چه سرویس های cloud telco باید درباره رمزگذاری بدانند ⋆

بزرگترین عامل ایجاد مجازی در عملکرد شبکه (NFV) عصر گسترش خدمات ابری telco است. خدمات مبتنی بر ابر مزایای فوق العاده ای مانند مقیاس پذیری ، عملکرد هزینه ، مدیریت مرکزی و آسان را ارائه می دهد. با این حال ، این سرویس ها یک مخزن متمرکز از اطلاعات با استفاده از منابع مشترک هستند ، که آنها را به هدف اصلی مهاجمان تبدیل می کند.

درباره نویسنده

دنی لاهاو ، مدیر محصول ، هسته ابر نوکیا.

این منابع مشترک را محاسبه می کند. یا سرورهای ذخیره سازی ابری ، و نقض یک سرور منفرد می تواند به طور بالقوه باعث بروز نشت اطلاعات و سازش شود. بنابراین ، کارشناسان صنعت امنیت برای محافظت از سرویس های ابری و سیستم عامل ها در حال کشف فناوری هایی مانند فایروال ها و رمزگذاری هستند. همانطور که هرچه بیشتر سرویس های cloud cloud این فناوری ها را پیاده سازی می کنند ، درک درستی از گزینه های فعلی حائز اهمیت است.

معنی رمزگذاری

رمزگذاری از کلید رمزنگاری شده برای تبدیل متن ساده ، همچنین به عنوان داده های قابل خواندن توسط انسان شناخته می شود ، در متن غیرقابل خواندن به همین ترتیب ، رمزگشایی داده های رمزگذاری شده به یک کلید رمزنگاری مربوطه نیاز دارد تا آن را به فرم اصلی خود تبدیل کند. رمزگذاری داده ها امنیت و یکپارچگی داده ها را تضمین می کند. بدون کلید ، داده ها را نمی توان توسط یک مهاجم یا کاربر غیر مجاز رمزگشایی کرد ، مگر اینکه کلید قبلاً به خطر بیفتد. رمزگذاری را می توان در دو نوع داده استفاده کرد: در ترانزیت و در حالت استراحت.

داده در Transit شامل داده هایی است که از طریق اینترنت و رابط های سیستمی حرکت می کنند ، که می تواند برای سیستم خارجی یا داخلی بین سرورها و رابط های برنامه نویسی نرم افزار باشد ( API) می توان آن را با استفاده از HTTPS ، TLS ، IPSec و غیره رمزگذاری کرد که برای جلوگیری از رهگیری توسط یک کاربر غیرمجاز بسیار مهم است.

داده در حالت استراحت همچنین به معنای داده در حافظه است و شامل گره های ذخیره و رسانه ذخیره سازی قابل جابجایی است. داده های رمزگذاری شده در حالت استراحت می توانند برای یک فایل داده خاص یا کلیه داده های ذخیره شده استفاده شوند. رمزگذاری نهایی به انتها ابزاری برای رمزگذاری داده است به گونه ای که فقط در نقاط انتهایی قابل رمزگشایی است. رابط سرویس های cloud از طریق داده های رمزگذاری شده در هنگام انتقال احتمال دسترسی سرورها را بدون داشتن کلید مناسب از بین می برد – فقط فرستنده و گیرنده می توانند پیام رسانی را بر روی این رابط ها رمزگشایی کنند.

رمزگذاری نیز می تواند در سیستم های ابری اعمال شود تا کاربر مجاز بتواند دسترسی ، و همچنین برای دسترسی به سیستم از رابط های خارجی و محافظت از داده های حساس ذخیره شده در سیستم ابری استفاده می شود. بدون کلید رمزنگاری ، به داده های گمشده یا دزدیده شده نمی توان دسترسی پیدا کرد.

داده های سرور رمزگذاری شده همچنین شانس دسترسی مهاجمان به داده ها را در حالت استراحت به حداقل می رساند. حتی اگر آنها به داده های سرور رمزگذاری شده دسترسی پیدا کنند ، مهاجمان قادر به "خواندن" داده ها یا سازش آن بدون داشتن کلید رمزگشایی آن نیستند. بنابراین ، رمزگذاری داده ها در حالت استراحت یک عنصر اصلی در امنیت داده های ابری قوی است.

ایمن سازی چرخه کلید رمزنگاری با استفاده از یک ماژول امنیتی سخت افزاری

یک پردازنده رمزنگاری اختصاصی که بطور خاص برای محافظت از چرخه حیات کلید رمزنگاری ، ماژول امنیتی سخت افزار (HSM ) از کلیدهای دیجیتالی برای احراز هویت قوی محافظت و مدیریت می کند و پردازش رمزنگاری را ارائه می دهد.

به طور سنتی ، HSM ها یا یک کارت پلاگین یا یک دستگاه خارجی هستند که به یک رایانه یا سرور شبکه وصل می شوند. از آنجا که این ماژول ها اغلب بخشی از زیرساخت های مهم فناوری اطلاعات هستند ، آنها برای دسترسی زیاد از جمله ماژول های منبع تغذیه دوگانه ، خوشه بندی می شوند.

اپراتورهای ابر کلید اصلی پروژه خود را ، معروف به کلید رمزنگاری کلید (KEK) ، در HSM نگه می دارند تا با باربیکن از طریق افزونه Crypto با استفاده از پروتکل PKCS # 11 ارتباط برقرار کنند. API REST به منظور تأمین امنیت اسرار ، ذخیره و مدیریت اسرار ، یک پروژه OpenStack است که به کاربران امکان می دهد سیستم های مدیریت کلیدی ایمن و آماده را آماده سازند.

این سیستم ها می توانند اطلاعات حساس مانند کلیدهای متقارن و نامتقارن و اسرار خام را مدیریت کنند. اسرار ساکن در HSM ، توسط KEK اختصاصی پروژه رمزگذاری و بعداً برای بازیابی رمزگشایی می شود. به عنوان مثال ، HSM برای رمزگذاری یک حجم ذخیره ، یک Crypto Key را برای هر سرویس ایجاد می کند.

شناسایی سرویس با Keystone

یکی دیگر از پروژه های OpenStack Keystone است که تأیید هویت متمرکز مشتری API ، کشف سرویس و توزیع مجوز چند مستأجر را ارائه می دهد. . Keystone قبل از دسترسی به هر سرویس دیگری ، ابتدا یک کاربر را تأیید می کند. همچنین می تواند از یک سیستم احراز هویت خارجی مانند LDAP یا TACACS + استفاده کند. پس از تأیید اعتبار با موفقیت ، کاربر یک نشان موقتی را که در درخواست سرویس گنجانده شده است ، بدست می آورد. کاربر دسترسی به خدمات را دریافت می کند اگر و فقط در صورت اعتبار آن توکن را داشته باشد و اگر کاربر نقش های مناسب را داشته باشد.

مدیریت کلیدهای پویا: چگونه Barbican چگونه کلیدهای شما را مدیریت می کند

اول ، Barbican یک رمز ورود به هویت اصلی را تأیید می کند تا کاربر را شناسایی کند و دسترسی به یک پروژه یا ذخیره یک پروژه. سپس سیاستی را برای تعیین اینکه آیا دسترسی مجاز است یا نه اعمال می کند.

Barbican اطلاعات حساس مانند گذرواژه های پایگاه داده را با لینک های منحصر به فرد جایگزین می کند ، که برای بازیابی بعدی به طور ایمن ذخیره می شوند. داده های حساس را با دستگاه های رمزگذاری اختصاصی مانند HSM ها رمزگذاری می کند تا سطح امنیتی بیشتری را ارائه دهد.

همانطور که قبلاً نیز گفته شد ، از پلاگین های رمزپایه برای ارتباط با HSM از طریق پروتکل PKCS # 11 استفاده می شود. این پروتکل یک API ، به نام "Cryptoki" را برای دستگاه هایی که اطلاعات رمزنگاری را در اختیار دارند و عملکردهای رمزنگاری شده و مستقل از فناوری را انجام می دهند ، مشخص می کند.

چرا رمزگذاری ذخیره سازی اهمیت دارد

سیستم های ابر که مبتنی بر ماشین های مجازی (VM) یا ظروف هستند. ذخیره سازی حجم. بنابراین ، رمزگذاری حجم برای محافظت از داده های VM و فضای ذخیره سازی فیزیکی توسط مهاجمان بسیار مهم است. داده های رمزگذاری نشده VM ، خطر حمله مهاجم را به یک سکوی میزبان حجمی کاهش می دهد و به بسیاری از VM های مختلف دسترسی پیدا می کند.

هدف از عملکرد حجم رمزگذاری شده رمزگذاری داده های VM است قبل از ارسال به حجم / ذخیره (داده های در حال گذر) ، و در نتیجه حفظ اطلاعات در هنگام سکونت بر روی دستگاه ذخیره سازی (داده ها در حالت استراحت).

با افزایش خدمات NFV از راه دور telco ، احتمال نشت داده ها افزایش می یابد ، بنابراین نیاز به توجه و راه حل های مناسب دارد. رمزگذاری رابط های داخلی و خارجی ، داده ها و حجم ها ، مدیریت کلیدهای پویا و موارد دیگر گامی اساسی در کاهش خطر نشت داده ها و استراق سمع اطلاعات است.