การแพร่กระจายของบริการคอมพิวเตอร์คลาวด์ถือเป็นอุปสรรคสำคัญในยุคของ Network Functions Virtualization (NFV) บริการบนคลาวด์ให้ประโยชน์มากมาย เช่น ความสามารถในการปรับขนาด ประสิทธิภาพด้านต้นทุน การจัดการจากส่วนกลางและง่ายดาย อย่างไรก็ตาม บริการเหล่านี้เป็นที่เก็บข้อมูลแบบรวมศูนย์ซึ่งใช้ทรัพยากรที่ใช้ร่วมกัน ทำให้เป็นเป้าหมายสำคัญสำหรับผู้โจมตี
เกี่ยวกับผู้เขียน Danny Lahav ผู้จัดการผลิตภัณฑ์ Nokia Cloud Core ทรัพยากรที่ใช้ร่วมกันเหล่านี้รวมถึงเซิร์ฟเวอร์คอมพิวเตอร์หรือที่เก็บข้อมูลบนคลาวด์ และการละเมิดบนเซิร์ฟเวอร์เดียวอาจทำให้ข้อมูลรั่วไหลและประนีประนอมโดยสิ้นเชิง ผู้เชี่ยวชาญด้านอุตสาหกรรมความปลอดภัยกำลังสำรวจเทคโนโลยีต่างๆ เช่น ไฟร์วอลล์และการเข้ารหัส เพื่อปกป้องบริการและแพลตฟอร์มระบบคลาวด์ เนื่องจากบริการโทรคมนาคมบนคลาวด์ใช้เทคโนโลยีเหล่านี้มากขึ้นเรื่อยๆ การทำความเข้าใจตัวเลือกในปัจจุบันจึงเป็นสิ่งสำคัญ
ความหมายของการเข้ารหัส
การเข้ารหัสใช้คีย์การเข้ารหัสเพื่อแปลงข้อความธรรมดาหรือที่เรียกว่าข้อมูลที่มนุษย์อ่านได้ให้เป็นข้อความที่อ่านไม่ได้ ในทำนองเดียวกัน การถอดรหัสข้อมูลที่เข้ารหัสต้องใช้คีย์เข้ารหัสที่เกี่ยวข้องเพื่อแปลงเป็นรูปแบบดั้งเดิม การเข้ารหัสข้อมูลช่วยให้มั่นใจในความปลอดภัยของข้อมูลและความสมบูรณ์ หากไม่มีคีย์ ผู้โจมตีหรือผู้ใช้ที่ไม่ได้รับอนุญาตจะไม่สามารถถอดรหัสข้อมูลได้ เว้นแต่ว่าคีย์นั้นถูกบุกรุกแล้ว การเข้ารหัสสามารถนำไปใช้กับข้อมูลได้สองประเภท: ระหว่างทางและที่เหลือ ข้อมูลระหว่างทางประกอบด้วยข้อมูลที่เดินทางผ่านอินเทอร์เน็ตและอินเทอร์เฟซระบบ ซึ่งอาจอยู่ภายนอกระบบหรือภายในระหว่างเซิร์ฟเวอร์และ Application Programming Interfaces (API) สามารถเข้ารหัสด้วย HTTPS, TLS, IPSec ฯลฯ ซึ่งเป็นสิ่งสำคัญในการป้องกันการสกัดกั้นโดยผู้ใช้ที่ไม่ได้รับอนุญาต ข้อมูลที่เหลือยังหมายถึงข้อมูลที่จัดเก็บและรวมถึงโหนดจัดเก็บข้อมูลและสื่อจัดเก็บข้อมูลแบบถอดได้ การเข้ารหัสข้อมูลขณะพักสามารถนำไปใช้กับไฟล์ข้อมูลเฉพาะหรือข้อมูลที่จัดเก็บทั้งหมดได้ การเข้ารหัสจากต้นทางถึงปลายทางเป็นวิธีการเข้ารหัสข้อมูลเพื่อให้สามารถถอดรหัสได้ที่ปลายทางเท่านั้น การเชื่อมต่อกับบริการคลาวด์ผ่านข้อมูลที่เข้ารหัสระหว่างทางช่วยลดโอกาสในการเข้าถึงเซิร์ฟเวอร์โดยไม่มีคีย์ที่เหมาะสม: มีเพียงผู้ส่งและผู้รับเท่านั้นที่สามารถถอดรหัสข้อความบนอินเทอร์เฟซเหล่านี้ได้ การเข้ารหัสยังสามารถนำไปใช้ในระบบคลาวด์เพื่อให้ผู้ใช้ที่ได้รับอนุญาตเข้าถึงได้ เช่นเดียวกับการเข้าถึงระบบผ่านอินเทอร์เฟซภายนอก และเพื่อปกป้องข้อมูลที่ละเอียดอ่อนที่จัดเก็บไว้ในระบบคลาวด์ หากไม่มีคีย์เข้ารหัสข้อมูลจะไม่สามารถเข้าถึงข้อมูลที่สูญหายหรือถูกขโมยได้ ข้อมูลเซิร์ฟเวอร์ที่เข้ารหัสยังช่วยลดโอกาสที่ผู้โจมตีจะเข้าถึงข้อมูลที่เหลือได้อีกด้วย แม้ว่าพวกเขาจะเข้าถึงข้อมูลที่เข้ารหัสจากเซิร์ฟเวอร์ แต่ผู้โจมตีก็ไม่สามารถ "อ่าน" หรือประนีประนอมข้อมูลได้หากไม่มีกุญแจในการถอดรหัส ดังนั้นการเข้ารหัสข้อมูลขณะพักจึงเป็นองค์ประกอบสำคัญของความปลอดภัยของข้อมูลบนคลาวด์ที่แข็งแกร่ง
ตรวจสอบวงจรการใช้งานของคีย์การเข้ารหัสโดยใช้โมดูลความปลอดภัยของฮาร์ดแวร์
โปรเซสเซอร์เข้ารหัสเฉพาะที่ออกแบบมาเป็นพิเศษเพื่อปกป้องวงจรชีวิตของคีย์การเข้ารหัส Hardware Security Module (HSM) ปกป้องและจัดการคีย์ดิจิทัลเพื่อการตรวจสอบสิทธิ์ที่เข้มงวดและให้การประมวลผลการเข้ารหัส โดยปกติแล้ว HSM คือการ์ดเอ็กซ์แพนชันหรืออุปกรณ์ภายนอกที่เชื่อมต่อกับคอมพิวเตอร์หรือเซิร์ฟเวอร์เครือข่าย เนื่องจากโมดูลเหล่านี้มักเป็นส่วนหนึ่งของโครงสร้างพื้นฐานด้านไอทีที่สำคัญ จึงมักถูกจัดกลุ่มเพื่อความพร้อมใช้งานสูง รวมถึงโมดูลแบบใช้พลังงานคู่ด้วย ผู้ดำเนินการระบบคลาวด์เก็บคีย์ลับของโปรเจ็กต์หลักซึ่งเรียกว่าคีย์การเข้ารหัสลับ (KEK) ไว้บน HSM เพื่อโต้ตอบกับ Barbican ผ่านปลั๊กอิน Crypto โดยใช้โปรโตคอล PKCS #11 REST API ออกแบบมาเพื่อรักษาความปลอดภัยพื้นที่จัดเก็บ จัดเตรียม และจัดการความลับ Barbican เป็นโปรเจ็กต์ OpenStack ที่อนุญาตให้ผู้ใช้สร้างระบบการจัดการคีย์ที่ปลอดภัยและพร้อมใช้งานบนคลาวด์ ระบบเหล่านี้ช่วยให้สามารถจัดการข้อมูลที่ละเอียดอ่อน เช่น คีย์แบบสมมาตรและไม่สมมาตร และความลับดิบ ข้อมูลลับที่อยู่ใน HSM จะถูกเข้ารหัสแล้วถอดรหัสในระหว่างการกู้คืนโดย KEK เฉพาะโครงการ ตัวอย่างเช่น HSM จะสร้างคีย์เข้ารหัสหนึ่งคีย์ต่อบริการเพื่อเข้ารหัสวอลลุมพื้นที่จัดเก็บข้อมูล
การระบุบริการด้วย Keystone
โปรเจ็กต์ OpenStack อีกโปรเจ็กต์คือ Keystone ซึ่งให้การรับรองความถูกต้องไคลเอนต์ API แบบรวมศูนย์ การค้นพบบริการ และการอนุญาตแบบกระจายหลายผู้เช่า คีย์สโตนจะตรวจสอบสิทธิ์ผู้ใช้ก่อนจะเข้าถึงบริการอื่นๆ คุณยังสามารถใช้ระบบการตรวจสอบสิทธิ์ภายนอก เช่น LDAP หรือ TACACS+ ได้ เมื่อตรวจสอบสิทธิ์เรียบร้อยแล้ว ผู้ใช้จะได้รับโทเค็นชั่วคราวที่รวมอยู่ในคำขอบริการ ผู้ใช้จะได้รับการเข้าถึงบริการก็ต่อเมื่อโทเค็นได้รับการตรวจสอบและผู้ใช้มีบทบาทที่เหมาะสมเท่านั้น
การจัดการคีย์แบบไดนามิก: วิธีที่ Barbican จัดการคีย์ของคุณ
ขั้นแรก Barbican จะตรวจสอบโทเค็นการรับรองความถูกต้องของคีย์เพื่อระบุผู้ใช้และโปรเจ็กต์ที่เข้าถึงหรือจัดเก็บข้อมูลลับ จากนั้นจะใช้กลยุทธ์เพื่อพิจารณาว่าจะอนุญาตให้เข้าถึงได้หรือไม่ Barbican แทนที่ข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านฐานข้อมูล ด้วยไฮเปอร์ลิงก์เฉพาะ ซึ่งจะถูกเก็บไว้อย่างปลอดภัยเพื่อการเรียกค้นในภายหลัง เข้ารหัสข้อมูลที่ละเอียดอ่อนด้วยอุปกรณ์เข้ารหัสเฉพาะ เช่น HSM เพื่อเพิ่มระดับความปลอดภัย ปลั๊กอินการเข้ารหัสใช้เพื่อสื่อสารกับ HSM ผ่านโปรโตคอล PKCS #11 โปรโตคอลนี้ระบุ API ที่เรียกว่า "Cryptoki" สำหรับอุปกรณ์ที่ส่งข้อมูลการเข้ารหัสและทำหน้าที่ฟังก์ชันการเข้ารหัสที่ไม่ขึ้นอยู่กับเทคโนโลยี
เหตุใดการเข้ารหัสพื้นที่เก็บข้อมูลจึงมีความสำคัญ
ระบบคลาวด์ที่ใช้เครื่องเสมือน (VM) หรือคอนเทนเนอร์ใช้พื้นที่จัดเก็บข้อมูลจำนวนมาก ดังนั้นการเข้ารหัสโวลุ่มจึงเป็นสิ่งจำเป็นในการปกป้องข้อมูลและสื่อจัดเก็บข้อมูลทางกายภาพบนเครื่องเสมือนจากการโจรกรรม การรั่วไหล และการเข้าถึงโดยผู้โจมตี ข้อมูล VM ที่ไม่ได้เข้ารหัสทำให้เกิดความเสี่ยงที่ผู้โจมตีจะเจาะเข้าไปในแพลตฟอร์มโฮสต์โวลุ่มและเข้าถึงข้อมูลจาก VM ต่างๆ มากมาย เป้าหมายของคุณสมบัติโวลุ่มที่เข้ารหัสคือการเข้ารหัสข้อมูลเครื่องเสมือนก่อนที่จะเขียนลงในโวลุ่ม/พื้นที่จัดเก็บ (ข้อมูลระหว่างทาง) และรักษาการปกป้องข้อมูลในขณะที่อยู่ในอุปกรณ์จัดเก็บข้อมูล (ข้อมูลที่เหลือ) เนื่องจากบริการโทรคมนาคมบนคลาวด์ NFV ยังคงเติบโต โอกาสที่ข้อมูลจะรั่วไหลก็เพิ่มขึ้น ดังนั้นจึงจำเป็นต้องได้รับการดูแลและวิธีแก้ปัญหาที่เหมาะสม การเข้ารหัสอินเทอร์เฟซภายในและภายนอก ข้อมูลและวอลุ่ม การจัดการคีย์แบบไดนามิก และอื่นๆ เป็นขั้นตอนสำคัญในการลดความเสี่ยงของการรั่วไหลของข้อมูลและการจารกรรม