03-数据安全-ACA-加密服务- SSL证书_可信计算_隐私增强(一)

本文涉及的产品
服务治理 MSE Sentinel/OpenSergo,Agent数量 不受限
容器镜像服务 ACR,镜像仓库100个 不限时长
应用实时监控服务-可观测链路OpenTelemetry版,每月50GB免费额度
简介: 03-数据安全-ACA-加密服务- SSL证书_可信计算_隐私增强(一)

开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程03-数据安全-ACA-加密服务- SSL证书_可信计算_隐私增强(一)

课程地址:https://edu.aliyun.com/course/3111981/lesson/18866


03-数据安全-ACA-加密服务- SSL证书_可信计算_隐私增强(一)

 

内容介绍:

一、加密服务简介

二、密钥管理服务简介

三、SSL证书

四、PCA:私有证书

五、可信计算

六、隐私增强计算

七、阿里云数据安全整体解决方案

 

一、加密服务简介

加密服务是云密码机,全名是 cloud data encryption service,或者称为 cloud HSM,它是云上的加密解决方案,使用了国家密码管理局检测认证的硬件密码机来作为服务的底层,然后通过虚拟化的技术提供了弹性的、高性价比的虚拟化的密码机实例,给我们的客户上云提供原生的加密服务的能力这样可以帮助我们的客户来满足数据安全方面的监管合规要求,来保护我们云上的数据隐私。
图片85.png我们从这个架构图可以看到,加密服务支持的密码机种类很多,比较常见的是这三种,一是 GVSM , 二是 EVSM 三是 SVSM, EVSM 的 e 指的是electronic,也就是经济金融,所以 EVSM 版主要是适用于金融数据的密码机,而这个 GVSM,G 是 general 的意思,所以这就叫做通用的数据的密码机,而 s v s m 的 s 指的是 sign, 签名的意思,所以又称为签名验证服务器的密码机。


请注意,这三类的密码机的SM就称为 security model,也即密码服务模块或者密码机,那么 v 就是 veature 虚拟机的意思,所以这三类的 VSM 都是属于我们虚拟化后的这个密码机的实例,另外两个像FIPS 是属于一个美国标准的一种密码机的一种接口, PCI 这是一个 Beta 版的功能,主要是指一些像常见的公控机的密码卡,这几个是有不同的实例规格,又对应不同的接口规范,我们可以根据自己的需要来有针对性地进行选择。

 

二、密钥管理服务简介

再学习密钥管理服务, k m s ,从字面上来理解,就是密钥的托管和提供密码的一种 SARS 服务,它是基于中国国家密码管理局国标的认证或者 FIPS 这种美标的认证资质的密码机,然后提供的这种基于安全合规的密码托管和密码服务,帮助我们来加密我们的敏感数据资产。 同前面上一节所讲的加密服务密码机相比,它们的工作形态是不一样的, k m s 是一种 SARS 化的能力,而这个 HSM 这种加密服务,它是一种 iaas方面的这种资源,这个大家注意区分开。
图片86.pngKMS 与阿里云的云产品进行了紧密的集成,支持了超过 20 款的云产品,比如像云服务器ECS、数据库RDS、对象存储 OSS 等,也能够基于云原生的能力跟K8S、 ack 容器服务去进行广泛的集成。
我们可以直接使用 KMS 里面的密钥去加密这些阿里云上的云产品里面的数据,可以非常轻松的来保护我们的数据资产。


从核心能力上看, KMS 提供了密钥的全方位管理,比如生命周期的全生命周期管理,我们可以禁用秘钥,启用秘钥,也可以通过延迟,删除的方式来销毁秘钥,对于自带的秘钥我们也可以设置自动删除,或者设置自动过期销毁等,对于 KMS ,我们可以去设置自定义的轮转策略,帮助我们自动化的把我们的密钥去进行周期性的轮转,这样就能够使我们的密钥的安全性进一步的提高。

图片87.png

我们再简单对比KMS 和加密服务两者之间的能力,我们已经知道 KMS 是一个 SARS 化的服务,加密服务是一个 iaas化的服务,所以从工作的层级上看, KMS 我们可能需要操心的事情是更少的,两者都是可以直接加密的,加密服务就是HSM,那么通过虚拟化加密机的方式提供的加密算法是更丰富的。


但是加密虚拟机是不支持对云产品直接进行落盘加密的,是需要通过 KMS 跟云产品直接相结合,比如在数据库里面去引用KMS,或者云盘里和 KMS 直接结合做落盘加密。对于协议接口标准, KMS 主要是阿里云内部的产品之间的结合使用,所以它并不完全符合国密的标准。 而加密服务所提供的虚拟化的加密机,它是一定要符合国密的标准的,当然并不是指 KMS 它不符合国密标准,而是 KMS 底层的技术它也是要采用国密标准的密码机,或者 f IPS 美标准的密码机,但由于跟云产品相结合后需要做落盘的这些动作,它不一定完全的匹配国密的要求,是阿里会在国密的基础上进行一些调整,这是它们本质的区别。

 

三、SSL证书

我们再学习证书服务,证书或者数字证书,又叫做网络身份证,它主要是用于身份认证,并且是在同类技术当中性价比最高,备受法律认可的安全技术。
图片88.png
在很多的场景里主要是用于像防劫持、防篡改、防监听等,在很多时候我们的网站会被强制要求要 h t p s 化实现,我们用户去访问网站之间的交互链路要全程进行加密,这时候就需要我们的数字证书,数字证书是需要向专门的颁发机构去申请,阿里云是联合了在中国以及在国外的这个多家数字证书的颁发机构,我们这里列出来的有六家,三家国产的,三家国外的,阿里云已经跟这六个可信的证书颁发机构又叫CA 机构,已经内部完成了互通。


所以我们去购买证书只需要在阿里云的控制台去购买,不需要专门跳出去进行购买,在阿里云的控制台内部就可以完成一键式的这种购买跟使用的过程,非常的方便。


像 SSL 证书主要的应用场景是用于通讯链路的加密,所以包含像网站访问出现的不安全的提示,也是我们的浏览器那里会显示这种不安全的这个提示,如果站点配置了证书后,浏览器显示的时候就会有一个锁的安全标志,这时我们就可以通过 h t b s 去进行访问。相同的比如小程序或者手机 APP 或者是服务器之间进行数据传输,要去符合等保护的密屏等相关的合规要求时,也要求是加密传输,这时都要用到 SSL 证书。


我们在使用 SSL 证书的时候,经常会听到一个叫 PK i 的名词,那 PK i 是什么意思?


PK i 叫做 public key infraster,公钥基础设施,就是利用公钥理论和技术所建立起来的关于安全服务的基础设施,一般的过程当中 PK i 是我们采用证书来管理公钥,这个公钥是通过像我们前面所说跟 CA 机构去获取的 SSL 证书里面的公钥,然后跟我们个人的一些其他的标识捆绑在一起,这样来验证这种客户的实际的身份,所以整个过程能确保我们的信息是安全传输的。


因此 PK i 的应用场景所需要的关键词其实还是我们的SSL,也就是数字证书。

相关文章
|
7月前
|
存储 数据采集 安全
瓴羊Dataphin数据安全能力再升级,内置分类分级模板、上线隐私计算模块
瓴羊Dataphin数据安全能力再升级,内置分类分级模板、上线隐私计算模块
213 0
|
5月前
|
安全 Java Apache
Java中的数据安全与隐私保护技术
Java中的数据安全与隐私保护技术
|
7月前
|
存储 人工智能 算法
数据安全与隐私保护在人工智能时代的挑战与应对
随着人工智能技术的快速发展,数据安全和隐私保护问题日益凸显。本文将探讨在人工智能时代下,数据安全面临的挑战以及如何有效应对,为保护用户数据和维护信息安全提供新思路。
1185 13
|
7月前
|
监控 安全 网络安全
云端防御策略:在云计算中确保数据安全与隐私
【4月更文挑战第6天】 随着企业和个人日益依赖云服务,数据安全性和隐私保护成为不容忽视的挑战。本文探讨了云计算环境中面临的主要网络安全威胁,并提出了综合性的安全措施来加强防护。我们将从云服务的基础知识出发,分析安全风险,并深入讨论如何通过加密技术、身份验证、访问控制以及持续监控等手段来提高数据的安全性。文章的目标是为读者提供一套实用的策略框架,以便在享受云计算带来的便利时,能够有效地保障信息安全。
|
7月前
|
存储 边缘计算 安全
边缘计算中的数据安全与隐私保护:挑战与应对策略
边缘计算中的数据安全与隐私保护:挑战与应对策略
|
7月前
|
存储 安全 数据安全/隐私保护
云计算中的数据安全与隐私保护:技术与挑战
云计算中的数据安全与隐私保护:技术与挑战
858 0
|
7月前
|
数据采集 人工智能 安全
加码数据安全,瓴羊隐私计算能力获多奖项认可!
加码数据安全,瓴羊隐私计算能力获多奖项认可!
|
存储 数据采集 供应链
带你读《构建企业级好数据(Dataphin智能数据建设与治理白皮书)》——卷首语
带你读《构建企业级好数据(Dataphin智能数据建设与治理白皮书)》——卷首语
281 0
|
存储 安全
带你读《构建企业级好数据(Dataphin智能数据建设与治理白皮书)》——一、数据建设与治理的现状与诉求
带你读《构建企业级好数据(Dataphin智能数据建设与治理白皮书)》——一、数据建设与治理的现状与诉求
159 0
|
运维 分布式计算 监控
带你读《构建企业级好数据(Dataphin智能数据建设与治理白皮书)》——1. 用中台方法论构建与治理企业级好数据概览
带你读《构建企业级好数据(Dataphin智能数据建设与治理白皮书)》——1. 用中台方法论构建与治理企业级好数据概览
500 0