◆雷 波 王運(yùn)兵 李林嘯 周 艷

（中國(guó)電子科技集團(tuán)公司第三十研究所 四川 610041）

亞馬遜AWS的云密鑰管理分析

◆雷 波 王運(yùn)兵 李林嘯 周 艷

（中國(guó)電子科技集團(tuán)公司第三十研究所 四川 610041）

本文介紹了國(guó)外云計(jì)算及密碼應(yīng)用現(xiàn)狀，對(duì)亞馬遜AWS中的四種密鑰管理方式進(jìn)行介紹，這四種密鑰管理方式分別是：（1）用戶自己開(kāi)發(fā)密鑰管理系統(tǒng)，（2）用戶使用AWS第三方合作伙伴提供的密鑰管理解決方案，（3）用戶使用AWS提供的密鑰管理服務(wù)，（4）由CloudHSM控制密鑰并提供加密方法

AWS；云密鑰管理；亞馬遜

0 引言

亞馬遜（Amazon）于2006年3月推出彈性計(jì)算云（Elastic Compute Cloud，EC2）服務(wù)以來(lái)，云計(jì)算技術(shù)得到了飛速的發(fā)展和應(yīng)用?！霸朴?jì)算”、“云安全”迅速成為IT界最熱門(mén)的話題，國(guó)內(nèi)外各大研究機(jī)構(gòu)和廠商相繼發(fā)布了云計(jì)劃和相關(guān)的安全產(chǎn)品，密碼作為提供云計(jì)算中數(shù)據(jù)機(jī)密性保障的重要手段，也得到了飛速的發(fā)展和廣泛的應(yīng)用。

1 關(guān)于云計(jì)算

對(duì)云計(jì)算的定義有多種說(shuō)法，現(xiàn)階段廣為接受的是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）定義：云計(jì)算是一種按使用量付費(fèi)的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問(wèn)，進(jìn)入可配置的計(jì)算資源共享池（資源包括網(wǎng)絡(luò)，服務(wù)器，存儲(chǔ)，應(yīng)用軟件，服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互。

云計(jì)算是一個(gè)新興的商業(yè)計(jì)算模型，它把計(jì)算作為一種服務(wù)，利用高速互聯(lián)網(wǎng)的傳輸能力，將數(shù)據(jù)的處理過(guò)程從單個(gè)終端移到網(wǎng)絡(luò)上的計(jì)算機(jī)集群中。集群中的計(jì)算機(jī)都是很普通的工業(yè)標(biāo)準(zhǔn)服務(wù)器，他們由一個(gè)大型的數(shù)據(jù)處理中心統(tǒng)一管理，數(shù)據(jù)中心按客戶的需求分配計(jì)算資源，達(dá)到與超級(jí)計(jì)算機(jī)同樣的效果。

云計(jì)算具有超大規(guī)模、虛擬化、高可靠性、通用性、高擴(kuò)展性、按需服務(wù)、極其廉價(jià)的特性，使得云計(jì)算得到了飛速的發(fā)展和廣泛的應(yīng)用。云讓用戶在快速推出新服務(wù)和擴(kuò)展IT基礎(chǔ)設(shè)施時(shí)具有更好的靈活性和更高的效率，但由于云計(jì)算的特性，使得用戶缺乏對(duì)IT基礎(chǔ)設(shè)施的物理控制，缺少明確定義的入口和出口點(diǎn)，給信息安全保密帶來(lái)了性的挑戰(zhàn)：混合存儲(chǔ)在數(shù)據(jù)中心的多租戶數(shù)據(jù)如何隔離、如何對(duì)多租戶進(jìn)行授權(quán)、快照和備份如何管理、如何防止數(shù)據(jù)泄露等。盡管解決這些問(wèn)題有多種方式，但專(zhuān)家們一致認(rèn)為仍然是云計(jì)算中為數(shù)據(jù)提供機(jī)密性、完整性保護(hù)的有效手段，密鑰的安全是云計(jì)算中的數(shù)據(jù)加密安全的核心。

2 國(guó)外云計(jì)算及密碼應(yīng)用現(xiàn)狀

美國(guó)將云計(jì)算技術(shù)產(chǎn)業(yè)定位為維持國(guó)家核心競(jìng)爭(zhēng)力的重要手段之一，在制定的一系列云計(jì)算政策中，明確指出加大政府采購(gòu)，積極培育市場(chǎng)。通過(guò)強(qiáng)制政府采購(gòu)和制定技術(shù)架構(gòu)來(lái)推進(jìn)云計(jì)算技術(shù)進(jìn)步和產(chǎn)業(yè)落地發(fā)展。美國(guó)軍隊(duì)、國(guó)防部、農(nóng)業(yè)部、教育部等部門(mén)都已經(jīng)應(yīng)用了云計(jì)算服務(wù)。美國(guó)在2011年出臺(tái)的《聯(lián)邦云計(jì)算戰(zhàn)略》中明確提出鼓勵(lì)創(chuàng)新，積極培育市場(chǎng)，構(gòu)建云計(jì)算生態(tài)系統(tǒng)，推動(dòng)產(chǎn)業(yè)鏈協(xié)調(diào)發(fā)展。

歐盟委員會(huì)在2012年9月啟動(dòng)“釋放歐洲云計(jì)算潛力”的戰(zhàn)略計(jì)劃，包括篩選和精簡(jiǎn)眾多技術(shù)標(biāo)準(zhǔn)、為云計(jì)算服務(wù)制定安全和公平的標(biāo)準(zhǔn)規(guī)范等，同時(shí)明確市場(chǎng)政策，確立歐洲云計(jì)算市場(chǎng)，促使歐洲云服務(wù)提供商擴(kuò)大業(yè)務(wù)范圍并提供性價(jià)比高的在線管理服務(wù)。

在云計(jì)算技術(shù)快速發(fā)展和應(yīng)用的同時(shí)，密碼在云計(jì)算中的應(yīng)用也得到了飛速的發(fā)展，除了傳統(tǒng)的安全廠商推出云計(jì)算環(huán)境下的密碼產(chǎn)品，也涌現(xiàn)眾多專(zhuān)門(mén)為云計(jì)算提供密碼產(chǎn)品的安全廠商，為云計(jì)算中的數(shù)據(jù)安全提供了基于密碼的技術(shù)支撐。如Safenet、Cipher Cloud、Afore、Bloom Base等公司。

3 AWS的云密鑰管理

亞馬遜AWS作為具有代表性的公有云服務(wù)，為云計(jì)算的各個(gè)層次提供了多種數(shù)據(jù)加密方法，形成完整的云計(jì)算密碼產(chǎn)品體系，其云密碼服務(wù)覆蓋IaaS、PaaS、SaaS。

亞馬遜AWS根據(jù)誰(shuí)管理密鑰、誰(shuí)提供加密方法，將云計(jì)算環(huán)境中的密碼應(yīng)用分為四種場(chǎng)景。

3.1 用戶自己開(kāi)發(fā)密鑰管理系統(tǒng)

這種場(chǎng)景用戶自己開(kāi)發(fā)密鑰管理系統(tǒng)，并將密鑰管理系統(tǒng)部署在用戶的本地網(wǎng)絡(luò)或AWS云環(huán)境中，細(xì)分為三種模式：

（1）用戶使用自己的密鑰管理系統(tǒng)，并且使用自己的加密設(shè)備或加密應(yīng)用對(duì)數(shù)據(jù)加密后存儲(chǔ)在云環(huán)境中。

圖1 使用自己的密鑰管理系統(tǒng)和加密應(yīng)用

（2）用戶使用自己的密鑰管理系統(tǒng)管理密鑰，采用AWS提供的S3（Simple Storage System）客戶端加密程序和用戶提供的密鑰對(duì)數(shù)據(jù)進(jìn)行加密。

圖2 使用自己的密鑰管理系統(tǒng)和S3客戶端加密

（3）用戶使用自己的密鑰管理系統(tǒng)管理密鑰，采用AWS提供的S3（Simple Storage System）服務(wù)端加密程序和用戶提供的密鑰對(duì)數(shù)據(jù)進(jìn)行加密。用戶提供的密鑰在S3 WEB Server上使用后就立即刪除，用戶下載數(shù)據(jù)時(shí)同樣需要提供密鑰給S3 WEB Server解密數(shù)據(jù)。

圖3 使用自己的密鑰管理系統(tǒng)和S3服務(wù)端加密

這種場(chǎng)景下用戶適合具有較強(qiáng)開(kāi)發(fā)能力的機(jī)構(gòu)或企業(yè)，通常是已經(jīng)部署有自己的密鑰管理設(shè)備，并且有自己的加密應(yīng)用，使用自己的密鑰管理系統(tǒng)有利于保護(hù)現(xiàn)有的投資；用戶可以對(duì)密鑰存儲(chǔ)和密鑰的使用有更強(qiáng)的管理控制。這種用戶管理密鑰的缺點(diǎn)在于：不同地點(diǎn)復(fù)制的多份數(shù)據(jù)將導(dǎo)致潛在的費(fèi)用；培養(yǎng)新的開(kāi)發(fā)人員來(lái)使用這些密鑰管理系統(tǒng)時(shí)需要較大的投入；對(duì)密鑰的管理和訪問(wèn)審計(jì)比較困難。

3.2 用戶使用AWS第三方合作伙伴提供的密鑰管理解決方案

AWS第三方合作伙伴提供的密鑰管理解決方案相關(guān)產(chǎn)品可以從AWS Marketplace購(gòu)買(mǎi)下載，可按照小時(shí)、月或年收費(fèi)，費(fèi)用將自動(dòng)計(jì)入AWS賬單。具有代表性的AWS第三方合作供應(yīng)商有Safenet、趨勢(shì)科技、Vormetric等。

第三方合作伙伴的密鑰管理產(chǎn)品可部署在用戶本地網(wǎng)絡(luò)，也可以部署在AWS云環(huán)境中，使用用戶自己開(kāi)發(fā)的加密應(yīng)用系統(tǒng)或密碼設(shè)備實(shí)現(xiàn)對(duì)數(shù)據(jù)在云上的加密存儲(chǔ)。

圖4 使用第三方合作伙伴解決方案

3.3 用戶使用AWS提供的密鑰管理服務(wù)

AWS密鑰管理服務(wù)使得用戶可以方便的創(chuàng)建、控制、更換和使用用戶的加密密鑰。AWS密鑰管理服務(wù)已經(jīng)集成在AWS SDK和Amazon EBS、Amazon S3和Amazon Redshift等AWS服務(wù)中，使得用戶可以方便的創(chuàng)建、控制、更換和使用用戶的加密密鑰；同時(shí)為了幫助用戶規(guī)范的使用密鑰管理服務(wù)，AWS密鑰管理服務(wù)也集成在AWS CloudTrail中為用戶提供可審計(jì)的日志。

AWS密鑰管理服務(wù)采用兩層信封加密方式，采用全局唯一的數(shù)據(jù)加密密鑰保護(hù)用戶數(shù)據(jù)，采用AWS KMS用戶主密鑰（Customer Master Key（s））保護(hù)用戶的數(shù)據(jù)加密密鑰。采用信封式加密具有如下優(yōu)點(diǎn)：

（1）可以有效降低泄露數(shù)據(jù)加密密鑰的風(fēng)險(xiǎn)。

（2）在加密大數(shù)據(jù)時(shí)具有良好的性能優(yōu)勢(shì)。

（3）相對(duì)于上百萬(wàn)的數(shù)據(jù)加密密鑰，只需要管理少量的用戶的主密鑰。

AWS密鑰管理服務(wù)參考架構(gòu)如圖5所示。

圖5 AWS密鑰管理服務(wù)參考架構(gòu)

AWS KMS為用戶密鑰提供如下的安全保證：

（1）密鑰明文不會(huì)長(zhǎng)久存儲(chǔ)在運(yùn)行系統(tǒng)的內(nèi)存中。

（2）自動(dòng)為用戶更換密鑰。

（3）區(qū)分主密鑰、數(shù)據(jù)加密密鑰在不同系統(tǒng)之間的作用。

（4）系統(tǒng)維護(hù)時(shí)采用多方管控來(lái)保證用戶主密鑰的安全。

3.4 由CloudHSM控制密鑰并提供加密方法

CloudHSM（Cloud Hardware Security Module）是一種通過(guò)第三方認(rèn)證的用于密鑰存儲(chǔ)和密碼運(yùn)算的硬件設(shè)備，為私有密鑰提供強(qiáng)保護(hù)：不能通過(guò)控制物理設(shè)備獲取用戶密鑰；應(yīng)用管理員也不能訪問(wèn)密鑰。

CloudHSM采用Safenet公司的Luna SA，部署在AWS的數(shù)據(jù)中心，由AWS管理。使用CloudHSM管理密鑰，可確保只有用戶自己才能訪問(wèn)和管理用戶的密鑰；CloudHSM部署在用戶的亞馬遜VPC內(nèi)，與其他網(wǎng)絡(luò)隔離。

圖6 由CloudHSM管理密鑰

CloudHSM目前僅在全球的七個(gè)亞馬遜數(shù)據(jù)中心部署（美國(guó)東部（弗吉尼亞北部）、美國(guó)西部（俄勒岡）、AWS GovCloud（美國(guó)）、歐洲（愛(ài)爾蘭）、歐洲（法蘭克福）、亞太區(qū)域（悉尼）、亞太區(qū)域（新加坡）和亞太區(qū)域（東京））。CloudHSM的典型應(yīng)用方式有AmaZon Redshift、與第三方軟件集成以及用戶自主開(kāi)發(fā)的應(yīng)用。

4 結(jié)語(yǔ)

目前云計(jì)算在國(guó)內(nèi)正處于蓬勃發(fā)展階段，但云密碼的發(fā)展和應(yīng)用則落后于云計(jì)算的應(yīng)用。云計(jì)算領(lǐng)域急需云密碼相關(guān)應(yīng)用和云密鑰管理相關(guān)產(chǎn)品以填補(bǔ)市場(chǎng)空白，支撐云計(jì)算中加密應(yīng)用的發(fā)展，為我國(guó)云計(jì)算的信息安全提供技術(shù)支撐。

[1]Ken Beer.SEC301：Encryption and Key Management in AWS.Amazon，2014.

[2]Ken Beer.SEC304：Encryption and Key Management in AWS.Amazon，2013.

[3]Ken Beer and Ryan Holland.Securing Data at Rest with Encryption.