クラウドでデータのセキュリティを確保するにはどうすればよいですか?クラウドネイティブフルリンク暗号化の詳細な説明

クラウドネイティブのフルリンク暗号化とは何ですか?

[[285580]]

クラウドにおけるデータ セキュリティの要件は、情報セキュリティの 3 つの基本要素「CIA」、つまり機密性、整合性、可用性によって要約できます。

• 機密性とは、保護されたデータにアクセスできるのは正当な（または予想される）ユーザーのみであるという事実を指します。これを実現するための主な手段には、データ アクセス制御、データ漏洩防止、データ暗号化、キー管理などがあります。
• 整合性とは、正当な（または予期される）ユーザーのみがデータを変更できるようにすることであり、これは主にアクセス制御を通じて実現されます。同時に、データの送信および保存中の検証アルゴリズムによってユーザーデータの整合性を確保できます。
• データの可用性は、主にクラウド環境の全体的なセキュリティ、災害復旧、信頼性、およびクラウド上のさまざまな関連システム (ストレージ システム、ネットワーク パス、ID 認証メカニズム、権限検証メカニズムなど) の正常な動作に反映されます。

3 つの要素のうち、最初の要素である機密性に対する最も一般的かつ最も頻繁に要求される技術的実装方法は、データの暗号化です。特にクラウド ネイティブの次元では、クラウド ネイティブのフルリンク暗号化機能を実装する必要があります。

「フルリンク」とは、データ転送（転送中、インモーションとも呼ばれる）、計算（実行時、インプロセスとも呼ばれる）、およびストレージ（ストレージ内、アットレストとも呼ばれる）のプロセスを指します。一方、「フルリンク暗号化」とは、エンドツーエンドのデータ暗号化保護機能、つまり、クラウドからクラウドへ、およびクラウドユニット間の転送プロセス、アプリケーション実行時のデータの計算プロセス（使用/交換）、およびデータが最終的にディスクに保存されるストレージプロセスにおける暗号化機能を指します。

• データ転送（データ通信の暗号化、マイクロサービス通信の暗号化、アプリケーション証明書およびキー管理）

• データ処理（ランタイムセキュリティサンドボックスrunV、トラステッドコンピューティングセキュリティサンドボックスrunE）

• データ ストレージ (クラウド ネイティブ ストレージの CMK/BYOK 暗号化サポート、暗号文/キーのストレージ管理、コンテナ イメージのストレージ暗号化、コンテナ操作/監査ログのセキュリティ)。

この記事の技術的な説明は、クラウドネイティブのフルリンク暗号化で達成する必要がある既存および将来の技術目標を対象としています。

クラウド セキュリティ > クラウド データ セキュリティ > クラウド ネイティブ フルリンク暗号化

クラウドセキュリティ

ユーザー グループによって、セキュリティ リンクの定義レベルは異なります。クラウド セキュリティは、IaaS ソフトウェア、ハードウェア、物理データ センターにおけるクラウド カスタマーとクラウド ベンダーのセキュリティをカバーします。

• クラウド ネイティブの顧客セキュリティ: アプリケーション セキュリティ/運用セキュリティ/ビジネス セキュリティ/コンテナ ネットワーク セキュリティ/コンテナ データ セキュリティ/コンテナ ランタイム セキュリティ
• クラウド顧客セキュリティ
• クラウドベンダー（クラウドIaaS DevOps）セキュリティ

クラウドネイティブセキュリティ

クラウド ネイティブ セキュリティでは、まずクラウド データ セキュリティ標準に準拠し、クラウド インフラストラクチャのセキュリティ機能を再利用し、安全な運用中にソフトウェア サプライ チェーンでさらなるセキュリティ サポートを提供する必要があります。

クラウド ネイティブ ストレージは、宣言型 API を通じてクラウド データのライフサイクルを記述し、基盤となる IaaS のデータ暗号化の詳細をユーザーに公開しません。クラウド データのキャリアとして、一般的にさまざまなクラウド ネイティブ ストレージが使用され、クラウド IaaS の基本的なセキュリティ機能が再利用されます。また、ソフトウェア サプライ チェーンにおけるイメージ セキュリティ、コンテナ実行時のルート ファイル システム セキュリティ、コンテナ ネットワーク セキュリティも組み込む必要があります。

• クラウドネイティブのセキュアランタイム = データ処理中のコンピューティングセキュリティ/メモリセキュリティ/ファイルシステムセキュリティ/ネットワークセキュリティ
• クラウドネイティブソフトウェアサプライチェーンセキュリティ = 実行ファイル/ユーザーコードセキュリティ
• クラウドネイティブインフラストラクチャセキュリティ = クラウドデータストレージセキュリティ

クラウドデータセキュリティ

クラウド ユーザー データのセキュリティには、次の 3 つの側面が含まれます。

• データ保護: RAM ACL はきめ細かいデータ アクセス権を制御します。機密データの検出と保護 (SDDP)、データの機密性低下、およびデータ分類。
• データ暗号化: CMK 暗号化データ機能、BYOK 暗号化データ機能。
• キー/暗号文管理: KMS/HSM およびその他のクラウド サービス、サードパーティの Vault サービス。

1. データセキュリティライフサイクル

データ保護をより深く理解するには、データ セキュリティ ライフ サイクルを理解する必要があります。これは、データ保護がデータ ライフ サイクル全体にわたって実行されるためです。

• データ収集
• データ転送
• データ処理
• データ交換
• データストレージ
• データ破壊

クラウドネイティブ データ ライフサイクルでは、Alibaba Cloud ディスクにマウントされた ACK (Container Service for Kubernetes) を例に挙げます。

• クラウド ディスク PV の宣言と作成によってデータが定義されます。クラウド ディスク データの暗号化は、宣言定義に反映される必要があります。暗号化キーと暗号化アルゴリズムの選択は宣言的にサポートできます。きめ細かい RAM 権限は、最小限の権限に従います。
• クラウド ディスクの仮想マシンへのマウントは、コンテナー グループ Pod 内の PVC 参照を通じてトリガーされ、実装されます。
• クラウド ディスク データの復号化は、ユーザー CMK/BYOK を通じてブロック デバイス上で透過的に暗号化および復号化されます。
• Pod ライフサイクルの変更により、PVC に関連付けられたクラウド ディスクが異なるホスト ECS 上でデタッチ/アタッチされるようになります。
• PV のスナップショットの作成により、クラウド ディスク スナップショットの作成がトリガーされます。
• PV の削除は、クラウド ディスクの終了と OnDelete を介したデータの削除に関連付けることができます。

2. フルリンクデータセキュリティ

狭義には、データのエンドツーエンドの暗号化であり、主にデータ ライフサイクルの 3 つの段階に焦点を当てています。

• データ転送
• データ処理
• データストレージ

データ送信フェーズ

安全な通信設計、暗号文/キーの安全な管理と送信は、クラウド ネイティブによって導入されたクラウド環境、コンテナ ネットワーク、マイクロサービス、ブロックチェーン シナリオでの安全な送信を満たすだけでなく、クラウド ネイティブ データの安全な送信に対するさらなる要件も提示する必要があります。

• クラウドセキュア伝送

クラウド環境での VPC/セキュリティ グループの使用、暗号文/キーの安全な管理、KMS North-South トラフィックは SSL 証明書サービスを通じて信頼できる有効な CA を取得し、North-South トラフィックの HTTPS 暗号化とオフロードを実装し、RPC/gRPC 通信に SSL 暗号化を使用し、VPC の攻撃対象領域を減らし、VPN/SAG ゲートウェイを通じて安全なアクセス リンクを実装します。

• クラウドネイティブの安全な伝送

クラウドネイティブのシナリオでは、単一のクラスターで複数のテナントがネットワークを共有し、システム コンポーネントのアクセス許可を制御し、データ通信を暗号化し、証明書のローテーションを管理し、マルチテナント シナリオで東西トラフィックを分離してクリーンアップできます。クラウドネイティブ マイクロサービス シナリオでは、アプリケーション/マイクロサービス間の通信が暗号化され、証明書管理が実行されます。クラウドネイティブのシナリオでは、キーと暗号文の独立した管理と3者間の統合が実行され、KMS は Vault CA、fabric-ca、istio-certmanager などと統合されます。

データ処理段階

データ処理段階では、メモリレベルの信頼できるコンピューティングには、クラウド セキュリティ仮想化の安全な操作と、コンテナー セキュリティ サンドボックスおよび信頼できるセキュリティ サンドボックスのニーズの両方が必要です。

• クラウド セキュリティ仮想化トラステッド コンピューティング: TEE SGX、ARM Trust Zone。
• クラウドネイティブ コンテナ セキュリティ サンドボックス: runV Kata セキュリティ コンテナ サンドボックス、runE ​​Graphane/Occlum 信頼できるセキュリティ サンドボックス。

データ保存段階

クラウド ストレージの暗号化とクラウド データ サービスの暗号化、コンテナ イメージ ストレージの暗号化、監査ログ、アプリケーション ログの暗号化とサード パーティの統合、および暗号テキスト パスワードのディスク以外のストレージのサポートに関するクラウド セキュリティ要件があります。

クラウドストレージの暗号化方式:

• データ + 暗号化アルゴリズム + ユーザー キーまたはマスター キー。
• クライアント側暗号化/サーバー側暗号化。

クラウド ストレージ データは主にサーバー側で暗号化されます。安全なキー管理 KMS/HSM;安全な暗号化アルゴリズム。国内のアルゴリズムと一部の国際共通暗号化アルゴリズムを完全にサポートし、ユーザーのさまざまな暗号化アルゴリズムのニーズを満たします。

• 対称暗号化アルゴリズム: SM1、SM4、DES、3DES、AES をサポートします。
• 非対称暗号化アルゴリズム: SM2、RSA (1024-2048) をサポート。
• ダイジェスト アルゴリズム: SM3、SHA1、SHA256、SHA384 をサポートします。

Alibaba Cloud は、主にデバイスの可用性インジケーターの監視、サービスの有効化と停止など、デバイスのハードウェアのみを管理できます。キーは完全に顧客によって管理され、Alibaba Cloud が顧客のキーを取得する方法はありません。

クラウド ストレージ暗号化は以下をサポートします:

• ブロック ストレージ EBS クラウド ディスク: 仮想マシン内で使用されるブロック ストレージ デバイス (クラウド ディスク) に保存されるデータの暗号化をサポートし、ブロック ストレージ データが暗号化されて分散システムに保存されることを保証し、サービス キーとユーザーが選択したキーをデータ暗号化のマスター キーとして使用することをサポートします。
• オブジェクト ストレージ OSS: サーバー側とクライアント側の両方でストレージ暗号化機能をサポートします。サーバー側の暗号化では、サービス キーとユーザーが選択したキーをデータ暗号化のマスター キーとして使用することをサポートします。クライアント側の暗号化では、暗号化にユーザーが管理するキーの使用をサポートし、クライアントの暗号化にユーザーの KMS 内のマスター キーの使用もサポートします。
• RDS データベースのデータ暗号化: RDS データベースの複数のバージョンは、透過的データ暗号化 (TDE) またはクラウド ディスク インスタンス暗号化メカニズムを通じて、サービス キーとユーザーが選択したキーをマスター キーとして使用してデータ暗号化をサポートします。
• テーブル ストア OTS: サービス キーとユーザーが選択したキーをデータ暗号化のマスター キーとして使用することをサポートします。
• ファイル ストレージ NAS: サービス キーをデータ暗号化のマスター キーとして使用することをサポートします。
• MaxCompute ビッグデータ コンピューティング: データ暗号化のマスター キーとしてサービス キーを使用することをサポートします。
• 操作ログと監査ログの安全な保管、およびサードパーティのログシステムの統合。

クラウド ネイティブ ストレージ暗号化: 現在、Alibaba Cloud Container Service ACK は、主にブロック ストレージ、ファイル ストレージ、オブジェクト ストレージをホストできます。 RDS や OTS などの他の種類のデータ サービスは、Service Broker やその他の方法を通じてサポートされます。

• ユーザー コンテナ イメージ/コード (エンタープライズ コンテナ イメージ サービス、OSS CMK/BYOK 暗号化)。
• クラウド ネイティブ ストレージ ボリューム PV (クラウド ストレージの CMK/BYOK の宣言的サポートとデータ サービス レイヤーの暗号化サポート)。
• アクション ログと監査ログ (ActionTrail OpenAPI/Kubernetes AuditLog: SLS ログ暗号化)。
• 暗号テキスト パスワード (KMS/Vault は、3 方向暗号化と暗号テキストのメモリ ストレージをサポートしますが、etcd の永続性はサポートしません)。

結論は

クラウドセキュリティシステムによるクラウドネイティブのフルリンクデータセキュリティとフルリンク暗号化が基本構成となっています。新しいコンテナ化されたインフラストラクチャとアプリケーション アーキテクチャの変更は、クラウド ネイティブ テクノロジ システムの特性と相まって、データ転送、データ処理、およびデータ ストレージの各段階で、ネットワーク、ランタイム、およびストレージに対する対応するクラウド ネイティブ環境のフルリンク暗号化要件を高める必要があります。

• クラウド ネイティブによって導入されたクラウド環境、コンテナ ネットワーク、マイクロサービス、ブロックチェーン シナリオでの安全な送信の要件を満たすだけでなく、クラウド ネイティブ データの安全な送信に関するさらなる要件も提示します。
• クラウド セキュリティ仮想化の安全な運用に関する要件のほか、コンテナ セキュリティ サンドボックスと信頼できるセキュリティ サンドボックスに関する要件もあります。
• クラウド ストレージの暗号化とクラウド データ サービスの暗号化に関するクラウド セキュリティ要件のほか、コンテナ イメージ ストレージの暗号化、監査ログ、アプリケーション ログの暗号化、サードパーティ統合、および暗号テキスト パスワードのディスク以外のストレージのサポートに関する要件もあります。