クラウドネイティブのフルリンク暗号化とは何ですか?
クラウドにおけるデータ セキュリティの要件は、情報セキュリティの 3 つの基本要素「CIA」、つまり機密性、整合性、可用性によって要約できます。
3 つの要素のうち、最初の要素である機密性に対する最も一般的かつ最も頻繁に要求される技術的実装方法は、データの暗号化です。特にクラウド ネイティブの次元では、クラウド ネイティブのフルリンク暗号化機能を実装する必要があります。 「フルリンク」とは、データ転送(転送中、インモーションとも呼ばれる)、計算(実行時、インプロセスとも呼ばれる)、およびストレージ(ストレージ内、アットレストとも呼ばれる)のプロセスを指します。一方、「フルリンク暗号化」とは、エンドツーエンドのデータ暗号化保護機能、つまり、クラウドからクラウドへ、およびクラウドユニット間の転送プロセス、アプリケーション実行時のデータの計算プロセス(使用/交換)、およびデータが最終的にディスクに保存されるストレージプロセスにおける暗号化機能を指します。 • データ転送(データ通信の暗号化、マイクロサービス通信の暗号化、アプリケーション証明書およびキー管理) • データ処理(ランタイムセキュリティサンドボックスrunV、トラステッドコンピューティングセキュリティサンドボックスrunE) • データ ストレージ (クラウド ネイティブ ストレージの CMK/BYOK 暗号化サポート、暗号文/キーのストレージ管理、コンテナ イメージのストレージ暗号化、コンテナ操作/監査ログのセキュリティ)。 この記事の技術的な説明は、クラウドネイティブのフルリンク暗号化で達成する必要がある既存および将来の技術目標を対象としています。 クラウド セキュリティ > クラウド データ セキュリティ > クラウド ネイティブ フルリンク暗号化 クラウドセキュリティユーザー グループによって、セキュリティ リンクの定義レベルは異なります。クラウド セキュリティは、IaaS ソフトウェア、ハードウェア、物理データ センターにおけるクラウド カスタマーとクラウド ベンダーのセキュリティをカバーします。
クラウドネイティブセキュリティクラウド ネイティブ セキュリティでは、まずクラウド データ セキュリティ標準に準拠し、クラウド インフラストラクチャのセキュリティ機能を再利用し、安全な運用中にソフトウェア サプライ チェーンでさらなるセキュリティ サポートを提供する必要があります。 クラウド ネイティブ ストレージは、宣言型 API を通じてクラウド データのライフサイクルを記述し、基盤となる IaaS のデータ暗号化の詳細をユーザーに公開しません。クラウド データのキャリアとして、一般的にさまざまなクラウド ネイティブ ストレージが使用され、クラウド IaaS の基本的なセキュリティ機能が再利用されます。また、ソフトウェア サプライ チェーンにおけるイメージ セキュリティ、コンテナ実行時のルート ファイル システム セキュリティ、コンテナ ネットワーク セキュリティも組み込む必要があります。
クラウドデータセキュリティクラウド ユーザー データのセキュリティには、次の 3 つの側面が含まれます。
1. データセキュリティライフサイクル データ保護をより深く理解するには、データ セキュリティ ライフ サイクルを理解する必要があります。これは、データ保護がデータ ライフ サイクル全体にわたって実行されるためです。
クラウドネイティブ データ ライフサイクルでは、Alibaba Cloud ディスクにマウントされた ACK (Container Service for Kubernetes) を例に挙げます。
2. フルリンクデータセキュリティ 狭義には、データのエンドツーエンドの暗号化であり、主にデータ ライフサイクルの 3 つの段階に焦点を当てています。
データ送信フェーズ 安全な通信設計、暗号文/キーの安全な管理と送信は、クラウド ネイティブによって導入されたクラウド環境、コンテナ ネットワーク、マイクロサービス、ブロックチェーン シナリオでの安全な送信を満たすだけでなく、クラウド ネイティブ データの安全な送信に対するさらなる要件も提示する必要があります。
クラウド環境での VPC/セキュリティ グループの使用、暗号文/キーの安全な管理、KMS North-South トラフィックは SSL 証明書サービスを通じて信頼できる有効な CA を取得し、North-South トラフィックの HTTPS 暗号化とオフロードを実装し、RPC/gRPC 通信に SSL 暗号化を使用し、VPC の攻撃対象領域を減らし、VPN/SAG ゲートウェイを通じて安全なアクセス リンクを実装します。
クラウドネイティブのシナリオでは、単一のクラスターで複数のテナントがネットワークを共有し、システム コンポーネントのアクセス許可を制御し、データ通信を暗号化し、証明書のローテーションを管理し、マルチテナント シナリオで東西トラフィックを分離してクリーンアップできます。クラウドネイティブ マイクロサービス シナリオでは、アプリケーション/マイクロサービス間の通信が暗号化され、証明書管理が実行されます。クラウドネイティブのシナリオでは、キーと暗号文の独立した管理と3者間の統合が実行され、KMS は Vault CA、fabric-ca、istio-certmanager などと統合されます。 データ処理段階 データ処理段階では、メモリレベルの信頼できるコンピューティングには、クラウド セキュリティ仮想化の安全な操作と、コンテナー セキュリティ サンドボックスおよび信頼できるセキュリティ サンドボックスのニーズの両方が必要です。
データ保存段階 クラウド ストレージの暗号化とクラウド データ サービスの暗号化、コンテナ イメージ ストレージの暗号化、監査ログ、アプリケーション ログの暗号化とサード パーティの統合、および暗号テキスト パスワードのディスク以外のストレージのサポートに関するクラウド セキュリティ要件があります。 クラウドストレージの暗号化方式:
クラウド ストレージ データは主にサーバー側で暗号化されます。安全なキー管理 KMS/HSM;安全な暗号化アルゴリズム。国内のアルゴリズムと一部の国際共通暗号化アルゴリズムを完全にサポートし、ユーザーのさまざまな暗号化アルゴリズムのニーズを満たします。
Alibaba Cloud は、主にデバイスの可用性インジケーターの監視、サービスの有効化と停止など、デバイスのハードウェアのみを管理できます。キーは完全に顧客によって管理され、Alibaba Cloud が顧客のキーを取得する方法はありません。 クラウド ストレージ暗号化は以下をサポートします:
クラウド ネイティブ ストレージ暗号化: 現在、Alibaba Cloud Container Service ACK は、主にブロック ストレージ、ファイル ストレージ、オブジェクト ストレージをホストできます。 RDS や OTS などの他の種類のデータ サービスは、Service Broker やその他の方法を通じてサポートされます。
結論はクラウドセキュリティシステムによるクラウドネイティブのフルリンクデータセキュリティとフルリンク暗号化が基本構成となっています。新しいコンテナ化されたインフラストラクチャとアプリケーション アーキテクチャの変更は、クラウド ネイティブ テクノロジ システムの特性と相まって、データ転送、データ処理、およびデータ ストレージの各段階で、ネットワーク、ランタイム、およびストレージに対する対応するクラウド ネイティブ環境のフルリンク暗号化要件を高める必要があります。
|
<<: IoTとエッジコンピューティングのセキュリティ課題への対応
>>: Inspurは、ビジネスからITまでのラストマイルをつなぐ最高のaPaaSソリューションを提供します
8 月初旬にいくつかの変化が起こり、私はこれまでの考察や要約を振り返ることになりました。私の心はまだ...
朝陽区の人々の反応によると、「このバカは逃げた!」 Igniteservers は今年 8 月に設立...
どの香港のクラウドホストが優れていますか?どの香港クラウドサーバーが優れていますか?この記事は、香港...
過去1年間の勢いから判断すると、モバイルインターネットの発展を止めるものは何もなく、モバイルマーケテ...
翻訳者 |朱剛校正 |梁策と孫淑娟 エッジ テクノロジーは来年さらに勢いを増すと予想されていますが、...
ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービスインターネットが発展して...
(北京、2020年8月20日) 本日、ナレッジマネジメントプラットフォームEvernoteは創立8周...
7月28日、2022 Open Atom Global Open Source Summitの開会式...
最近、SEO に取り組む人が増えています。初心者のウェブマスターにとって、ウェブサイトを最適化すると...
クラウドコンピューティングの発展の歴史は、仮想化技術の発展の歴史でもあります。過去 20 年間、クラ...
物理的なプロジェクトであろうとオンライン上のプロジェクトであろうと、プロジェクトを運営する前に、まず...
インターネット+医療健康政策が導入され、医薬品や医療保険などの関連政策が次々と発表され、市場では徐々...
2013年7月1日、Googleは公式ブログでGoogleウェブマスターツールの整理と再編を発表しま...
リベート ウェブサイトを設定する目的は顧客の費用を節約することであり、ウェブサイトを設定する目的は収...
本日、BandwagonHostは、オランダのアムステルダムデータセンターを拠点とする、China ...