AWS密鑰管理服務(wù)可保護(hù)加密數(shù)據(jù)免受未授權(quán)訪問的攻擊，該服務(wù)瞄準(zhǔn)了第三方密鑰管理市場(chǎng)。

大部分的IT產(chǎn)業(yè)正在把加密功能作為傳輸和存儲(chǔ)關(guān)鍵數(shù)據(jù)的一項(xiàng)標(biāo)準(zhǔn)化操作選項(xiàng)，這正在成為一種趨勢(shì)。但是，事情遠(yuǎn)沒有那么簡(jiǎn)單。成功的加密措施取決于一個(gè)能夠正確管理加密密鑰的合適方法。

當(dāng)然，真正的危機(jī)根源在于安全性本身——應(yīng)確保未經(jīng)授權(quán)的人員無法訪問數(shù)據(jù)。同時(shí)，在AWS的世界里，加密控制功能是通過AWS密鑰管理服務(wù)(KMS)向用戶提供的。AWS KMS是支持良好加密實(shí)施所需標(biāo)準(zhǔn)類型基礎(chǔ)設(shè)施的一個(gè)特定版本。

“一直以來，針對(duì)加密密鑰的管理始終是一個(gè)大問題，”總部位于德克薩斯州奧斯汀市的IT咨詢公司Flux7 Labs的CTO兼合伙創(chuàng)始人Ali Hussain說。需要對(duì)密鑰訪問進(jìn)行嚴(yán)格限制，并部署的其他部分分離。“最棘手的難題在于這是一個(gè)先有雞還是先有蛋的問題，在獲得訪問授權(quán)之前你是無法下載密鑰的，但你又需要密鑰在缺乏其他一些機(jī)制的情況下進(jìn)行身份驗(yàn)證，”Hussain說。

他說，在大多數(shù)情況下，KMS是亞馬遜公司所提供工具中具有較高獨(dú)立性的一個(gè)。KMS可以讓用戶使用AWS Identity和Access Management，這是一個(gè)有經(jīng)驗(yàn)的AWS老用戶用于管理加密密鑰的工具。“Flux7正積極使用KMS來對(duì)SSH密鑰進(jìn)行管理，使用密碼來對(duì)配置文件進(jìn)行加密，以及根據(jù)合規(guī)性要求對(duì)存儲(chǔ)數(shù)據(jù)進(jìn)行加密處理，”他補(bǔ)充說。

總部位于波士頓市的IT咨詢公司Mobiquity的安全工程經(jīng)理Robert McCarthy指出，大部分人似乎都認(rèn)為，只要數(shù)據(jù)被加密過，那么一切就都是安全的。事實(shí)上，加密密鑰的保存位置往往都是不安全的，這就潛在地為未授權(quán)數(shù)據(jù)訪問打開了一扇方便之門。

“這就好比是房門鑰匙，把鑰匙放在門墊下而不是隨身帶走，”McCathy解釋道。事實(shí)上，這就是近來如此多數(shù)據(jù)泄露事件頻發(fā)的原因所在，他補(bǔ)充道。很多情況下，都是一名未獲得授權(quán)的內(nèi)部人士訪問密鑰。而在其他情況下，則是某些能夠“解析”一些JavaScript元素的外部人士找到了保存密鑰的文件，從而導(dǎo)致泄密事件的發(fā)生。

密鑰管理基礎(chǔ)設(shè)施供應(yīng)商提供了一組工具或方法，它們不僅能夠執(zhí)行加密功能而且能夠管理好加密密鑰，確保密鑰的安全性并將其分發(fā)給合適的人——它甚至可以查出是誰(shuí)擁有和使用了這個(gè)密鑰。AWS密鑰管理還需要在適當(dāng)?shù)臅r(shí)候支持密鑰撤銷。“如果有人更換了工作崗位，那么你就需要銷毀那些相關(guān)的密鑰，”McCarthy指出。

“AWS密鑰管理服務(wù)是亞馬遜公司關(guān)于密鑰管理理念的一個(gè)具體實(shí)施，而且它也確實(shí)給用戶帶來了巨大的好處，”McCarthy說。例如，對(duì)于管制行業(yè)的關(guān)鍵要求之一就是能夠明確是由哪些合適的人在控制著加密密鑰管理基礎(chǔ)設(shè)施。“在KMS問世之前，這方面還是一片空白，”他補(bǔ)充說。“此前，亞馬遜只是簡(jiǎn)單地控制加密密鑰，因?yàn)樗麄兪遣坏貌粚?duì)這些密鑰進(jìn)行管理的。”

總之，KMS這一服務(wù)為AWS用戶提供了對(duì)加密密鑰的控制權(quán)力。

亞馬遜在推出KMS方面付出了大量的努力，公司還提供“偉大的”支持文檔，McCarthy說，但是管理人員還是需要予以充分關(guān)注。

“事實(shí)是你仍然可以不遵循這個(gè)流程而搞亂整個(gè)管理端;他們給你的只是讓你足夠吊死自己的繩子,”McCarthy說。

例如，當(dāng)談及密鑰的分發(fā)和撤銷時(shí)，AWS并沒有明確地告訴用戶應(yīng)當(dāng)做什么或者應(yīng)當(dāng)如何做。如果用戶沒有整體地理解密鑰管理基礎(chǔ)設(shè)施，“那么就可能會(huì)讓事情變得更糟，所以最好還是指定一名員工來專門負(fù)責(zé)學(xué)習(xí)這一措施的工作原理并進(jìn)而負(fù)責(zé)KMS的具體實(shí)施，”McCarthy說。

第三方工具的衰落

一般而言，KMS的出現(xiàn)將在一定程度上減少或消除用戶對(duì)于第三方密鑰管理工具的依賴。AWS最初是作為云中計(jì)算和存儲(chǔ)的一個(gè)比較基本的產(chǎn)品出現(xiàn)的，McCarthy指出。近年來，它已經(jīng)逐漸地步入了高端服務(wù)行列。但是，與此同時(shí)第三方產(chǎn)品的生態(tài)系統(tǒng)也發(fā)展起來填補(bǔ)了其中的空白。

目前，隨著AWS增加了諸如KMS這樣的新功能，“亞馬遜正在收復(fù)失地，”McCarthy說。“具體來說，在KMS被正式推出之前，在云中有一個(gè)管理加密的第三方生態(tài)系統(tǒng)。”

“從某種程度上來說，KMS還處于起步階段，它在AWS所提供的加密類型和如何更好地與移動(dòng)進(jìn)行整合等方面還有著良好的發(fā)展機(jī)遇與空間，”McCarthy說。此外，管理和監(jiān)控AWS加密的可用工具一般也只能對(duì)AWS應(yīng)用起作用;而對(duì)于第三方數(shù)據(jù)庫(kù)應(yīng)用，它們是不一定適用的。但是，考慮到KMS的這一發(fā)展趨勢(shì)，相信這個(gè)問題可能會(huì)在短期內(nèi)得到解決。