云计算时代,“密码云”重塑密码基础设施
2020-08-14 19:18:28 Author: www.aqniu.com(查看原文) 阅读量:406 收藏

云计算时代,“密码云”重塑密码基础设施

星期五, 八月 14, 2020

过去十年,在云计算广泛深入社会各个领域的同时,安全也成为云计算领域亟待突破的重要问题。尤其是作为网络安全核心的密码应用,正在加速从幕后走向台前。

密码与云的融合还在发展中,相关的标准规范也尚不完备。这种状况下,国内市场从具体需求的视角,出现了形态各异的密码应用实践。研究院院长夏鲁宁以三种密码上云实践为例,介绍了目前国内常见的密码上云方式及存在的问题:

  • 纯SaaS平台密码应用实践:即把电子合同等业务放在云计算的SaaS层提供。由于缺乏硬件密码资源的支持,密码功能多以SaaS层的软件方式来实现,这导致对于密钥等关键密码参数的保护强度不够,相当多的案例都是在开放环境下进行密码计算和密钥存储,随机数的熵和随机性也得不到保障。虽然看起来做到了“云原生”,但关键安全参数的泄露风险颇大,整体安全风险不可忽视,也不符合国家、行业标准对密码应用的要求。
  • 支持虚拟化的密码设备实践:即采用虚拟化技术,在物理密码机内提供虚拟密码机vHSM。这种方式的优势在于密钥等关键安全参数仍在密码机物理边界内,能够依赖设备内建安全体系来保护密码计算、密钥管理以及随机数的安全。但缺点是可扩展性差,能够利用的最大计算和存储资源受限于物理密码机自身,资源分配的灵活性受限。
  • 云密码资源池实践:即在多台物理密码设备的基础上云化成密码资源池,统一管理密码资源集群,向应用按需提供密码资源服务。这种方式能够有效保证密码应用安全,是近年来云密码应用的巨大进步。但现有的云密码资源池实践通用化程度不高,多为具体的云计算平台定制,只能有效支持运行在本平台上的信息化应用,在业务迁移、敏捷演进等方面存在挑战。

不难发现,无论是哪种密码上云的方式,在安全合规、可灵活扩展、可中立运营等方面都尚未做到兼顾。如何做到既符合对敏感密码资源的保护要求,又充分实现云上密码资源的按需配用、灵活扩展、快速演进,成为云时代密码应用的挑战。

在云化趋势和政策合规性的双重导向下,传统的密码技术正在向云密码服务方向转变,“密码+云”的融合成为大势所趋。那么,密码上云到底该如何做?是否存在既安全合规,又充分利用云计算优势的密码上云模式呢?

在夏鲁宁院长看来,结合已有密码上云的实践经验,“融合、分层、解耦”将成为密码上云的最佳实践理念。

其中,“融合”是指以云的思想、架构和技术来统筹管理密码资源,做到密码资源在合规安全的前提下,实现按需扩展、可灵活配置。“分层”是指在IaaS、PaaS、SaaS三个典型的云服务层面,为用户分别提供密码资源服务(CRaaS)、密码功能服务(CFaaS)、密码业务服务(CBaaS)。“解耦”则是指上下层服务在统一标准、通用接口下,做到云密码服务与具体平台、具体信息化业务的解耦。

在新基建和信创的新机遇下,密码产业已然蓄势待发。但不可否认的是,国内云密码服务市场仍处于萌芽期,还需经历较长时间的探索。

一方面,社会各界的密码意识还不太到位,这导致对于密码应用并未真正站在整体、全局的视角规划密码应用体系。另一方面,完整的密码云服务对服务提供商的要求较高,在机构资质、密码技术能力、云服务运营能力、行业经验等方面都有着非常高的要求。

随着云计算、物联网等新兴技术的不断推进,夏鲁宁院长认为,未来的密码安全建设还将出现四大趋势:

  • 软件定义密码。虽然目前国内密码市场仍以硬件为主,但随着云计算的普及和国家对密码管理思路的演进,密码应用必将在合规的前提下,走向更为灵活易用的软件化。
  • 安全内生。未来外挂式的单体密码设备或将消失,密码将走向与基础软硬件融合、与云融合、与信息化业务融合,包括密码在内的信息安全能力将成为信息化的内生特性。
  • 密码服务多样化。新技术的演进将不断推动密码应用的新场景和新产品涌现,相应的密码技术服务也将从当前以证书服务为主,拓展到多样化的密码服务。
  • 中立的第三方云密码服务机构出现。目前已有的密码云实践以私有云为主,用户出于控制权、隐私保护等考虑,不易接受将所依赖的密码服务托管在公有云上。但从商业和法律的角度看,独立第三方在涉及多方互动(例如:电子合同)的信息业务中,具有中立性的独特优势。因此,正如当前中立的证书服务机构一样,中立的云密码服务机构未来也很可能会出现。一旦中立的云密码服务机构被市场所接受,密码产业将打开一个新的、广阔的市场空间。

结语

随着《密码法》的颁布和实施,未来密码行业市场将更加规范,云密码服务市场的竞争和精细化也将并行展开。

北京数字认证股份有限公司(原北京数字证书认证中心,简称“数字认证”)成立于2001年2月,是北京市国有资产经营有限责任公司控股的国有企业,是国内领先的信息安全解决方案提供商,主要业务为电子认证服务、电子认证产品及可管理的信息安全服务。2016年12月,公司在创业板成功上市,股票简称:数字认证,股票代码:300579。 数字认证是高新技术企业和软件企业,是具有工业和信息化部颁发的电子认证服务许可证资质,国家密码管理局颁发的商用密码销售、使用许可资质和电子政务电子认证服务许可资质、卫生系统电子认证服务资质的电子认证服务商;是具有国家风险评估资质、国家应急处理资质、国家信息安全服务安全工程类资质和北京市信息安全服务资质的信息安全服务提供商。


文章来源: https://www.aqniu.com/vendor/69448.html
如有侵权请联系:admin#unsafe.sh