亞馬遜AWS的云密鑰管理分析

◆雷 波 王運兵 李林嘯 周 艷

（中國電子科技集團公司第三十研究所 四川 610041）

亞馬遜AWS的云密鑰管理分析

◆雷 波 王運兵 李林嘯 周 艷

（中國電子科技集團公司第三十研究所 四川 610041）

本文介紹了國外云計算及密碼應(yīng)用現(xiàn)狀，對亞馬遜AWS中的四種密鑰管理方式進行介紹，這四種密鑰管理方式分別是：（1）用戶自己開發(fā)密鑰管理系統(tǒng)，（2）用戶使用AWS第三方合作伙伴提供的密鑰管理解決方案，（3）用戶使用AWS提供的密鑰管理服務(wù)，（4）由CloudHSM控制密鑰并提供加密方法

AWS；云密鑰管理；亞馬遜

0 引言

亞馬遜（Amazon）于2006年3月推出彈性計算云（Elastic Compute Cloud，EC2）服務(wù)以來，云計算技術(shù)得到了飛速的發(fā)展和應(yīng)用。“云計算”、“云安全”迅速成為IT界最熱門的話題，國內(nèi)外各大研究機構(gòu)和廠商相繼發(fā)布了云計劃和相關(guān)的安全產(chǎn)品，密碼作為提供云計算中數(shù)據(jù)機密性保障的重要手段，也得到了飛速的發(fā)展和廣泛的應(yīng)用。

1 關(guān)于云計算

對云計算的定義有多種說法，現(xiàn)階段廣為接受的是美國國家標準與技術(shù)研究院（NIST）定義：云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問，進入可配置的計算資源共享池（資源包括網(wǎng)絡(luò)，服務(wù)器，存儲，應(yīng)用軟件，服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進行很少的交互。

云計算是一個新興的商業(yè)計算模型，它把計算作為一種服務(wù)，利用高速互聯(lián)網(wǎng)的傳輸能力，將數(shù)據(jù)的處理過程從單個終端移到網(wǎng)絡(luò)上的計算機集群中。集群中的計算機都是很普通的工業(yè)標準服務(wù)器，他們由一個大型的數(shù)據(jù)處理中心統(tǒng)一管理，數(shù)據(jù)中心按客戶的需求分配計算資源，達到與超級計算機同樣的效果。

云計算具有超大規(guī)模、虛擬化、高可靠性、通用性、高擴展性、按需服務(wù)、極其廉價的特性，使得云計算得到了飛速的發(fā)展和廣泛的應(yīng)用。云讓用戶在快速推出新服務(wù)和擴展IT基礎(chǔ)設(shè)施時具有更好的靈活性和更高的效率，但由于云計算的特性，使得用戶缺乏對IT基礎(chǔ)設(shè)施的物理控制，缺少明確定義的入口和出口點，給信息安全保密帶來了性的挑戰(zhàn)：混合存儲在數(shù)據(jù)中心的多租戶數(shù)據(jù)如何隔離、如何對多租戶進行授權(quán)、快照和備份如何管理、如何防止數(shù)據(jù)泄露等。盡管解決這些問題有多種方式，但專家們一致認為仍然是云計算中為數(shù)據(jù)提供機密性、完整性保護的有效手段，密鑰的安全是云計算中的數(shù)據(jù)加密安全的核心。

2 國外云計算及密碼應(yīng)用現(xiàn)狀

美國將云計算技術(shù)產(chǎn)業(yè)定位為維持國家核心競爭力的重要手段之一，在制定的一系列云計算政策中，明確指出加大政府采購，積極培育市場。通過強制政府采購和制定技術(shù)架構(gòu)來推進云計算技術(shù)進步和產(chǎn)業(yè)落地發(fā)展。美國軍隊、國防部、農(nóng)業(yè)部、教育部等部門都已經(jīng)應(yīng)用了云計算服務(wù)。美國在2011年出臺的《聯(lián)邦云計算戰(zhàn)略》中明確提出鼓勵創(chuàng)新，積極培育市場，構(gòu)建云計算生態(tài)系統(tǒng)，推動產(chǎn)業(yè)鏈協(xié)調(diào)發(fā)展。

歐盟委員會在2012年9月啟動“釋放歐洲云計算潛力”的戰(zhàn)略計劃，包括篩選和精簡眾多技術(shù)標準、為云計算服務(wù)制定安全和公平的標準規(guī)范等，同時明確市場政策，確立歐洲云計算市場，促使歐洲云服務(wù)提供商擴大業(yè)務(wù)范圍并提供性價比高的在線管理服務(wù)。

在云計算技術(shù)快速發(fā)展和應(yīng)用的同時，密碼在云計算中的應(yīng)用也得到了飛速的發(fā)展，除了傳統(tǒng)的安全廠商推出云計算環(huán)境下的密碼產(chǎn)品，也涌現(xiàn)眾多專門為云計算提供密碼產(chǎn)品的安全廠商，為云計算中的數(shù)據(jù)安全提供了基于密碼的技術(shù)支撐。如Safenet、Cipher Cloud、Afore、Bloom Base等公司。

3 AWS的云密鑰管理

亞馬遜AWS作為具有代表性的公有云服務(wù)，為云計算的各個層次提供了多種數(shù)據(jù)加密方法，形成完整的云計算密碼產(chǎn)品體系，其云密碼服務(wù)覆蓋IaaS、PaaS、SaaS。

亞馬遜AWS根據(jù)誰管理密鑰、誰提供加密方法，將云計算環(huán)境中的密碼應(yīng)用分為四種場景。

3.1 用戶自己開發(fā)密鑰管理系統(tǒng)

這種場景用戶自己開發(fā)密鑰管理系統(tǒng)，并將密鑰管理系統(tǒng)部署在用戶的本地網(wǎng)絡(luò)或AWS云環(huán)境中，細分為三種模式：

（1）用戶使用自己的密鑰管理系統(tǒng)，并且使用自己的加密設(shè)備或加密應(yīng)用對數(shù)據(jù)加密后存儲在云環(huán)境中。

圖1 使用自己的密鑰管理系統(tǒng)和加密應(yīng)用

（2）用戶使用自己的密鑰管理系統(tǒng)管理密鑰，采用AWS提供的S3（Simple Storage System）客戶端加密程序和用戶提供的密鑰對數(shù)據(jù)進行加密。

圖2 使用自己的密鑰管理系統(tǒng)和S3客戶端加密

（3）用戶使用自己的密鑰管理系統(tǒng)管理密鑰，采用AWS提供的S3（Simple Storage System）服務(wù)端加密程序和用戶提供的密鑰對數(shù)據(jù)進行加密。用戶提供的密鑰在S3 WEB Server上使用后就立即刪除，用戶下載數(shù)據(jù)時同樣需要提供密鑰給S3 WEB Server解密數(shù)據(jù)。

圖3 使用自己的密鑰管理系統(tǒng)和S3服務(wù)端加密

這種場景下用戶適合具有較強開發(fā)能力的機構(gòu)或企業(yè)，通常是已經(jīng)部署有自己的密鑰管理設(shè)備，并且有自己的加密應(yīng)用，使用自己的密鑰管理系統(tǒng)有利于保護現(xiàn)有的投資；用戶可以對密鑰存儲和密鑰的使用有更強的管理控制。這種用戶管理密鑰的缺點在于：不同地點復制的多份數(shù)據(jù)將導致潛在的費用；培養(yǎng)新的開發(fā)人員來使用這些密鑰管理系統(tǒng)時需要較大的投入；對密鑰的管理和訪問審計比較困難。

3.2 用戶使用AWS第三方合作伙伴提供的密鑰管理解決方案

AWS第三方合作伙伴提供的密鑰管理解決方案相關(guān)產(chǎn)品可以從AWS Marketplace購買下載，可按照小時、月或年收費，費用將自動計入AWS賬單。具有代表性的AWS第三方合作供應(yīng)商有Safenet、趨勢科技、Vormetric等。

第三方合作伙伴的密鑰管理產(chǎn)品可部署在用戶本地網(wǎng)絡(luò)，也可以部署在AWS云環(huán)境中，使用用戶自己開發(fā)的加密應(yīng)用系統(tǒng)或密碼設(shè)備實現(xiàn)對數(shù)據(jù)在云上的加密存儲。

圖4 使用第三方合作伙伴解決方案

3.3 用戶使用AWS提供的密鑰管理服務(wù)

AWS密鑰管理服務(wù)使得用戶可以方便的創(chuàng)建、控制、更換和使用用戶的加密密鑰。AWS密鑰管理服務(wù)已經(jīng)集成在AWS SDK和Amazon EBS、Amazon S3和Amazon Redshift等AWS服務(wù)中，使得用戶可以方便的創(chuàng)建、控制、更換和使用用戶的加密密鑰；同時為了幫助用戶規(guī)范的使用密鑰管理服務(wù)，AWS密鑰管理服務(wù)也集成在AWS CloudTrail中為用戶提供可審計的日志。

AWS密鑰管理服務(wù)采用兩層信封加密方式，采用全局唯一的數(shù)據(jù)加密密鑰保護用戶數(shù)據(jù)，采用AWS KMS用戶主密鑰（Customer Master Key（s））保護用戶的數(shù)據(jù)加密密鑰。采用信封式加密具有如下優(yōu)點：

（1）可以有效降低泄露數(shù)據(jù)加密密鑰的風險。

（2）在加密大數(shù)據(jù)時具有良好的性能優(yōu)勢。

（3）相對于上百萬的數(shù)據(jù)加密密鑰，只需要管理少量的用戶的主密鑰。

AWS密鑰管理服務(wù)參考架構(gòu)如圖5所示。

圖5 AWS密鑰管理服務(wù)參考架構(gòu)

AWS KMS為用戶密鑰提供如下的安全保證：

（1）密鑰明文不會長久存儲在運行系統(tǒng)的內(nèi)存中。

（2）自動為用戶更換密鑰。

（3）區(qū)分主密鑰、數(shù)據(jù)加密密鑰在不同系統(tǒng)之間的作用。

（4）系統(tǒng)維護時采用多方管控來保證用戶主密鑰的安全。

3.4 由CloudHSM控制密鑰并提供加密方法

CloudHSM（Cloud Hardware Security Module）是一種通過第三方認證的用于密鑰存儲和密碼運算的硬件設(shè)備，為私有密鑰提供強保護：不能通過控制物理設(shè)備獲取用戶密鑰；應(yīng)用管理員也不能訪問密鑰。

CloudHSM采用Safenet公司的Luna SA，部署在AWS的數(shù)據(jù)中心，由AWS管理。使用CloudHSM管理密鑰，可確保只有用戶自己才能訪問和管理用戶的密鑰；CloudHSM部署在用戶的亞馬遜VPC內(nèi)，與其他網(wǎng)絡(luò)隔離。

圖6 由CloudHSM管理密鑰

CloudHSM目前僅在全球的七個亞馬遜數(shù)據(jù)中心部署（美國東部（弗吉尼亞北部）、美國西部（俄勒岡）、AWS GovCloud（美國）、歐洲（愛爾蘭）、歐洲（法蘭克福）、亞太區(qū)域（悉尼）、亞太區(qū)域（新加坡）和亞太區(qū)域（東京））。CloudHSM的典型應(yīng)用方式有AmaZon Redshift、與第三方軟件集成以及用戶自主開發(fā)的應(yīng)用。

4 結(jié)語

目前云計算在國內(nèi)正處于蓬勃發(fā)展階段，但云密碼的發(fā)展和應(yīng)用則落后于云計算的應(yīng)用。云計算領(lǐng)域急需云密碼相關(guān)應(yīng)用和云密鑰管理相關(guān)產(chǎn)品以填補市場空白，支撐云計算中加密應(yīng)用的發(fā)展，為我國云計算的信息安全提供技術(shù)支撐。

[1]Ken Beer.SEC301：Encryption and Key Management in AWS.Amazon，2014.

[2]Ken Beer.SEC304：Encryption and Key Management in AWS.Amazon，2013.

[3]Ken Beer and Ryan Holland.Securing Data at Rest with Encryption.