开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程:03-数据安全-ACA-加密服务- SSL证书_可信计算_隐私增强(一)】
课程地址:https://edu.aliyun.com/course/3111981/lesson/18866
03-数据安全-ACA-加密服务- SSL证书_可信计算_隐私增强(一)
内容介绍:
一、加密服务简介
二、密钥管理服务简介
三、SSL证书
四、PCA:私有证书
五、可信计算
六、隐私增强计算
七、阿里云数据安全整体解决方案
一、加密服务简介
加密服务是云密码机,全名是 cloud data encryption service,或者称为 cloud HSM,它是云上的加密解决方案,使用了国家密码管理局检测认证的硬件密码机来作为服务的底层,然后通过虚拟化的技术提供了弹性的、高性价比的虚拟化的密码机实例,给我们的客户上云提供原生的加密服务的能力,这样可以帮助我们的客户来满足数据安全方面的监管合规要求,来保护我们云上的数据隐私。 
我们从这个架构图可以看到,加密服务支持的密码机种类很多,比较常见的是这三种,一是 GVSM , 二是 EVSM 三是 SVSM, EVSM 的 e 指的是electronic,也就是经济金融,所以 EVSM 版主要是适用于金融数据的密码机,而这个 GVSM,G 是 general 的意思,所以这就叫做通用的数据的密码机,而 s v s m 的 s 指的是 sign, 签名的意思,所以又称为签名验证服务器的密码机。
请注意,这三类的密码机的SM就称为 security model,也即密码服务模块或者密码机,那么 v 就是 veature 虚拟机的意思,所以这三类的 VSM 都是属于我们虚拟化后的这个密码机的实例,另外两个像FIPS 是属于一个美国标准的一种密码机的一种接口, PCI 这是一个 Beta 版的功能,主要是指一些像常见的公控机的密码卡,这几个是有不同的实例规格,又对应不同的接口规范,我们可以根据自己的需要来有针对性地进行选择。
二、密钥管理服务简介
再学习密钥管理服务, k m s ,从字面上来理解,就是密钥的托管和提供密码的一种 SARS 服务,它是基于中国国家密码管理局国标的认证或者 FIPS 这种美标的认证资质的密码机,然后提供的这种基于安全合规的密码托管和密码服务,帮助我们来加密我们的敏感数据资产。 同前面上一节所讲的加密服务密码机相比,它们的工作形态是不一样的, k m s 是一种 SARS 化的能力,而这个 HSM 这种加密服务,它是一种 iaas方面的这种资源,这个大家注意区分开。 
KMS 与阿里云的云产品进行了紧密的集成,支持了超过 20 款的云产品,比如像云服务器ECS、数据库RDS、对象存储 OSS 等,也能够基于云原生的能力跟K8S、 ack 容器服务去进行广泛的集成。
我们可以直接使用 KMS 里面的密钥去加密这些阿里云上的云产品里面的数据,可以非常轻松的来保护我们的数据资产。
从核心能力上看, KMS 提供了密钥的全方位管理,比如生命周期的全生命周期管理,我们可以禁用秘钥,启用秘钥,也可以通过延迟,删除的方式来销毁秘钥,对于自带的秘钥我们也可以设置自动删除,或者设置自动过期销毁等,对于 KMS ,我们可以去设置自定义的轮转策略,帮助我们自动化的把我们的密钥去进行周期性的轮转,这样就能够使我们的密钥的安全性进一步的提高。
我们再简单对比KMS 和加密服务两者之间的能力,我们已经知道 KMS 是一个 SARS 化的服务,加密服务是一个 iaas化的服务,所以从工作的层级上看, KMS 我们可能需要操心的事情是更少的,两者都是可以直接加密的,加密服务就是HSM,那么通过虚拟化加密机的方式提供的加密算法是更丰富的。
但是加密虚拟机是不支持对云产品直接进行落盘加密的,是需要通过 KMS 跟云产品直接相结合,比如在数据库里面去引用KMS,或者云盘里和 KMS 直接结合做落盘加密。对于协议接口标准, KMS 主要是阿里云内部的产品之间的结合使用,所以它并不完全符合国密的标准。 而加密服务所提供的虚拟化的加密机,它是一定要符合国密的标准的,当然并不是指 KMS 它不符合国密标准,而是 KMS 底层的技术它也是要采用国密标准的密码机,或者 f IPS 美标准的密码机,但由于跟云产品相结合后需要做落盘的这些动作,它不一定完全的匹配国密的要求,是阿里会在国密的基础上进行一些调整,这是它们本质的区别。
三、SSL证书
我们再学习证书服务,证书或者数字证书,又叫做网络身份证,它主要是用于身份认证,并且是在同类技术当中性价比最高,备受法律认可的安全技术。
在很多的场景里主要是用于像防劫持、防篡改、防监听等,在很多时候我们的网站会被强制要求要 h t p s 化实现,我们用户去访问网站之间的交互链路要全程进行加密,这时候就需要我们的数字证书,数字证书是需要向专门的颁发机构去申请,阿里云是联合了在中国以及在国外的这个多家数字证书的颁发机构,我们这里列出来的有六家,三家国产的,三家国外的,阿里云已经跟这六个可信的证书颁发机构又叫CA 机构,已经内部完成了互通。
所以我们去购买证书只需要在阿里云的控制台去购买,不需要专门跳出去进行购买,在阿里云的控制台内部就可以完成一键式的这种购买跟使用的过程,非常的方便。
像 SSL 证书主要的应用场景是用于通讯链路的加密,所以包含像网站访问出现的不安全的提示,也是我们的浏览器那里会显示这种不安全的这个提示,如果站点配置了证书后,浏览器显示的时候就会有一个锁的安全标志,这时我们就可以通过 h t b s 去进行访问。相同的比如小程序或者手机 APP 或者是服务器之间进行数据传输,要去符合等保护的密屏等相关的合规要求时,也要求是加密传输,这时都要用到 SSL 证书。
我们在使用 SSL 证书的时候,经常会听到一个叫 PK i 的名词,那 PK i 是什么意思?
PK i 叫做 public key infraster,公钥基础设施,就是利用公钥理论和技术所建立起来的关于安全服务的基础设施,一般的过程当中 PK i 是我们采用证书来管理公钥,这个公钥是通过像我们前面所说跟 CA 机构去获取的 SSL 证书里面的公钥,然后跟我们个人的一些其他的标识捆绑在一起,这样来验证这种客户的实际的身份,所以整个过程能确保我们的信息是安全传输的。
因此 PK i 的应用场景所需要的关键词其实还是我们的SSL,也就是数字证书。
