数据一般用PKI保护,其中数据加密时,它创建一个公共密钥,从理论上讲由授权人持有的私钥进行解密。但是,这种类型的数据保护扩展到云上是很复杂的。
迁移到云中,由于缺乏对数据安全的直接控制,给IT团队带来了一系列新的复杂的安全问题。此外,云供应商认为数据安全是一项共同责任,服务提供商保证物理安全,用户必须确保自己的服务器和数据。据推测,对加密和密钥管理需要一种策略,密钥需要存储在云以外而不是之内。
Porticor公司刚刚发布了一个关于云中休眠数据的解决方案。 porticor提供分裂密钥加密解决方案,其中云客户是唯一一个知道主密钥的。
Porticor处理所有的数据加密,顾客不需要知道加密的复杂性。安全和方便是密钥管理实施中的独特之处。
云中数据加密的根本问题是存储密钥。客户不能存储在云中的磁盘上,因为他们可能受到黑客的攻击。客户可以让供应商来存储其密钥,但是,这存在对第三方的信任问题。客户可以将密钥拿回到他自己的数据中心,但似乎违背了云的外包数据中心服务的宗旨。 porticor现在提供密钥管理的替代方案,既简单又安全。
porticor的方案基于有两把钥匙保管箱的概念 - 一个为顾客和另一个为银行家,或这里所指的Porticor虚拟密钥管理服务。就像保管箱,客户没有Porticor的密钥则无法解密数据,并且Porticor没有客户持有的主密钥不能进行数据解密。实际上顾客每个项目都有一个密钥,通常是个应用程序。 porticor有数以千计的钥匙,属于该项目的每个文件或磁盘。尽管如此,密钥必须配对,以提供访问加密的数据。
除了顾客和Porticor的分裂密钥之外,解决方案特别的部分是密钥通过客户的主密钥加密过,并且只有顾客自己知道和持有。Porticor持有项目密钥,但供应商无法读取,因为他们是加密的。通过与客户的主密钥加密的“第三方”密钥,Porticor给客户完整的端到端的数据保护。客户必须写下主密钥,并逐字存储在一个钢箱梁。一旦做到这一点,世界上没有其他人可以看见密钥。 (另一种选择是把主密钥托管服务。)
Porticor的解决方案基于云的服务器和存储,确保服务器和存储之间的每一比特的数据进行了加密和对顾客终端进程,从存储到服务器的每一比特数据是解密的。在中间的虚拟专用数据(VPD)应用程序是Portico解决方案的核心。 VPD是一个虚拟的设备,用加密算法如AES-256来加密任何磁盘或存储阵列。 VPD的检索“第三方”密钥,以及客户密钥请求。
Porticor说,这是军用级安全 - 因为只有客户拥有主密钥来解锁数据。(提示:不要失去了主密钥。)重新启动整个服务器集群时,主密钥只需要从保护措施中取出,但这中情况很少会发生。当创建新的应用服务器时,它们通过VPD自动加密。
安全和风险管理方面,Porticor不会将“普通钥匙”保存到任何磁盘上。这样,即使黑客侵入网络服务提供商中搜索数据,黑客将无法盗到任何数据信息。
Porticor解决方案为任何云的实施而设计的。Porticor已建立与亚马逊和红帽的合作伙伴关系。