Уводни водич и Гоогле Цлоуд студија случаја

Придружите ми се у истраживању криптографије у облаку, њених типова и примене Гоогле Цлоуд-а.

Подскуп ИааС-а, рачунарство у облаку је доста испред фазе популарне речи. То је доминантна сила са појединцима, предузећима и владама који користе услуге у облаку како би скратили проблеме везане за локални технолошки скуп.

Цлоуд је оличење погодности, економичности и скалабилности.

Једноставно речено, рачунарство у облаку је када позајмљујете рачунарске ресурсе као што су складиште, РАМ, ЦПУ, итд., преко интернета, а да ништа физички не хостујете.

Пример из свакодневног живота је Гоогле диск или Иахоо Маил. Овим компанијама верујемо у податке – понекад осетљиве личне или пословне информације.

Генерално, просечан корисник се не брине о приватности или безбедности рачунарства у облаку. Али свако ко је пристојно информисан о историји надзора или тренутним софистицираним сајбер нападима мора подићи опрез или барем бити обавештен о ситуацији која је при руци.

Шта је криптографија у облаку?

Крипографија у облаку решава тај осећај несигурности шифровањем података ускладиштених у облаку како би се спречио неовлашћени приступ.

Шифровање је техника коришћења шифре (алгоритма) за претварање стандардних информација у шифровану верзију. У том случају, нападач неће схватити детаље чак и ако се открију.

Постоје различите врсте шифровања на основу случаја употребе. Зато је важно користити квалитетну шифру за шифровање података у облаку.

На пример, можете ли разумети следећи текст:

Иггмхнцтг рткфвегу јкиј-свцнква вгејпкнкиа & хкпцпег цтвкенгу, оцмгу вккну, цпф ЦРКу вк јгнр двукпгуугу цпф ргкрнг итки.

Не!

Можда је то нека загонетка за људски мозак, али користите било који Цезар декодер и они ће га разбити за неколико секунди:

Чак и неко ко је добро упућен у Цезарову шифру може да види да су сва слова у шифрованом тексту два алфабета испред својих колега отвореног текста.

Дакле, поента је да се користи јака шифра, попут оне код АЕС-256.

Како функционише криптографија у облаку?

Последњих неколико редова претходног одељка је можда оставило утисак да ћете изабрати шифру за шифровање података.

Технички, то може тако да функционише. Али обично, добављач услуга у облаку омогућава изворно шифровање или користите шифровање као услугу од треће стране.

Дакле, поделићемо ово у две категорије и видети имплементацију.

  9 најбољиһ проширења за снимке екрана за Гоогле Цһроме за употребу у 2023

#1. Шифровање на Цлоуд платформи

Ово је најједноставнији метод где се за шифровање брине познати провајдер услуга у облаку.

У идеалном случају, ово се односи на:

Подаци у мировању

Ово је када се подаци чувају у шифрованом облику пре преноса у контејнере за складиштење или касније.

Пошто је криптографија у облаку нов приступ, не постоји унапред дефинисан начин да се ствари раде. Постоји много истраживачких публикација које тестирају различите методе, али оно што је кључно је примена у стварном животу.

Дакле, како врхунска компанија за инфраструктуру у облаку као што је Гоогле Цлоуд штити податке у мировању?

По Гуглове евиденције, они деле податке у мале групе од неколико гигабајта распоређених по њиховим контејнерима за складиштење на различитим машинама. Било који одређени контејнер може садржати податке истих или различитих корисника.

Штавише, сваки пакет је шифрован појединачно, чак и ако се налази у истом контејнеру и припада једном кориснику. То значи да ако кључ за шифровање који се односи на један пакет буде компромитован, остале датотеке ће остати безбедне.

Извор: Гоогле Цлоуд

Осим тога, кључ за шифровање се мења са сваким ажурирањем података.

Подаци на овом нивоу складиштења су шифровани помоћу АЕС-256, осим за неколико постојаних дискова креираних пре 2015. користећи АЕС-128 битну енкрипцију.

Дакле, ово је први слој шифровања – на нивоу појединачног пакета.

Затим, хард дискови (ХДД) или ССД уређаји који хостују ове делове података шифрују се другим слојем АЕС-256 битне енкрипције, при чему неки стари ХХД-ови и даље користе АЕС-128. Имајте на уму да се кључеви за шифровање на нивоу уређаја разликују од шифровања на нивоу складишта.

Сада су сви ови кључеви за шифровање података (ДЕК) даље шифровани кључевима за шифровање кључева (КЕК), којима затим централно управља Гоогле-ова услуга за управљање кључевима (КМС). Приметно је да сви КЕК-ови користе АЕС-256/АЕС-128 битну енкрипцију, а најмање један КЕК је повезан са сваком Гоогле услугом у облаку.

Ови КЕК-ови се ротирају најмање једном у интервалу од 90 дана помоћу Гоогле-ове заједничке криптографске библиотеке.

Сваки КЕК има резервну копију, прати се сваки пут када га неко користи, и може му приступити само овлашћено особље.

Следеће, сви КЕК-ови су поново шифровани помоћу АЕС-256-битног шифровања, генеришући главни кључ КМС-а ускладиштеног у другом објекту за управљање кључевима, који се зове Роот КМС, који чува неколико таквих кључева.

Овим Роот КМС-ом се управља на наменским машинама у сваком Гоогле Цлоуд центру за податке.

  Како преузети ХТМЛ табелу у ЦСВ формату у Фирефок-у

Сада је овај Роот КМС шифрован помоћу АЕС-256, стварајући један основни КМС главни кључ који се чува у пеер-то-пеер инфраструктури.

Једна Роот КМС инстанца ради на сваком роот КМС дистрибутеру главног кључа који држи кључ у меморији са случајним приступом.

Сваку нову инстанцу роот КМС дистрибутера главног кључа одобравају већ покренуте инстанце како би се избегла погрешна игра.

Поред тога, да би се решио услов у коме све инстанце дистрибутера морају да почну истовремено, главни кључ КМС-а се такође прави резервна копија на само две физичке локације.

И коначно, мање од 20 запослених у Гоогле-у има приступ овим високо поверљивим локацијама.

Дакле, овако Гоогле практикује криптографију у облаку за податке у мировању.

Али ако желите да преузмете ствари у своје руке, можете и сами да управљате кључевима. Алтернативно, преко овога се може додати још један слој енкрипције и самостално управљати кључевима. Међутим, треба имати на уму да губитак ових кључева такође значи да сте искључени из сопственог веб пројекта.

Ипак, не треба очекивати овај ниво детаља од свих осталих добављача облака. Пошто Гоогле наплаћује премиум за своје услуге, можда ћете имати користи од другог провајдера који кошта мање, али одговара вашем специфичном моделу претње.

Подаци у транзиту

Ово је место где подаци путују унутар центра података добављача облака или ван његових граница, на пример када их отпремите са своје машине.

Опет, не постоји чврст начин да заштитите податке у транзиту, тако да ћемо видети имплементацију Гоогле облака.

Бела књига у овом погледу, енкрипција у транзитунаводи три мере за обезбеђење нестационарних података: аутентификацију, шифровање и проверу интегритета.

У оквиру свог центра података, Гоогле обезбеђује податке у транзиту аутентификацијом крајње тачке и потврдом интегритета уз опционо шифровање.

Иако се корисник може одлучити за додатне мере, Гоогле потврђује врхунску безбедност у својим просторијама са изузетно надгледаним приступом који је одобрен неколицини његових запослених.

Изван својих физичких ограничења, Гоогле усваја диференцијалну политику за сопствене услуге у облаку (као што је Гоогле Дриве) и било коју корисничку апликацију хостовану у његовом облаку (као било која веб локација која ради на његовом рачунарском механизму).

У првом случају, сав саобраћај прво иде на контролну тачку познату као Гоогле Фронт Енд (ГФЕ) користећи Транспорт Лаиер Сецурити (ТЛС). Након тога, саобраћај добија ДДоС ублажавање, балансирање оптерећења преко сервера и коначно се усмерава ка намераваној Гоогле Цлоуд услузи.

У другом случају, одговорност за осигурање безбедности података у транзиту углавном пада на власника инфраструктуре осим ако не користи другу Гоогле услугу (као што је Цлоуд ВПН) за пренос података.

  11 апликација/платформа за креирање прилагођених емоџија за ВхатсАпп и Телеграм

Генерално, ТЛС је усвојен како би се осигурало да подаци нису мењани на путу. Ово је исти протокол који се подразумевано користи када се повежете на било коју веб локацију користећи ХТТПС, што је симболизовано иконом катанца у УРЛ траци.

Иако се обично користи у свим веб прегледачима, можете га применити и на друге апликације као што су е-пошта, аудио/видео позиви, тренутне поруке итд.

Међутим, за крајње стандарде шифровања, постоје виртуелне приватне мреже које опет пружају више слојева безбедности са напредним шифрама за шифровање као што је АЕС-256.

Али самостално имплементирати криптографију у облаку је тешко, што нас доводи до…

#2. Шифровање-као-услуга

Овде су подразумевани безбедносни протоколи на вашој платформи у облаку слаби или одсутни за специфичне случајеве употребе.

Једно од очигледно најбољих решења је да сами надгледате све и обезбедите безбедност података на нивоу предузећа. Али то је лакше рећи него учинити и укида приступ без проблема за који се неко одлучује за рачунарство у облаку.

Дакле, остаје нам да користимо Енцриптион-ас-а-сервице (ЕААС) као што је ЦлоудХесиве. Слично коришћењу рачунарства у облаку, овог пута „позајмљујете“ енкрипцију, а не ЦПУ, РАМ, складиште итд.

На основу ЕААС провајдера, можете користити шифровање за податке у мировању и у транзиту.

Предности и недостаци криптографије у облаку

Најизраженија предност је сигурност. Вјежбање криптографије у облаку осигурава да подаци ваших корисника буду подаље од сајбер криминалаца.

Иако криптографија у облаку не може да заустави сваки хак, ради се о томе да уложите свој део и да имате одговарајуће оправдање ако ствари крену наопако.

Што се тиче недостатака, први је трошак и време које је потребно за надоградњу постојећег безбедносног оквира. Осим тога, мало тога може помоћи ако изгубите приступ кључевима за шифровање док сами управљате.

А пошто је ово технологија у настајању, ни проналажење временски тестираног ЕААС-а није лако.

Коначно, најбоље је користити познатог добављача услуга у облаку и користити изворне криптографске механизме.

Окончање

Надамо се да би вам ово могло дати увид у криптографију у облаку. Да резимирамо, ради се о безбедности података у вези са облаком, укључујући и када путује напоље.

Већина најбоље оцењених компанија за инфраструктуру у облаку као што су Гоогле Цлоуд, Амазон Веб Сервицес, итд., имају адекватну сигурност за максималне случајеве употребе. Ипак, нема штете ако прођете кроз технички жаргон пре него што с било ким хостујете своје критичне апликације.

ПС: Погледајте нека решења за оптимизацију трошкова у облаку за АВС, Гоогле Цлоуд, Азуре итд.