Un ghid introductiv și studiu de caz Google Cloud

Alăturați-vă mie pentru a explora Cloud Cryptography, tipurile sale și implementarea Google Cloud.

Un subset al IaaS, cloud computing este cu mult înaintea fazei de cuvinte la modă. Este o forță dominantă cu indivizii, întreprinderile și guvernele care folosesc servicii cloud pentru a reduce problemele unei stive de tehnologie la nivel local.

Cloud este simbolul confortului, economiei și scalabilității.

Mai simplu spus, cloud computing este atunci când împrumuți resurse de calcul precum stocarea, RAM, CPU etc., prin internet, fără a găzdui fizic nimic.

Un exemplu de viață de zi cu zi este Google Drive sau Yahoo Mail. Avem încredere în aceste companii cu date – uneori informații sensibile personale sau legate de afaceri.

În general, un utilizator obișnuit nu se deranjează cu privire la confidențialitatea sau securitatea cloud computing. Dar oricine este informat decent despre istoria supravegherii sau actualele atacuri cibernetice sofisticate trebuie să ridice garda sau măcar să fie informat despre situația în cauză.

Ce este Cloud Criptography?

Criptografia în cloud abordează acest sentiment de nesiguranță prin criptarea datelor stocate în cloud pentru a preveni accesul neautorizat.

Criptarea este o tehnică de utilizare a unui cifr (algoritm) pentru a converti informațiile standard într-o versiune codificată. În acest caz, atacatorul nu va înțelege detaliile, chiar dacă este expus.

Există diferite tipuri de criptări în funcție de cazul de utilizare. Prin urmare, este important să folosiți un cifr de calitate pentru criptarea datelor în cloud.

De exemplu, puteți înțelege următorul text:

Iggmhnctg rtqfwegu jkij-swcnkva vgejpqnqia & hkpcpeg ctvkengu, ocmgu vqqnu, cpf CRKu vq jgnr dwukpguugu cpf rgqrng itqy.

Nu!

Ar putea fi un puzzle pentru un creier uman, dar folosește orice decodor Caesar și îl vor despărți în câteva secunde:

Chiar și cineva care cunoaște criptul Caesar poate vedea că toate literele din textul cifrat sunt cu două alfabete înaintea omologilor lor în text simplu.

Deci, ideea este să folosiți un cifr puternic, precum cel al AES-256.

Cum funcționează Cloud Cryptography?

Ultimele rânduri din secțiunea anterioară ar fi dat impresia că veți alege un cifr pentru a cripta datele.

Tehnic, poate funcționa așa. Dar, în mod normal, furnizorul de servicii cloud permite criptarea nativă sau beneficiați de criptare ca serviciu de la o terță parte.

Deci, vom împărți acest lucru în două categorii și vom vedea implementarea.

#1. Criptare pe platforma Cloud

Aceasta este cea mai simplistă metodă prin care furnizorul de servicii cloud reputat se ocupă de criptare.

În mod ideal, acest lucru se aplică:

Date în repaus

Acesta este momentul în care datele sunt stocate în formă criptată înainte de a fi transferate în containerele de stocare sau ulterior.

Deoarece criptografia în cloud este o abordare nouă, nu există un mod predefinit de a face lucrurile. Există multe publicații de cercetare care testează diferite metode, dar ceea ce este crucial este aplicarea în viața reală.

Deci, cum protejează o companie de infrastructură cloud de top precum Google Cloud datele în repaus?

Conform Înregistrările Google, ei împart datele în grupuri mici de câțiva gigaocteți răspândiți în containerele lor de stocare pe diferite mașini. Orice container specific poate conține date ale aceluiași utilizatori sau ale diferiților utilizatori.

Mai mult, fiecare pachet este criptat individual, chiar dacă stau în același container și aparțin unui singur utilizator. Aceasta înseamnă că, dacă cheia de criptare aferentă unui pachet este compromisă, celelalte fișiere vor rămâne în siguranță.

Sursa: Google Cloud

În plus, cheia de criptare este schimbată cu fiecare actualizare a datelor.

Datele la acest nivel de stocare sunt criptate cu AES-256, cu excepția câtorva discuri persistente create înainte de 2015 folosind criptarea AES-128 biți.

Deci acesta este primul strat de criptare – la nivel de pachet individual.

În continuare, unitățile de hard disk (HDD) sau unitățile cu stare solidă (SSD) care găzduiesc aceste bucăți de date sunt criptate cu un alt strat de criptare AES-256 de biți, unele HHD moștenite încă utilizând AES-128. Vă rugăm să rețineți că cheile de criptare la nivel de dispozitiv sunt diferite de criptarea la nivel de stocare.

Acum toate aceste chei de criptare a datelor (DEK) sunt criptate în continuare cu chei de criptare a cheilor (KEK), care sunt apoi gestionate central de Serviciul de gestionare a cheilor (KMS) de la Google. În special, toate KEK-urile folosesc criptarea AES-256/AES-128 biți și cel puțin un KEK este asociat cu fiecare serviciu cloud Google.

Aceste KEK sunt rotite cel puțin o dată la interval de 90 de zile folosind biblioteca criptografică comună a Google.

Fiecare KEK este copiat de rezervă, urmărit de fiecare dată când cineva îl folosește și poate fi accesat numai de personalul autorizat.

În continuare, toate KEK-urile sunt criptate din nou cu criptare AES-256 biți generând cheia principală KMS stocată într-o altă facilitate de gestionare a cheilor, numită Root KMS, care stochează o mână de astfel de chei.

Acest Root KMS este gestionat pe mașini dedicate din fiecare centru de date Google Cloud.

Acum, acest KMS rădăcină este criptat cu AES-256, creând o singură cheie principală KMS rădăcină stocată în infrastructura peer-to-peer.

O instanță Root KMS rulează pe fiecare distribuitor de chei principale KMS rădăcină care deține cheia în memoria cu acces aleatoriu.

Fiecare instanță nouă a distribuitorului de chei principale KMS rădăcină este aprobată de instanțe care rulează deja pentru a evita jocul greșit.

În plus, pentru a gestiona condiția în care toate instanțele distribuitorului trebuie să pornească simultan, cheia principală KMS rădăcină este, de asemenea, salvată în doar două locații fizice.

Și, în sfârșit, mai puțin de 20 de angajați Google au acces la aceste locații foarte clasificate.

Așadar, Google practică criptografia în cloud pentru datele în repaus.

Dar dacă vrei să iei lucrurile în propriile mâini, poți gestiona singur cheile. Alternativ, se poate adăuga un alt strat de criptare peste acesta și se poate auto-administra cheile. Cu toate acestea, ar trebui să vă amintiți că pierderea acestor chei înseamnă, de asemenea, a fi blocat din propriul proiect web.

Totuși, nu ar trebui să ne așteptăm la acest nivel de detaliu de la toți ceilalți furnizori de cloud. Întrucât Google percepe o primă pentru serviciile sale, ați putea beneficia de un alt furnizor care costă mai puțin, dar care se potrivește modelului dvs. de amenințare specific.

Date în tranzit

Aici datele călătoresc în centrul de date al furnizorului de cloud sau în afara granițelor acestuia, cum ar fi atunci când le încărcați de pe propriul computer.

Din nou, nu există o modalitate fermă de a proteja datele în tranzit, așa că vom vedea implementarea în cloud Google.

Cartea albă în acest sens, criptare în tranzitprevede trei măsuri pentru a securiza datele non-staționare: autentificare, criptare și verificare a integrității.

În centrul său de date, Google securizează datele în tranzit prin autentificarea punctului final și confirmarea integrității cu criptare opțională.

În timp ce un utilizator poate opta pentru măsuri suplimentare, Google confirmă securitate de top la sediul său, cu acces extrem de monitorizat acordat unora dintre angajații săi.

În afara limitelor sale fizice, Google adoptă o politică diferențială pentru propriile servicii cloud (cum ar fi Google Drive) și pentru orice aplicație client găzduită în cloud (cum ar fi orice site web care rulează pe motorul său de calcul).

În primul caz, tot traficul merge mai întâi la punctul de control cunoscut sub numele de Google Front End (GFE) folosind Transport Layer Security (TLS). Ulterior, traficul primește atenuare DDoS, echilibrare a încărcăturii pe servere și în cele din urmă este direcționat către serviciul Google Cloud destinat.

Pentru al doilea caz, responsabilitatea de a asigura securitatea datelor în tranzit revine în principal proprietarului infrastructurii, cu excepția cazului în care acesta nu utilizează un alt serviciu Google (cum ar fi Cloud VPN) pentru transferul de date.

În general, TLS este adoptat pentru a se asigura că datele nu au fost modificate pe parcurs. Acesta este același protocol folosit în mod implicit atunci când vă conectați la orice site web folosind HTTPS, simbolizat de o pictogramă de lacăt în bara de adrese URL.

Deși este folosit în mod obișnuit în toate browserele web, îl puteți aplica și altor aplicații precum e-mail, apeluri audio/video, mesagerie instantanee etc.

Cu toate acestea, pentru standardele finale de criptare, există rețele private virtuale care oferă din nou mai multe straturi de securitate cu cifruri de criptare avansate, cum ar fi AES-256.

Dar implementarea criptografiei în cloud pe cont propriu este dificilă, ceea ce ne duce la…

#2. Criptare-As-A-Service

Aici protocoalele de securitate implicite de pe platforma dvs. cloud sunt slabe sau absente pentru anumite cazuri de utilizare.

Una dintre cele mai bune soluții, evident, este să supravegheați totul singur și să asigurați securitatea datelor la nivel de întreprindere. Dar acest lucru este mai ușor de spus decât de făcut și elimină abordarea fără bătăi de cap pentru care cineva optează pentru cloud computing.

Deci, ne lasă să folosim Encryption-as-a-service (EAAS), cum ar fi CloudHesive. Similar cu utilizarea cloud computingului, de data aceasta, „împrumutați” criptarea și nu CPU, RAM, stocare etc.

Pe baza furnizorului EAAS, puteți beneficia de criptare pentru datele în repaus și în tranzit.

Avantajele și dezavantajele criptografiei în cloud

Cel mai pronunțat avantaj este securitatea. Practicarea criptografiei în cloud asigură ca datele utilizatorilor să rămână departe de infractorii cibernetici.

Deși criptografia în cloud nu poate opri orice hack, este vorba despre a-ți face partea și de a avea o justificare adecvată dacă lucrurile merg prost.

Venind la dezavantaje, primul este costul și timpul de care are nevoie pentru a actualiza cadrul de securitate existent. În plus, există puține lucruri care vă pot ajuta dacă pierdeți accesul la cheile de criptare în timp ce vă gestionați singur.

Și deoarece aceasta este o tehnologie în curs de dezvoltare, găsirea unui EAAS testat în timp nu este nici ușoară.

În concluzie, cel mai bun pariu este să folosiți un furnizor de servicii cloud reputat și să utilizați mecanismele criptografice native.

Încheierea

Sperăm că acest lucru vă poate oferi o privire asupra criptografiei în cloud. Pentru a rezuma, este vorba despre securitatea datelor legate de cloud, inclusiv atunci când călătorește în exterior.

Majoritatea companiilor de infrastructură cloud de top, cum ar fi Google Cloud, Amazon Web Services etc., au o securitate adecvată pentru cazurile de utilizare maxime. Cu toate acestea, nu este rău să parcurgeți jargonul tehnic înainte de a vă găzdui aplicațiile critice cu nimeni.

PS: Consultați câteva soluții de optimizare a costurilor în cloud pentru AWS, Google Cloud, Azure etc.