Уводнае кіраўніцтва і тэматычнае даследаванне Google Cloud

Далучайцеся да мяне ў вывучэнні воблачнай крыптаграфіі, яе тыпаў і разгортвання Google Cloud.

Падмноства IaaS, воблачныя вылічэнні значна апярэдзілі фазу моднага слова. Гэта дамінуючая сіла, у якой прыватныя асобы, прадпрыемствы і ўрады выкарыстоўваюць воблачныя сэрвісы, каб скараціць праблемы лакальнага стэка тэхналогій.

Воблака – гэта ўвасабленне зручнасці, эканамічнасці і маштабаванасці.

Прасцей кажучы, воблачныя вылічэнні – гэта калі вы пазычаеце вылічальныя рэсурсы, такія як сховішча, аператыўная памяць, працэсар і г.д., праз Інтэрнэт без фізічнага хостынгу.

Прыклад штодзённага жыцця – Google Drive або Yahoo Mail. Мы давяраем гэтым кампаніям дадзеныя – часам канфідэнцыяльную асабістую інфармацыю або інфармацыю, звязаную з бізнесам.

Як правіла, звычайны карыстальнік не клапоціцца пра прыватнасць і бяспеку хмарных вылічэнняў. Але кожны, хто добра дасведчаны аб гісторыі сачэння або сучасных складаных кібератаках, павінен быць больш пільным або, па меншай меры, быць праінфармаваным аб сітуацыі, якая склалася.

Што такое воблачная крыптаграфія?

Воблачная крыптаграфія вырашае гэта пачуццё няўпэўненасці шляхам шыфравання даных, якія захоўваюцца ў воблаку, каб прадухіліць несанкцыянаваны доступ.

Шыфраванне – гэта метад выкарыстання шыфра (алгарытму) для пераўтварэння стандартнай інфармацыі ў зашыфраваную версію. У такім выпадку зламыснік не будзе разумець дэталі, нават калі яны будуць выкрыты.

Існуюць розныя тыпы шыфравання ў залежнасці ад варыянту выкарыстання. Таму важна выкарыстоўваць якасны шыфр для шыфравання даных у воблаку.

Напрыклад, ці разумееце вы наступны тэкст:

Iggmhnctg rtqfwegu jkij-swcnkva vgejpqnqia & hkpcpeg ctvkengu, ocmgu vqqnu, cpf CRKu vq jgnr dwukpguugu cpf rgqrng itqy.

не!

Гэта можа быць нейкай галаваломкай для чалавечага мозгу, але скарыстайцеся любым дэкодэрам Caesar, і яны разбяруць яго на часткі за лічаныя секунды:

Нават той, хто добра разбіраецца ў шыфраванні Цэзара, можа заўважыць, што ўсе літары ў зашыфраваным тэксце на два алфавіты апярэджваюць іх адпаведнікі адкрытага тэксту.

Такім чынам, справа ў тым, каб выкарыстоўваць моцны шыфр, напрыклад, AES-256.

Як працуе воблачная крыптаграфія?

Апошнія некалькі радкоў папярэдняга раздзела маглі стварыць уражанне, што вы выбіраеце шыфр для шыфравання даных.

Тэхнічна гэта можа працаваць так. Але звычайна пастаўшчык воблачных паслуг уключае ўласнае шыфраванне, або вы выкарыстоўваеце шыфраванне як паслугу ад трэцяга боку.

Такім чынам, мы падзелім гэта на дзве катэгорыі і паглядзім рэалізацыю.

#1. Шыфраванне на воблачнай платформе

Гэта самы просты спосаб, калі вядомы пастаўшчык воблачных паслуг клапоціцца пра шыфраванне.

Праверце гэта:  Прыватны рэжым або рэжым інкогніта робіць прагляд вэб-старонак ананімным?

У ідэале гэта адносіцца да:

Даныя ў стане спакою

Гэта калі дадзеныя захоўваюцца ў зашыфраваным выглядзе да перадачы ў кантэйнеры захоўвання або пасля.

Паколькі воблачная крыптаграфія з’яўляецца новым падыходам, загадзя вызначаных спосабаў дзеянняў не існуе. Ёсць шмат даследчых публікацый, якія тэстуюць розныя метады, але галоўнае – гэта прымяненне ў рэальным жыцці.

Такім чынам, як першакласная воблачная інфраструктурная кампанія, такая як Google Cloud, абараняе даныя ў стане спакою?

Згодна Запісы Google, яны дзеляць дадзеныя на невялікія групы па некалькі гігабайт, размеркаваныя па кантэйнерах захоўвання на розных машынах. Любы канкрэтны кантэйнер можа ўтрымліваць дадзеныя аднаго або розных карыстальнікаў.

Акрамя таго, кожны пакет шыфруецца індывідуальна, нават калі яны знаходзяцца ў адным кантэйнеры і належаць аднаму карыстальніку. Гэта азначае, што калі ключ шыфравання, звязаны з адным пакетам, будзе скампраметаваны, іншыя файлы застануцца ў бяспецы.

Крыніца: Google Cloud

Акрамя таго, ключ шыфравання змяняецца пры кожным абнаўленні дадзеных.

Даныя на гэтым узроўні захоўвання зашыфраваны з дапамогай AES-256, за выключэннем некалькіх пастаянных дыскаў, створаных да 2015 года з выкарыстаннем 128-бітнага шыфравання AES.

Такім чынам, гэта першы ўзровень шыфравання – на ўзроўні асобнага пакета.

Затым цвёрдыя дыскі (HDD) або цвёрдацельныя назапашвальнікі (SSD), якія змяшчаюць гэтыя фрагменты даных, шыфруюцца з дапамогай іншага ўзроўню шыфравання AES-256, прычым некаторыя старыя HHD па-ранейшаму выкарыстоўваюць AES-128. Звярніце ўвагу, што ключы шыфравання на ўзроўні прылады адрозніваюцца ад шыфравання на ўзроўні сховішча.

Цяпер усе гэтыя ключы шыфравання даных (DEK) дадаткова шыфруюцца з дапамогай ключоў шыфравання ключоў (KEK), якімі затым цэнтралізавана кіруе служба кіравання ключамі (KMS) Google. Характэрна, што ўсе KEK выкарыстоўваюць бітнае шыфраванне AES-256/AES-128, і па меншай меры адзін KEK звязаны з кожным воблачным сэрвісам Google.

Гэтыя KEK змяняюцца як мінімум раз у 90 дзён з дапамогай агульнай крыптаграфічнай бібліятэкі Google.

Кожны KEK ствараецца рэзервовая копія, адсочваецца кожны раз, калі нехта выкарыстоўвае яго, і доступ да яго можа атрымаць толькі ўпаўнаважаны персанал.

Далей усе KEK зноў шыфруюцца з дапамогай 256-бітнага шыфравання AES, які стварае галоўны ключ KMS, які захоўваецца ў іншым сродку кіравання ключамі пад назвай Root KMS, які захоўвае некалькі такіх ключоў.

Гэты Root KMS кіруецца на спецыяльных машынах у кожным цэнтры апрацоўкі дадзеных Google Cloud.

Цяпер гэты каранёвы KMS зашыфраваны з дапамогай AES-256, ствараючы адзіны галоўны ключ каранёвага KMS, які захоўваецца ў аднарангавай інфраструктуры.

Адзін асобнік Root KMS працуе на кожным дыстрыбутары галоўнага ключа root KMS, які захоўвае ключ у аператыўнай памяці.

Праверце гэта:  Як атрымаць спасылку на прамую загрузку файла ў дакуменце Office 365

Кожны новы асобнік каранёвага дыстрыбутара галоўнага ключа KMS зацвярджаецца ўжо запушчанымі асобнікамі, каб пазбегнуць непрыстойнай гульні.

Акрамя таго, каб справіцца з сітуацыяй, калі ўсе асобнікі дыстрыб’ютара павінны запускацца адначасова, галоўны ключ KMS таксама захоўваецца толькі ў двух фізічных месцах.

І, нарэшце, менш за 20 супрацоўнікаў Google маюць доступ да гэтых вельмі сакрэтных месцаў.

Вось як Google практыкуе воблачную крыптаграфію для даных у стане спакою.

Але калі вы хочаце ўзяць справу ў свае рукі, вы таксама можаце самастойна кіраваць ключамі. Акрамя таго, можна дадаць яшчэ адзін узровень шыфравання і самастойна кіраваць ключамі. Аднак варта памятаць, што страта гэтых ключоў таксама азначае блакіроўку вашага ўласнага вэб-праекта.

Тым не менш, мы не павінны чакаць такога ўзроўню дэталізацыі ад усіх іншых хмарных пастаўшчыкоў. Паколькі Google спаганяе плату за свае паслугі, вы можаце скарыстацца іншым пастаўшчыком, які каштуе менш, але адпавядае вашай канкрэтнай мадэлі пагроз.

Дадзеныя ў дарозе

Гэта месца, куды даныя перамяшчаюцца ў цэнтры апрацоўкі дадзеных воблачнага пастаўшчыка або за яго межы, напрыклад, калі вы загружаеце іх са сваёй машыны.

Зноў жа, жорсткага спосабу абароны даных пры перадачы няма, таму мы ўбачым воблачную рэалізацыю Google.

Whitepaper на гэты конт, шыфраванне пры перадачыуказвае тры меры для абароны нестацыянарных даных: аўтэнтыфікацыя, шыфраванне і праверка цэласнасці.

У сваім цэнтры апрацоўкі дадзеных Google абараняе даныя пры перадачы з дапамогай аўтэнтыфікацыі канчатковай кропкі і пацверджання цэласнасці з дадатковым шыфраваннем.

У той час як карыстальнік можа выбраць дадатковыя меры, Google пацвярджае найвышэйшую бяспеку ў сваіх памяшканнях з вельмі кантраляваным доступам, прадастаўленым некаторым сваім супрацоўнікам.

Па-за межамі сваіх фізічных межаў, Google прымае дыферэнцыяльную палітыку для сваіх уласных воблачных сэрвісаў (напрыклад, Google Drive) і любога кліенцкага прыкладання, размешчанага ў яго воблаку (як і для любога вэб-сайта, які працуе на яго вылічальнай машыне).

У першым выпадку ўвесь трафік спачатку накіроўваецца ў кантрольна-прапускны пункт, вядомы як Google Front End (GFE), з выкарыстаннем Transport Layer Security (TLS). У далейшым трафік атрымлівае змякчэнне DDoS, балансаванне нагрузкі на серверах і, нарэшце, накіроўваецца на запланаваны Google Cloud Service.

У другім выпадку адказнасць за бяспеку перадачы дадзеных кладзецца ў асноўным на ўладальніка інфраструктуры, калі ён не выкарыстоўвае для перадачы даных іншы сэрвіс Google (напрыклад, воблачны VPN).

Як правіла, TLS выкарыстоўваецца, каб гарантаваць, што даныя не былі падроблены ў дарозе. Гэта той самы пратакол, які выкарыстоўваецца па змаўчанні пры падключэнні да любога вэб-сайта з выкарыстаннем HTTPS, які сімвалізуецца значком замка ў радку URL.

Праверце гэта:  Як адключыць у MS Word, дзе вы спыніліся

Нягледзячы на ​​тое, што ён звычайна выкарыстоўваецца ва ўсіх вэб-браўзерах, вы таксама можаце прымяніць яго да іншых прыкладанняў, такіх як электронная пошта, аўдыё/відэазванкі, абмен імгненнымі паведамленнямі і г.д.

Тым не менш, для найвышэйшых стандартаў шыфравання існуюць віртуальныя прыватныя сеткі, якія таксама забяспечваюць некалькі слаёў бяспекі з перадавымі шыфрамі шыфравання, такімі як AES-256.

Але ўкараніць воблачную крыптаграфію самастойна складана, што падводзіць нас да…

#2. Шыфраванне як паслуга

Тут пратаколы бяспекі па змаўчанні на вашай воблачнай платформе слабыя або адсутнічаюць для пэўных выпадкаў выкарыстання.

Адно з, відавочна, лепшых рашэнняў – кантраляваць усё самастойна і забяспечваць бяспеку даных карпаратыўнага ўзроўню. Але гэта прасцей сказаць, чым зрабіць, і гэта пазбаўляе ад беспраблемнага падыходу, для якога хтосьці выбірае воблачныя вылічэнні.

Такім чынам, нам застаецца выкарыстоўваць шыфраванне як паслугу (EAAS), напрыклад CloudHesive. Падобна выкарыстанні хмарных вылічэнняў, на гэты раз вы “пазычаеце” шыфраванне, а не працэсар, аператыўную памяць, сховішча і г.д.

На аснове пастаўшчыка EAAS вы можаце выкарыстоўваць шыфраванне даных у стане спакою і перадачы.

Перавагі і недахопы воблачнай крыптаграфіі

Самая яркая перавага – гэта бяспека. Практыкаванне воблачнай крыптаграфіі гарантуе, што даныя вашых карыстальнікаў будуць удалечыні ад кіберзлачынцаў.

Нягледзячы на ​​​​тое, што воблачная крыптаграфія не можа спыніць кожны ўзлом, важна ўнесці свой уклад і мець належнае абгрунтаванне, калі нешта пойдзе не так.

Што тычыцца недахопаў, першы – гэта кошт і час, неабходныя для абнаўлення існуючай сістэмы бяспекі. Акрамя таго, мала што дапаможа, калі вы страціце доступ да ключоў шыфравання падчас самастойнага кіравання.

І паколькі гэта толькі зараджаецца тэхналогія, знайсці правераны часам EAAS таксама няпроста.

Нарэшце, лепш за ўсё выкарыстоўваць вядомага пастаўшчыка воблачных паслуг і выкарыстоўваць уласныя крыптаграфічныя механізмы.

Падвядзенне вынікаў

Мы спадзяемся, што гэта можа даць вам уяўленне аб воблачнай крыптаграфіі. Падводзячы вынік, гаворка ідзе пра бяспеку даных, звязаных з воблакам, у тым ліку, калі яны вандруюць вонкі.

Большасць кампаній з воблачнай інфраструктурай з самым высокім рэйтынгам, такіх як Google Cloud, Amazon Web Services і г.д., маюць дастатковую бяспеку для максімальнага выкарыстання. Тым не менш, няма ніякай шкоды ў тым, каб азнаёміцца ​​з тэхнічным жаргонам, перш чым размясціць свае важныя прыкладанні ў каго-небудзь.

PS: азнаёмцеся з некаторымі воблачнымі рашэннямі па аптымізацыі кошту для AWS, Google Cloud, Azure і г.д.