一、雲上數據的安全問題
2017年3月,來自雲安全公司MacKeeper的研究人員Chris Vickery發Twitter稱在美國發生一起“14億身份信息泄漏案”。2018年3月,著名的社交網絡服務網站Facebook被曝數據泄露,4月報道涉及用戶可能高達20億人,導致其股票下跌近20%。近日,國內某著名互聯網IT巨頭CEO更是發出用戶願意“用隱私換便捷”的驚人言論。此外,許多擁有龐大的個人和企業數據庫的公司都有導致數據泄露的歷史。這一系列事件再一次將數據安全問題推向風口浪尖。
針對如此多發且嚴重的數據泄漏事件,雲端數據存儲的安全性問題就不得不引起人們的重視。目前諸多的個人信息、重要數據等都以明文的方式存儲在雲端,這對企業來說已經完全失去了對其的控制權,安全問題完全寄希望於雲提供商。
在多次會議和沙龍中,企業首席信息安全官們探討了該問題,一致認爲:應用層的加密組件是雲安全的核心功能,要確保企業外的人(包括雲提供商)無法查看或訪問這些數據,當數據離開企業的安全環境進入雲服務提供商環境時,企業可以加密所有數據,並且只有企業有密鑰。
二、租戶存儲和使用雲端數據的方式
IaaS型數據庫(租戶自建數據庫):雲服務供應商提供給用戶的是計算機基礎設施,用戶購買服務後自行安裝操作系統及數據庫。目前主流的雲服務供應商都提供這種購買雲主機的服務。由於數據庫是自行安裝的,雲服務供應商無法直接獲取數據庫的內容。但是數據庫的數據文件保存在雲供應商提供的存儲上,供應商可以直接拷貝用戶數據文件從而獲得數據。
SaaS型數據庫:雲服務供應商提供給租戶的是已經封裝好的數據庫,用戶購買數據庫服務,獲得數據庫實例的使用權,可以在數據庫存儲與使用自己的數據。目前大多數雲服務供應商都提供這種數據庫服務。在這種場景中,雲服務供應商擁有數據庫宿主OS的ROOT權限,從而擁有最高的數據庫權限,可以毫無困難的直接操作租戶的所有數據。
SaaS應用:租戶通過雲服務供應商提供的應用服務存取數據。例如在線CRM系統或在線OA系統中,租戶租用這種服務,並通過這種服務錄入和使用數據。租戶直接打開瀏覽器或APP就可以直接使用服務,所有的數據都由Web或APP與後端數據庫進行通訊。在這種情況下,租戶完全失去了對數據的控制能力:SaaS服務的供應商可以非常輕易的獲取租戶的信息,而云平臺供應商能否獲取到數據,則完全取決於SaaS服務的供應商對數據的保護措施。
三、雲端數據加密方式
爲了應對雲端數據的威脅,對數據進行加密是一種有效的解決手段。爲了確保安全性,這種加密必須是獨立於雲平臺的,也就是說加密機制不能由雲平臺自己來提供,除非可以證明祕鑰對雲平臺是完全不可見的。根據加密位置以及適用場景的不同,在目前來看,有效的雲數據加密方式有云加密數據庫、數據庫加密網關、以及雲訪問安全代理三種。
1)雲加密數據庫。使用具有加密功能的數據庫或者數據庫引擎。在數據庫將數據寫入文件時對數據進行加密,讀取數據時進行解密。數據文件被加密後,無法通過直接拷貝用戶數據文件盜取用戶數據。
這種方式通常具有相對較高的性能和透明性,對數據庫的觸發器,存儲過程等特性支持的比較全面。其缺點是防護能力有限,不能限制數據庫超級用戶的數據讀取權限。而且其通用性較差,僅適用於IaaS形式的租戶自建數據庫。
2)雲數據庫安全代理(CDSB, Cloud Database Security Broker)。CDSB雲數據加密網關作爲數據庫的出入口,將所有數據加密後寫入數據庫,讀取數據的時候進行解密。通過網關訪問數據庫可以獲得明文數據,而越過網關直接讀取數據則只能獲得密文。
該加密方式具有較高的通用性,既適用於SaaS數據庫,也適用於IaaS數據庫。該方式爲數據庫提供了統一的二次認證和二次鑑權機制,能夠很好的防止雲平臺供應商訪問真實數據,從而具有良好的安全性。性能方面,加密網關通過SQL重寫,以及通過提供密文索引的方式,使得系統的整體性能較高。
- 雲訪問安全代理(CASB, Cloud Access Security Broker):CASB應用加密網關主要設置在企業或個人的內部網絡出口處,對於流出的數據進行統一加密並對流入的數據統一解密。
![在這裏插入圖片描述]()
該加密方式不用考慮應用後端的數據庫類型,具有更高的通用性。且將加解密功能進行了分佈式處理,具有較高的綜合性能。如果加密方法強度足夠的話,該方式在理論上具有較好的安全性。但是由於要考慮到加密後數據的檢索、格式的兼容等因素,所採用的加密算法強度不得不被降低。
四、CDSB和CASB的對比
由上述分析可知,CDSB數據庫加密網關和CASB應用加密網關都具有較高的安全性,本節對這兩種方式的適用性和安全性做進一步的深入對比分析。
1)適用性
兩種加密方式針對不同雲端數據使用方式的適用性如下表所示。
從上表中看出,CDSB對於各種雲端上數據使用方式都能較好的適用,而CASB方式只適用於SaaS應用的方式。由於兩種方式都適用於SaaS應用,下面部分就他們在SaaS應用環境下的安全性進行對比分析。
- 抗統計分析攻擊性能
CDSB數據庫加密網關可以採用多樣性的加密算法,包括國密算法。也支持帶隨機鹽值的高強度加密算法,使得相同明文加密後的結果不同。這使得加密結果在對抗統計分析攻擊方面的安全性很高。
而CASB加密網關爲了保持對應用系統的兼容,使得在加密算法的選擇上受限多多。比如,爲了保持加密後數值類型的兼容,不得不採用格式保持加密(FPE),而這種加密方法的安全性還沒有得到權威部門的認可;而且爲了保證加密後的檢索,由於沒有辦法在數據庫中直接建立密文索引,所以必須保持加密前後內容的大小關係、位置信息、統計特徵的一致性。所以CASB加密網關的加密強度,是遠遠小於CDSB數據庫加密網關的。
3)直接泄露明文可能性
在CDSB模式中,明文數據的直接泄露點包括應用服務端和前端的瀏覽器/APP。在CASB模式中,明文數據的直接泄露點在前端的瀏覽器/APP,也就是說,可以從APP端導出租戶的所有數據。而應用服務端和APP端在本質上是同一個應用系統,所以當SaaS服務以APP方式提供時,CDSB和CASB模式的明文泄露風險是相當的。只有當服務僅以WEB方式提供時,CASB的明文泄露風險才低於CDSB。
事實上,從上述分析可知,對於SaaS服務方式來說,目前還沒有絕對安全的數據加密方式。
五、使用數據庫加密網關對SaaS服務的數據進行加密
在SaaS服務中,衆多SaaS租戶的數據在服務後端統一存儲於一張大表中,通過租戶的ID進行區分和“隔離”。爲了將不同租戶的數據通過加密進行隔離,除了使用CASB外,也可以使用CDSB數據庫加密網關來實現加密隔離。
使用CDSB對SaaS應用的數據進行加密
如上圖所示,數據庫加密網關利用其行加密能力,通過利用租戶的ID,有區分的對不同租戶進行加密,且不同租戶的加密策略可以做到差異化。租戶可以直接控制數據庫加密網關進行自身數據的加密、祕鑰輪、加密服務的啓停等,真正實現對自己數據的掌控。
安全性上,如第四節所述,CDSB與CASB的綜合安全性旗鼓相當。而且就數據加密強度來說,CDSB更勝一籌。