話說Amazon AWS上的儲(chǔ)存系統(tǒng)能有多安全?
首先,弄清楚你所能得到的安全性之前,要先知道你想采用哪種儲(chǔ)存模式。Amazon提供了三種不同的儲(chǔ)存模式:
主機(jī)儲(chǔ)存(Instance Storage)
這是當(dāng)你在AWS上啟動(dòng)一個(gè)服務(wù)器的虛擬機(jī)時(shí),所包含的儲(chǔ)存裝置。可以將它看成一般的C槽硬盤。它只提供給這個(gè)虛擬機(jī)使用,當(dāng)虛擬機(jī)終止時(shí)也就不再存在。這類儲(chǔ)存的安全性跟Amazon虛擬機(jī)本身是一樣的。
原始區(qū)塊儲(chǔ)存(Raw block storage)
被稱為彈性區(qū)塊儲(chǔ)存系統(tǒng)(Elastic Block Storage, EBS)。提供一個(gè)快速且持久存在的原始信息儲(chǔ)存裝置,它跟主機(jī)映像文件(AMI)的虛擬機(jī)是分開的。可以將它當(dāng)成是云磁盤機(jī),當(dāng)主機(jī)要使用時(shí)就在這原始區(qū)塊上掛載一個(gè)文件夾系統(tǒng),就可以開始進(jìn)行存取。這是目前AWS唯一提供區(qū)塊儲(chǔ)存的方式。很巧的是,趨勢科技的Secure Cloud金鑰管理服務(wù)也在這上面發(fā)揮作用。經(jīng)由加密EBS區(qū)塊,可以在主機(jī)映像文件嘗試存取時(shí)提供存取控制。
簡單存儲(chǔ)服務(wù)(Simple Storage Service, S3)
這是AWS所提供的獨(dú)立且持久存在的云端儲(chǔ)存服務(wù),只能經(jīng)由一個(gè)良好設(shè)計(jì),基于HTTP的Web API來存取。客戶可以利用這服務(wù)來儲(chǔ)存和取得在S3上的大量信息,通常用來儲(chǔ)存Amazon Machine Images(即主機(jī)映像文件的范本)。AWS并沒有要求這些儲(chǔ)存信息的結(jié)構(gòu),也沒有透露這些信息在后端是如何儲(chǔ)存的。有些第三方公司會(huì)提供類似中介文件夾系統(tǒng)的解決方案在S3上。但總的來說,這些都還是在起步階段,因?yàn)槭褂蒙线€是有很多限制。為了消除客戶對于將敏感信息儲(chǔ)存在S3的疑慮,AWS建議客戶使用一個(gè)加密函數(shù)庫程序庫,這必須加進(jìn)客戶用來儲(chǔ)存信息到S3上的應(yīng)用程序設(shè)計(jì)中,然后將加密金鑰分開管理。Amazon最近宣布推出提供給靜止信息的S3服務(wù)器端加密(Server Side Encryption),下面是它的工作原理圖。
在這公告中,Amazon提供客戶一個(gè)選項(xiàng)去使用AWS代管的加密功能去對S3信息做加解密的動(dòng)作,這也讓那些不想重寫應(yīng)用程序的S3使用者松了一口氣。
一個(gè)重大的限制是,這個(gè)解決方案沒有提供外部金鑰管理的功能。金鑰跟S3認(rèn)證相連結(jié),如果帳戶認(rèn)證被入侵,黑客就可以存取一切。所以我能想到關(guān)于這功能的使用情境是,儲(chǔ)存信息在S3時(shí)可以滿足現(xiàn)行法規(guī)或政策的要求,或是某人不使用你的帳號認(rèn)證就侵入 AWS來竊取你的信息(最后這個(gè)例子非常的不可能…)。
從將文件夾儲(chǔ)存在服務(wù)器上這觀點(diǎn)來看,新的S3服務(wù)器端加密功能跟Dropbox所用的方式一樣。唯一的差別是當(dāng)使用S3服務(wù)器端加密功能時(shí),金鑰在Amazon手上,而使用Dropbox時(shí),金鑰在Dropbox手上。這兩種都一樣,客戶上傳的信息在供應(yīng)商的服務(wù)器上是保持加密的,而信息擁有者(客戶)無法控制這些加密金鑰。
而如果是用S3客戶端加密,信息所有者可以控制金鑰,但是必須手動(dòng)管理這些金鑰。
希望以上這些有助于澄清Amazon上儲(chǔ)存模式所用的不同安全技術(shù)。
京公網(wǎng)安備 11010502049343號