クラウドネイティブのフルリンク暗号化とは何ですか?
クラウドにおけるデータ セキュリティの要件は、情報セキュリティの 3 つの基本要素「CIA」、つまり機密性、整合性、可用性によって要約できます。
3 つの要素のうち、最初の要素である機密性に対する最も一般的かつ最も頻繁に要求される技術的実装方法は、データの暗号化です。特にクラウド ネイティブの次元では、クラウド ネイティブのフルリンク暗号化機能を実装する必要があります。 「フルリンク」とは、データ転送(転送中、インモーションとも呼ばれる)、計算(実行時、インプロセスとも呼ばれる)、およびストレージ(ストレージ内、アットレストとも呼ばれる)のプロセスを指します。一方、「フルリンク暗号化」とは、エンドツーエンドのデータ暗号化保護機能、つまり、クラウドからクラウドへ、およびクラウドユニット間の転送プロセス、アプリケーション実行時のデータの計算プロセス(使用/交換)、およびデータが最終的にディスクに保存されるストレージプロセスにおける暗号化機能を指します。 • データ転送(データ通信の暗号化、マイクロサービス通信の暗号化、アプリケーション証明書およびキー管理) • データ処理(ランタイムセキュリティサンドボックスrunV、トラステッドコンピューティングセキュリティサンドボックスrunE) • データ ストレージ (クラウド ネイティブ ストレージの CMK/BYOK 暗号化サポート、暗号文/キーのストレージ管理、コンテナ イメージのストレージ暗号化、コンテナ操作/監査ログのセキュリティ)。 この記事の技術的な説明は、クラウドネイティブのフルリンク暗号化で達成する必要がある既存および将来の技術目標を対象としています。 クラウド セキュリティ > クラウド データ セキュリティ > クラウド ネイティブ フルリンク暗号化 クラウドセキュリティユーザー グループによって、セキュリティ リンクの定義レベルは異なります。クラウド セキュリティは、IaaS ソフトウェア、ハードウェア、物理データ センターにおけるクラウド カスタマーとクラウド ベンダーのセキュリティをカバーします。
クラウドネイティブセキュリティクラウド ネイティブ セキュリティでは、まずクラウド データ セキュリティ標準に準拠し、クラウド インフラストラクチャのセキュリティ機能を再利用し、安全な運用中にソフトウェア サプライ チェーンでさらなるセキュリティ サポートを提供する必要があります。 クラウド ネイティブ ストレージは、宣言型 API を通じてクラウド データのライフサイクルを記述し、基盤となる IaaS のデータ暗号化の詳細をユーザーに公開しません。クラウド データのキャリアとして、一般的にさまざまなクラウド ネイティブ ストレージが使用され、クラウド IaaS の基本的なセキュリティ機能が再利用されます。また、ソフトウェア サプライ チェーンにおけるイメージ セキュリティ、コンテナ実行時のルート ファイル システム セキュリティ、コンテナ ネットワーク セキュリティも組み込む必要があります。
クラウドデータセキュリティクラウド ユーザー データのセキュリティには、次の 3 つの側面が含まれます。
1. データセキュリティライフサイクル データ保護をより深く理解するには、データ セキュリティ ライフ サイクルを理解する必要があります。これは、データ保護がデータ ライフ サイクル全体にわたって実行されるためです。
クラウドネイティブ データ ライフサイクルでは、Alibaba Cloud ディスクにマウントされた ACK (Container Service for Kubernetes) を例に挙げます。
2. フルリンクデータセキュリティ 狭義には、データのエンドツーエンドの暗号化であり、主にデータ ライフサイクルの 3 つの段階に焦点を当てています。
データ送信フェーズ 安全な通信設計、暗号文/キーの安全な管理と送信は、クラウド ネイティブによって導入されたクラウド環境、コンテナ ネットワーク、マイクロサービス、ブロックチェーン シナリオでの安全な送信を満たすだけでなく、クラウド ネイティブ データの安全な送信に対するさらなる要件も提示する必要があります。
クラウド環境での VPC/セキュリティ グループの使用、暗号文/キーの安全な管理、KMS North-South トラフィックは SSL 証明書サービスを通じて信頼できる有効な CA を取得し、North-South トラフィックの HTTPS 暗号化とオフロードを実装し、RPC/gRPC 通信に SSL 暗号化を使用し、VPC の攻撃対象領域を減らし、VPN/SAG ゲートウェイを通じて安全なアクセス リンクを実装します。
クラウドネイティブのシナリオでは、単一のクラスターで複数のテナントがネットワークを共有し、システム コンポーネントのアクセス許可を制御し、データ通信を暗号化し、証明書のローテーションを管理し、マルチテナント シナリオで東西トラフィックを分離してクリーンアップできます。クラウドネイティブ マイクロサービス シナリオでは、アプリケーション/マイクロサービス間の通信が暗号化され、証明書管理が実行されます。クラウドネイティブのシナリオでは、キーと暗号文の独立した管理と3者間の統合が実行され、KMS は Vault CA、fabric-ca、istio-certmanager などと統合されます。 データ処理段階 データ処理段階では、メモリレベルの信頼できるコンピューティングには、クラウド セキュリティ仮想化の安全な操作と、コンテナー セキュリティ サンドボックスおよび信頼できるセキュリティ サンドボックスのニーズの両方が必要です。
データ保存段階 クラウド ストレージの暗号化とクラウド データ サービスの暗号化、コンテナ イメージ ストレージの暗号化、監査ログ、アプリケーション ログの暗号化とサード パーティの統合、および暗号テキスト パスワードのディスク以外のストレージのサポートに関するクラウド セキュリティ要件があります。 クラウドストレージの暗号化方式:
クラウド ストレージ データは主にサーバー側で暗号化されます。安全なキー管理 KMS/HSM;安全な暗号化アルゴリズム。国内のアルゴリズムと一部の国際共通暗号化アルゴリズムを完全にサポートし、ユーザーのさまざまな暗号化アルゴリズムのニーズを満たします。
Alibaba Cloud は、主にデバイスの可用性インジケーターの監視、サービスの有効化と停止など、デバイスのハードウェアのみを管理できます。キーは完全に顧客によって管理され、Alibaba Cloud が顧客のキーを取得する方法はありません。 クラウド ストレージ暗号化は以下をサポートします:
クラウド ネイティブ ストレージ暗号化: 現在、Alibaba Cloud Container Service ACK は、主にブロック ストレージ、ファイル ストレージ、オブジェクト ストレージをホストできます。 RDS や OTS などの他の種類のデータ サービスは、Service Broker やその他の方法を通じてサポートされます。
結論はクラウドセキュリティシステムによるクラウドネイティブのフルリンクデータセキュリティとフルリンク暗号化が基本構成となっています。新しいコンテナ化されたインフラストラクチャとアプリケーション アーキテクチャの変更は、クラウド ネイティブ テクノロジ システムの特性と相まって、データ転送、データ処理、およびデータ ストレージの各段階で、ネットワーク、ランタイム、およびストレージに対する対応するクラウド ネイティブ環境のフルリンク暗号化要件を高める必要があります。
|
<<: IoTとエッジコンピューティングのセキュリティ課題への対応
>>: Inspurは、ビジネスからITまでのラストマイルをつなぐ最高のaPaaSソリューションを提供します
もうすぐ夏休みがやってきます。多くの学生がこの時期に初めてのウェブサイトを作成します。この記事では、...
4月に友人がsharktechからサーバーを購入するのを手伝いました。なぜここからサーバーを購入した...
インターフェースの視覚的な階層を構築する要素には、色の目立ち具合、画像とテキストのサイズ、そして最も...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています概要:10...
locvpsは現在、米国ロサンゼルスデータセンターの「ロサンゼルス#2(BGP+CN2)」シリーズV...
実際、ウェブサイトのプロモーションは長いプロセスであり、集中力を必要とします。これは、3 日以内に ...
中核競争力とは、企業(競争に参加する人材、国、個人)が長期的な競争優位性を獲得する能力です。それは、...
以下は私が作成したウェブサイト最適化計画です。参考までに! ****ウェブサイトモール最適化プランウ...
私の論理的思考は非常に混乱しているため、テクノロジーに関する記事を書くことはほとんどありません。昨夜...
API Gateway は、複数の Kubernetes クラスターとクラウドに分散されたマイクロサ...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています企業の海外...
インターネットがますます進歩するにつれて、Taobao アフィリエイトも盛んになり、さまざまな Ta...
世の中に同じ葉っぱは2枚存在せず、検索エンジンのアルゴリズムも2つ同一なものはありません。つまり、G...
現代社会では、どんな業種であっても「サービス」が大切です。良い商品だけでなく、良いサービスがあってこ...
「走る前に歩くことを学ばなければならない」という古い格言をご存知でしょう。モノのインターネット (I...