jù)分塊存儲:多備份 Cloud 5 的前身是 Raid 5,Raid 5 使用的是 Disk Striping (硬盤分區(qū))技術(shù)。Raid 5 至少需要三顆硬盤,Raid 5 不是對存儲的數(shù)據(jù)進(jìn)行備份,而是把數(shù)據(jù)和相對應(yīng)的 parity (奇偶校驗信息)存儲到組成 Raid 5 的各個磁盤上,并且 parity 和相對應(yīng)的數(shù)據(jù)分別存儲于不同的磁盤上。 當(dāng) Raid 5 的一個磁盤數(shù)據(jù)發(fā)生損壞后,可以利用剩下的數(shù)據(jù)和相應(yīng)的 parity 去恢復(fù)被損壞的數(shù)據(jù)。而 cloud 5 則是在 Raid 5 的基礎(chǔ)上進(jìn)行優(yōu)化升級,實現(xiàn)了云端數(shù)據(jù)的實時存儲和管理。
現(xiàn)在,越來越多的企業(yè)將系統(tǒng)內(nèi)部管理的機(jī)密信息遷移到云端,與此同時,企業(yè)也需要花更多的力氣去保護(hù)這些機(jī)密信息,而作為公有云最強(qiáng)的布道者,各云廠商也在竭盡全力的打消大眾對安全性的擔(dān)憂。確保云端數(shù)據(jù) 100% 的安全不是不可能的,但目前階段尚未實現(xiàn)。不過可喜的是,我們已經(jīng)在安全方面有了更多的依賴,可以肯定的是,未來云端將成為數(shù)據(jù)最為主要的存儲地。