云上密码应用最佳实践

随着企业上云和数字化转型升级的深化，数据正在成为企业的核心资产之一，在生产过程中发挥的价值越来越大。而数据安全也成为广大企业和云服务商共同关注的话题之一。

近年来，国内外大规模数据泄露事件频发，数据资产的外泄、破坏都会导致企业无可挽回的经济损失和核心竞争力缺失，数据安全环境日趋复杂。而等保2.0和密码法的相继出台，也对数据安全尤其是加密算法和密码测评提出了更加严格的要求。

数据安全问题既是技术问题，也是管理问题，需要一套行之有效的数据管理策略。针对目前企业现状，腾讯云数据安全服务负责人姬生利在国际信息系统审计协会（ISACA）组织的在线公开课中分享了主题《云上密码应用最佳实践》，从密码技术角度剖析了当前国内密码应用现状以及企业数据安全面临的难题，并介绍了腾讯安全在云上密码应用中的最佳实践。

详情请戳视频

“难做、难用、难管”密码应用核心三难如何解决？

数据显示，全球平均每天有上千万条数据被泄露，其中只有2%的数据经过加密，在泄露后未造成损失。由于不安全的配置、源代码泄露及硬编码等内部威胁导致数据泄露事件频发，而做好数据加密和敏感凭据的管理，能有效降低数据泄露带来的风险

但是，密码技术在使用过程中面临着三大难题，所谓“三难”就是指“难做、难用、难管”。密码产业人才短缺，开发门槛高，密码行业尚处于产业规模化发展的初期阶段是“难做”；密码算法、密码产品、密码应用三者明显脱节，用户需要大量的开发工作，因此“难用”；密码应用分散，行业缺乏统一化标准，密码技术应用及运维管理工作复杂，故而“难管。”

为了解决密码应用的“三难”，在直播中，姬生利首先针对数据合规和治理、访问监控和响应等方面从数据的产生和获取、使用、存储、传输、退役和销毁等几个维度，指出数据安全生命周期风险及防护四个方面的关键难点——数据的分类、治理和策略；数据在传输、存储、使用过程中的全生命周期加密技术；密钥管理；数据安全事件的监测分析。

从开发运营的过程来分析数据泄露风险，可以归纳系统四个阶段面临的挑战。开发阶段，意识疏忽泄露源代码中包含的敏感凭据和密钥；测试阶段，暴露高风险的测试数据库访问端口和弱账号；集成交付阶段，临时环境中的数据访问端口，薄弱配置导致的安全问题；生产和运营阶段，账号口令泄露、破解、弱口令，缺乏保护的隐私数据和密钥。又从应用服务的构成深度解析数据泄露风险并提出解决方案。

为此，腾讯安全云鼎实验室提出以“腾讯云数据安全中台”为中心，打造端到端的云数据全生命周期安全体系，以数据加密软硬件系统（CloudHSM/SEM）、密钥管理系统（KMS）、凭据管理系统（SSM）以及云访问安全代理（CASB）为核心，将密码运算、密码技术及密码产品以服务化、组件化的方式输出，并无缝集成至腾讯云产品中，实现从数据获取、事务处理及检索、数据分析与服务，数据访问与消费过程中的安全防护，针对性地解决“三难”问题。

云上密码应用最佳实践多维度助力数据加密

云数据安全中台对应了各种基础设施，云上密码应用做出一系列最佳实践。

密钥管理系统KMS

提供全生命周期的密钥管理和数据加解密服务

密钥即为钥匙，使用加密算法需要使用密钥管理系统（KMS）来对密钥进行统一管理。运用算法的公开性和密钥的保密性特点，有效规避在应用密码技术进行对称或非对称加密时，密钥的丢失导致数据的密文不再安全等问题。

针对密钥权限的管控、加密算法库的依赖、国密算法的改造、数据密钥的策略管理、私钥的安全性管控、密钥材料的信任、密钥所有权等一系列问题，KMS根据敏感数据、高性能本地数据、非对称密钥、BYOK（Bring Your Own Key）、白盒加密等方面都提出了有效可行的解决方案。

云数据安全中台让用户得以使用最小的工作量，极简地实现对云上数据的加密保护。密钥管理系统（KMS）和云产品无缝集成，为用户提供透明加密的解决方案，用户只需要开通相应的服务，无需关心加密的细节，即可实现透明的云上数据加解密。

凭据管理系统SSM

提供解决敏感凭据硬编码及泄露风险的最佳方案

2019年北卡罗来纳州立大学团队调查显示Github上的密钥泄露问题相当严峻：超 100000十万个代码库泄露了API 、加密密钥或其它敏感凭据内容， 其中有19%在泄露后长达16天内才被删除，81%的仍然对外可见。

针对敏感配置、敏感凭据硬编码带来的泄露风险问题，凭据管理系统(Secrets Manager)服务为用户提供凭据的创建、使用、删除、权限等全生命周期管理，所有的凭据均进行加密保护。通过腾讯云数据安全中台凭据管理系统的能力，可以轻松实现对数据库凭证、API 密钥和其他密钥、敏感配置等的集中检索、管理以及加密存储，有效避免程序硬编码带来的明文泄密以及权限失控带来的业务风险。

云加密机CloudHSM

提供按需使用的硬件密码资源池

CloudHSM是采用国密局认证的云服务器密码机，利用虚拟化技术，提供可扩展，高可用，高性能的虚拟硬件密码机VSM服务。在云架构中，屏蔽不同厂商的密码设备，基于CloudHSM 实现密码运算服务与资源的统一调度服务，可动态扩展密码服务内容和设备性能, 为应用层数据保护、身份认证、数据库加密、大数据安全服务提供统一的硬件密码运算资源池。虚拟密码机可分为虚拟金融数据密码机EVSM、虚拟签名验签密码机EVSM、虚拟服务器密码机VSM等多种形态VSM，满足多样化业务场景的密码机应用需求。

云访问安全代理CASB

提供免应用改造的字段级数据加密解决方案

对于期望对数据库进行字段级的加解密，防止被脱库后敏感信息的泄露，除了应用侧自行实现加解密逻辑，云数据安全中台提供了云访问安全代理CASB方案组件。借助CASB，用户可以轻松实现基于商用密码算法的应用免改造、字段级加密，以及基于密码应用的防黑客攻击的数据安全保护方案。

企业通过数据安全技术加持、建立数据安全中台等措施，为数据应用的安全与合规提供系统性的解决方案，并通过云服务对外输出数据安全保护以及数据合规能力。多种原因导致的一系列层出不穷的数据安全事件背后折射出的是，仅仅依靠单点防护难以达到真正的安全防护效果，而构建基于全生命周期的安全防护成为必然选择。值得一提的是，企业上云大潮的趋势下，讨论数据安全绝大部分要从云环境出发，云原生的数据保护技术和策略也将成为当下及未来的主要手段。