电讯盈科的云服务需要了解什么是加密

网络功能虚拟化(NFV)时代的一个主要干扰因素是电信云服务的扩展。 基于云的服务提供了巨大的好处，如可伸缩性、成本性能、中心和易于管理。 然而，这些服务是使用共享资源的集中信息存储库，这使得它们成为攻击者的主要目标。

这些共享资源包括计算或云存储服务器，单个服务器中的漏洞可能导致完整的信息泄漏和妥协。 因此，安全行业专家正在探索防火墙和加密等技术，以保护云服务和平台。 随着越来越多的电信云服务实现这些技术，了解当前的选项是很重要的。

加密使用密码密钥将明文（也称为人类可读数据）转换为不可读文本。 同样，加密数据的解密需要一个各自的密码密钥将其转换为其原始形式。 数据加密保证了数据的安全性和完整性.. 没有密钥，数据不能被攻击者或未经授权的用户解密，除非密钥已经被破坏。 加密可以应用于两种类型的数据：在运输中和在休息时。

过境数据包括跨越互联网和系统接口的数据，这些数据可以是系统外部的，也可以是服务器和软件应用程序编程接口(API)之间的内部数据。 它可以使用HTTPS、TLS、IPSec等加密，这对于防止未经授权的用户拦截至关重要。

数据在REST也意味着数据在存储，包括存储节点和可移动存储介质。 数据在REST加密可以应用到特定的数据文件或所有存储的数据.. 端到端加密是对数据进行加密的一种手段，因此它只能在端点处解密。 在传输过程中通过加密数据对云服务进行接口，可以消除服务器访问的可能性，而不需要适当的密钥-只有发送方和接收方可以通过这些接口解密消息。

加密也可以应用于云系统，以启用授权用户访问，以及用于外部接口上的系统访问，并保护存储在云系统上的敏感数据。 没有密码密钥，丢失或被盗数据无法访问。

加密的服务器数据也使攻击者在休息时访问数据的机会最小化。 即使他们访问了加密的服务器数据，攻击者也无法“读取”数据或破坏它，而没有密钥来解密它。 因此，在静止状态下加密数据是稳健云数据安全的关键要素。

一种专门设计用于保护密码密钥生命周期的专用密码处理器，硬件安全模块(HSM)保护和管理数字密钥以进行强身份验证，并提供密码处理。

传统上，HSMS要么是插件卡，要么是连接到计算机或网络服务器的外部设备。 由于这些模块通常是关键任务信息技术基础设施的一部分，它们通常是为高可用性而分组的，包括双电源模块。

云运营商在HSM中保留其主要的项目秘密密钥，称为密钥加密密钥(KE K)，使用PKCS#11协议通过密码插件与Barbican进行交互。 一个用于确保存储、供应和管理秘密的RESTAPI，Barbican是一个Open Stack项目，使用户能够构建安全的、云准备的密钥管理系统。

这些系统允许管理敏感信息，如对称和非对称密钥以及原始秘密。 在HSM中，秘密被加密，然后在检索时由特定于项目的KEK解密。 例如，HSM将每个服务生成一个加密密钥来加密存储卷。

另一个Open Stack项目是Keystone，它提供集中式API客户端身份验证、服务发现和分布式多租户授权。 keystone在访问任何其他服务之前首先对用户进行身份验证。 它还可以使用外部身份验证系统，如LDAP或TACACS。 一旦成功认证，用户将获得包含在服务请求中的临时令牌。 用户接收服务访问当且仅当令牌被验证并且如果用户有适当的角色..

首先，Barbican验证keystone身份验证令牌以识别用户和项目访问或存储秘密。 然后，它应用策略来确定是否授权访问。

巴比康用唯一的超链接取代敏感信息，如数据库密码，这些超链接被安全地存储起来，以便以后检索。 它用HSMS等专用加密设备加密敏感数据，以提供更高的安全性。

如前所述，密码插件用于通过PKCS#11协议与HSM通信。 此协议指定一个API，称为“Cryptoki”，用于携带密码信息并执行技术无关的密码功能的设备。

基于虚拟机(VM)或容器的云系统使用体积存储。 因此，卷加密对于确保VM数据和物理存储介质不被攻击者窃取、泄露和访问至关重要。 非加密的VM数据会有攻击者闯入容量托管平台并访问许多不同VM的数据的风险。

加密卷功能的目标是在VM数据写入卷/存储（传输中的数据)之前对其进行加密，从而在存储设备上驻留时保持数据保护(数据处于静止状态）。

随着telco云N FV服务的持续增长，数据泄漏的可能性增加，因此需要关注和适当的解决方案.. 加密内部和外部接口、数据和卷、动态密钥管理等是降低数据泄漏和信息窃听风险的关键步骤。