過去十年,在云計算廣泛深入社會各個領域的同時,安全也成為云計算領域亟待突破的重要問題。尤其是作為網絡安全核心的密碼應用,正在加速從幕后走向臺前。為此,以北京數字認證股份有限公司(簡稱:數字認證)為代表的密碼領域領先企業,對密碼上云進行了探索與實踐。
01 滯后的密碼上云建設
密碼與云的融合還在發展中,相關的標準規范也尚不完備。這種狀況下,國內市場從具體需求的視角,出現了形態各異的密碼應用實踐。數字認證首席科學家、研究院院長夏魯寧以三種密碼上云實踐為例,介紹了目前國內常見的密碼上云方式及存在的問題:
純SaaS平臺密碼應用實踐
即把電子合同等業務放在云計算的SaaS層提供。由于缺乏硬件密碼資源的支持,密碼功能多以SaaS層的軟件方式來實現,這導致對于密鑰等關鍵密碼參數的保護強度不夠,相當多的案例都是在開放環境下進行密碼計算和密鑰存儲,隨機數的熵和隨機性也得不到保障。雖然看起來做到了“云原生”,但關鍵安全參數的泄露風險頗大,整體安全風險不可忽視,也不符合國家、行業標準對密碼應用的要求。
支持虛擬化的密碼設備實踐
即采用虛擬化技術,在物理密碼機內提供虛擬密碼機vHSM。這種方式的優勢在于密鑰等關鍵安全參數仍在密碼機物理邊界內,能夠依賴設備內建安全體系來保護密碼計算、密鑰管理以及隨機數的安全。但缺點是可擴展性差,能夠利用的最大計算和存儲資源受限于物理密碼機自身,資源分配的靈活性受限。
云密碼資源池實踐
即在多臺物理密碼設備的基礎上云化成密碼資源池,統一管理密碼資源集群,向應用按需提供密碼資源服務。這種方式能夠有效保證密碼應用安全,是近年來云密碼應用的巨大進步。但現有的云密碼資源池實踐通用化程度不高,多為具體的云計算平臺定制,只能有效支持運行在本平臺上的信息化應用,在業務遷移、敏捷演進等方面存在挑戰。
不難發現,無論是哪種密碼上云的方式,在安全合規、可靈活擴展、可中立運營等方面都尚未做到兼顧。如何做到既符合對敏感密碼資源的保護要求,又充分實現云上密碼資源的按需配用、靈活擴展、快速演進,成為云時代密碼應用的挑戰。
02“密碼云”重塑密碼基礎設施
在云化趨勢和政策合規性的雙重導向下,傳統的密碼技術正在向云密碼服務方向轉變,“密碼+云”的融合成為大勢所趨。那么,密碼上云到底該如何做?是否存在既安全合規,又充分利用云計算優勢的密碼上云模式呢?
在夏魯寧院長看來,結合已有密碼上云的實踐經驗,“融合、分層、解耦”將成為密碼上云的最佳實踐理念。
其中,“融合”是指以云的思想、架構和技術來統籌管理密碼資源,做到密碼資源在合規安全的前提下,實現按需擴展、可靈活配置。“分層”是指在IaaS、PaaS、SaaS三個典型的云服務層面,為用戶分別提供密碼資源服務(CRaaS)、密碼功能服務(CFaaS)、密碼業務服務(CBaaS)。“解耦”則是指上下層服務在統一標準、通用接口下,做到云密碼服務與具體平臺、具體信息化業務的解耦。
基于此,數字認證創新推出了業界領先的“全棧、敏捷、安全”的密碼云,為用戶提供全新的密碼云服務體驗。
全棧
數字認證在密碼云服務的IaaS、PaaS、SaaS三個層面上提供層次完整、可解耦的密碼云服務解決方案,為用戶構建一站式泛密碼服務平臺,支持公有云、私有云、混合云等多種交付形式。
敏捷
數字認證的密碼云產品提供統一、標準的服務接口,屏蔽密碼資源的硬件差異,通過柔性重組隨需接入,把密碼資源變成可管可控的云資源,實時擴展和敏捷管理。
安全
數字認證嚴格遵照系列國家、行業標準對密碼應用的要求,為用戶提供安全可靠、合法合規的密碼云服務,包括運維安全、技術安全、數據存儲安全、傳輸安全、數據安全隔離、數據所有權清晰、身份安全以及安全審計等方面。
據悉,數字認證密碼云解決方案,已在能源、教育、醫療、政務等行業領域的多個大型企業成功落地實踐,為客戶提供電子合同SaaS業務、密碼功能統一供給、密碼資源統一管理等服務,獲得了市場的廣泛認可。
例如,某國內100強企業在引入數字認證密碼云后,建成一套符合行業密碼應用要求的統一密碼資源服務體系。在上層業務系統和底層密碼設備之間,構建了統一密碼服務平臺,實現了對多類密碼設備的集中管理,向上層屏蔽設備差異、統一提供密碼資源。在其之上,該企業還構建了身份鑒別、電子簽名驗簽、數據加解密等密碼功能服務。
目前,該企業通過“統一密碼服務平臺”接入的機構、用戶、設備超過1億,一期密鑰需求高達5億對,成為企業在物聯網、密碼應用以及人機交互場景下“最有效、最可靠、最經濟”的信息安全基礎設施。
03云時代的密碼安全建設趨勢
在新基建和信創的新機遇下,密碼產業已然蓄勢待發。但不可否認的是,國內云密碼服務市場仍處于萌芽期,還需經歷較長時間的探索。
一方面,社會各界的密碼意識還不太到位,這導致對于密碼應用并未真正站在整體、全局的視角規劃密碼應用體系。另一方面,完整的密碼云服務對服務提供商的要求較高,在機構資質、密碼技術能力、云服務運營能力、行業經驗等方面都有著非常高的要求,數字認證便是其中的佼佼者。
隨著云計算、物聯網等新興技術的不斷推進,夏魯寧院長認為,未來的密碼安全建設還將出現四大趨勢:
1. 軟件定義密碼
雖然目前國內密碼市場仍以硬件為主,但隨著云計算的普及和國家對密碼管理思路的演進,密碼應用必將在合規的前提下,走向更為靈活易用的軟件化。
2. 安全內生
未來外掛式的單體密碼設備或將消失,密碼將走向與基礎軟硬件融合、與云融合、與信息化業務融合,包括密碼在內的信息安全能力將成為信息化的內生特性。
3. 密碼服務多樣化
新技術的演進將不斷推動密碼應用的新場景和新產品涌現,相應的密碼技術服務也將從當前以證書服務為主,拓展到多樣化的密碼服務。例如,數字認證在密碼云體系架構之上,能夠廣泛提供證書認證、身份鑒別、時間戳、云協同簽名等信任服務。
4. 中立的第三方云密碼服務機構出現
目前已有的密碼云實踐以私有云為主,用戶出于控制權、隱私保護等考慮,不易接受將所依賴的密碼服務托管在公有云上。但從商業和法律的角度看,獨立第三方在涉及多方互動(例如:電子合同)的信息業務中,具有中立性的獨特優勢。因此,正如當前中立的證書服務機構一樣,中立的云密碼服務機構未來也很可能會出現。一旦中立的云密碼服務機構被市場所接受,密碼產業將打開一個新的、廣闊的市場空間。
隨著《密碼法》的頒布和實施,未來密碼行業市場將更加規范,云密碼服務市場的競爭和精細化也將并行展開。以數字認證“密碼云”為代表的密碼上云應用探索與實踐,將進一步推動國內密碼產業的模式創新和產業升級,重塑云時代的密碼基礎設施。
責任編輯:tzh
-
云計算
+關注
關注
39文章
7776瀏覽量
137364 -
網絡安全
+關注
關注
10文章
3156瀏覽量
59708 -
云服務
+關注
關注
0文章
819瀏覽量
38909
發布評論請先 登錄
相關推薦
評論