Haideți să explorăm împreună conceptul de criptografie în cloud, diferitele sale forme și implementarea sa în Google Cloud.
Subcategorie a IaaS, cloud computing-ul a depășit stadiul de simplă tendință. Acesta reprezintă o forță dominantă, atât persoanele fizice, cât și companiile și guvernele folosind servicii cloud pentru a simplifica complexitatea infrastructurii IT locale.
Cloud-ul este sinonim cu confort, eficiență economică și scalabilitate.
Mai exact, cloud computing înseamnă utilizarea resurselor de calcul, cum ar fi spațiul de stocare, memoria RAM și puterea de procesare, prin intermediul internetului, fără a fi nevoie să le găzduim fizic.
Un exemplu cotidian este Google Drive sau Yahoo Mail. Avem încredere în aceste companii cu informațiile noastre, uneori sensibile, personale sau profesionale.
De regulă, utilizatorul obișnuit nu se preocupă de confidențialitatea sau securitatea cloud computing-ului. Dar, orice persoană informată despre practicile de supraveghere din trecut sau atacurile cibernetice sofisticate recente, ar trebui să fie atentă și să se documenteze asupra acestei problematici.
Ce reprezintă criptografia în cloud?
Criptografia în cloud răspunde acestei nesiguranțe prin criptarea datelor stocate în cloud, pentru a preveni accesul neautorizat.
Criptarea este o metodă prin care se utilizează un cifru (algoritm) pentru a transforma informațiile standard într-o versiune codificată. Astfel, chiar dacă un atacator ar accesa datele, nu le-ar putea înțelege.
Există diferite tipuri de criptare, adaptate la diverse scenarii. De aceea, este esențial să se folosească un cifru puternic pentru protejarea datelor în cloud.
De exemplu, înțelegeți următorul text:
Iggmhnctg rtqfwegu jkij-swcnkva vgejpqnqia & hkpcpeg ctvkengu, ocmgu vqqnu, cpf CRKu vq jgnr dwukpguugu cpf rgqrng itqy.
Nu, nu-i așa?
Poate fi un puzzle pentru creierul uman, dar cu orice decodor Caesar, ar fi rezolvat în câteva secunde:
Chiar și cineva familiarizat cu cifrul Caesar poate observa că literele din textul cifrat sunt cu două poziții înaintea omologilor lor din textul simplu.
Deci, ideea este să se utilizeze un cifru robust, cum ar fi AES-256.
Cum funcționează criptografia în cloud?
Din cele discutate anterior, s-ar putea înțelege că utilizatorul este cel care alege un cifru pentru criptarea datelor.
Teoretic, acest lucru este posibil. Totuși, furnizorul de servicii cloud oferă, de regulă, criptare nativă sau utilizează criptare ca serviciu, de la o terță parte.
Prin urmare, vom analiza implementarea în două categorii.
#1. Criptarea la nivelul platformei cloud
Aceasta este metoda cea mai simplă, în care furnizorul de servicii cloud se ocupă de criptare.
În general, aceasta se aplică:
Datelor în repaus
Aici, datele sunt stocate în format criptat înainte de a fi transferate în containerele de stocare sau ulterior.
Criptografia în cloud fiind o abordare relativ nouă, nu există o metodă standard de a o implementa. Deși multe studii de cercetare testează diverse metode, esențială este aplicarea practică.
Deci, cum protejează un furnizor de top, cum ar fi Google Cloud, datele în repaus?
Conform documentației Google, datele sunt fragmentate în grupuri mici de câțiva gigaocteți, răspândite în containerele de stocare pe diverse servere. Un container poate conține date ale aceluiași utilizator sau ale unor utilizatori diferiți.
Mai mult, fiecare fragment este criptat individual, chiar dacă se află în același container și aparține aceluiași utilizator. Asta înseamnă că, dacă o cheie de criptare aferentă unui anumit fragment este compromisă, restul fișierelor rămân protejate.
Sursa: Google Cloud
În plus, cheia de criptare este schimbată de fiecare dată când datele sunt modificate.
Datele, la acest nivel de stocare, sunt criptate cu AES-256, cu excepția unor discuri persistente create înainte de 2015, care folosesc criptarea AES-128 biți.
Deci, acesta este primul strat de criptare – la nivelul fiecărui fragment.
Ulterior, unitățile de stocare hard disk (HDD) sau solid state drive (SSD), care găzduiesc fragmentele, sunt criptate cu un alt strat de criptare AES-256 biți, unele HDD mai vechi utilizând încă AES-128. Este important de reținut că cheile de criptare la nivel de dispozitiv sunt diferite de cele de la nivelul stocării.
Toate aceste chei de criptare a datelor (DEK) sunt, mai departe, criptate cu chei de criptare a cheilor (KEK), care sunt gestionate central de Serviciul de Gestionare a Cheilor (KMS) de la Google. Toate KEK-urile folosesc criptare AES-256/AES-128 biți și cel puțin un KEK este asociat cu fiecare serviciu cloud Google.
Aceste KEK-uri sunt rotate cel puțin o dată la fiecare 90 de zile, folosind biblioteca criptografică comună a Google.
Fiecare KEK are o copie de rezervă, este monitorizat ori de câte ori este utilizat și este accesibil doar personalului autorizat.
Mai departe, toate KEK-urile sunt criptate din nou cu criptare AES-256 biți, generând cheia principală KMS, stocată într-o altă infrastructură de gestionare a cheilor, numită Root KMS, care stochează un număr limitat de astfel de chei.
Acest Root KMS este gestionat pe servere dedicate, în fiecare centru de date Google Cloud.
Apoi, acest KMS rădăcină este criptat cu AES-256, creând o singură cheie principală KMS rădăcină, stocată într-o infrastructură peer-to-peer.
O instanță Root KMS rulează pe fiecare distribuitor de chei principale KMS rădăcină, care păstrează cheia în memoria RAM.
Fiecare nouă instanță a distribuitorului de chei principale KMS rădăcină este autorizată de instanțele deja existente, pentru a preveni utilizarea neautorizată.
În plus, pentru a gestiona situația în care toate instanțele distribuitorului trebuie să pornească simultan, cheia principală KMS rădăcină este stocată și în două locații fizice.
În final, mai puțin de 20 de angajați Google au acces la aceste locații, cu acces strict limitat.
Astfel, Google aplică criptografia în cloud pentru datele în repaus.
Totuși, dacă preferați să gestionați cheile singuri, aveți această opțiune. Alternativ, se poate adăuga un alt strat de criptare și se pot administra propriile chei. Trebuie însă să fiți conștienți că pierderea acestor chei înseamnă și pierderea accesului la propriul proiect web.
Trebuie ținut cont că nu toți furnizorii de cloud oferă acest nivel de detaliu. Deoarece Google percepe un cost mai ridicat pentru serviciile sale, este posibil să găsiți un alt furnizor, mai accesibil, care să se potrivească cerințelor dumneavoastră specifice.
Date în tranzit
Aici, datele se deplasează în interiorul centrului de date al furnizorului de cloud sau în afara acestuia, cum ar fi atunci când le încărcați de pe computerul personal.
Din nou, nu există o modalitate standard de a proteja datele în tranzit, așadar, vom examina implementarea Google Cloud.
Documentul de referință, Criptarea în tranzit, specifică trei măsuri pentru securizarea datelor aflate în mișcare: autentificare, criptare și verificare a integrității.
În interiorul centrului său de date, Google protejează datele în tranzit prin autentificarea punctului final și confirmarea integrității, cu criptare opțională.
Deși utilizatorul poate opta pentru măsuri suplimentare, Google asigură un nivel înalt de securitate la sediul său, cu acces extrem de controlat acordat unui număr limitat de angajați.
În afara granițelor sale fizice, Google adoptă o abordare diferențiată pentru propriile servicii cloud (cum ar fi Google Drive) și pentru orice aplicație client găzduită în cloud (cum ar fi orice site web care rulează pe platforma sa de calcul).
În primul caz, tot traficul este direcționat, mai întâi, către un punct de control numit Google Front End (GFE), utilizând Transport Layer Security (TLS). Apoi, traficul beneficiază de protecție DDoS, echilibrare a sarcinii pe servere și, în final, este redirecționat către serviciul Google Cloud dorit.
În al doilea caz, responsabilitatea de a asigura securitatea datelor în tranzit revine, în principal, proprietarului infrastructurii, cu excepția cazului în care acesta folosește un alt serviciu Google (cum ar fi Cloud VPN) pentru transferul de date.
În general, TLS este utilizat pentru a garanta că datele nu au fost modificate în timpul transferului. Acesta este același protocol utilizat implicit atunci când accesați orice site web prin HTTPS, simbolizat printr-o pictogramă de lacăt în bara de adresă URL.
Deși este folosit în mod frecvent de browserele web, îl puteți aplica și altor aplicații, cum ar fi e-mail, apeluri audio/video, mesagerie instantanee etc.
Totuși, pentru standarde superioare de criptare, există rețele private virtuale, care oferă mai multe straturi de securitate cu cifruri avansate, cum ar fi AES-256.
Însă, implementarea criptografiei în cloud pe cont propriu este dificilă, ceea ce ne aduce la…
#2. Criptarea ca serviciu (Encryption-as-a-Service – EAAS)
Aici, protocoalele de securitate implicite ale platformei cloud sunt insuficiente sau inexistente pentru anumite cazuri de utilizare.
O soluție optimă, ar fi să gestionați totul singur și să asigurați securitatea datelor la nivel de întreprindere. Dar acest lucru este mai ușor de zis decât de făcut și anulează abordarea simplă și eficientă pentru care ați optat folosind cloud computing-ul.
Prin urmare, rămâne ca alternativă utilizarea serviciilor Encryption-as-a-Service (EAAS), cum ar fi CloudHesive. Similar cu utilizarea cloud computing-ului, de data aceasta, „împrumutați” criptarea, nu resurse precum CPU, RAM, stocare etc.
În funcție de furnizorul EAAS, beneficiați de criptare pentru datele în repaus și în tranzit.
Avantajele și dezavantajele criptografiei în cloud
Cel mai evident avantaj este securitatea. Criptografia în cloud asigură că datele utilizatorilor rămân protejate de atacurile cibernetice.
Deși criptografia în cloud nu poate preveni toate tipurile de atacuri, este un pas esențial pentru a vă asigura că ați luat măsurile de precauție necesare, în cazul în care ceva nu merge bine.
În ceea ce privește dezavantajele, primul este costul și timpul necesar pentru a actualiza cadrul de securitate existent. În plus, există puține lucruri care vă pot ajuta, dacă pierdeți accesul la cheile de criptare pe care le gestionați singur.
De asemenea, deoarece este o tehnologie în continuă dezvoltare, găsirea unui furnizor EAAS validat în timp nu este o sarcină ușoară.
În concluzie, cea mai bună abordare este să utilizați un furnizor de servicii cloud de încredere și să beneficiați de mecanismele de criptare native.
Concluzie
Sperăm că acest articol v-a oferit o imagine de ansamblu asupra conceptului de criptografie în cloud. Pentru a rezuma, aceasta se referă la securitatea datelor legate de cloud, inclusiv atunci când acestea sunt transferate în afara limitelor sale.
Majoritatea furnizorilor de top, cum ar fi Google Cloud, Amazon Web Services etc., oferă securitate adecvată pentru majoritatea scenariilor. Cu toate acestea, este important să înțelegeți terminologia tehnică, înainte de a vă găzdui aplicațiile critice.
PS: Vă recomandăm să consultați și câteva soluții de optimizare a costurilor în cloud pentru AWS, Google Cloud, Azure etc.