繁杂密码产品,如何一体化实现数据加密保护

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 在云上如何帮助用户简化密码应用难度,满足密码应用合规性基础上,做好数据加密保护。

8月27日,《数据安全法》解读与阿里云三大合规方案线上直播活动,阿里云解决方案架构师张锦军做了《云上一体化密码应用与数据加密》的主题分享,文字整理稿分享如下,解答在云上如何帮助用户简化密码应用难度,满足密码应用合规性基础上,做好数据加密保护。

数据保护中,密码应用是实现数据加密的原始而有效的手段。开展商用密码应用安全性评估(简称“密评”)是《密码法》提出的明确要求。同时,在一些具体行业的业务场景中,密码应用也作为一种技术手段实现业务的安全诉求,比如验证用户身份、https加密链路安全、时间戳服务保障业务一致性等等。

由于密码设备的多样性、应用对接的复杂性等问题,在实际应用过程中并不是特别顺利,尤其到了全新的云环境,加密设备如何发挥出真正的价值。

01密码产品应用现状

传统情况下,企业应用密码时需要根据需求采购不同的密码硬件产品,比如服务器密码机、签名验签服务器、金融类数据密码机、安全认证网关、时间戳服务器等各类硬件设备,以满足不同业务应用的不同使用场景。

国家密码管理局颁布的《商用密码产品认证目录》显示,涉及的密码应用产品总共有22类,包括身份鉴别、存储加密、通道加密、签名验签、密钥管理、应用加密等密码技术应用场景。

WechatIMG8.png

密码产品众多导致服务接口多样化,进一步导致企业需要对业务应用进行改造才能使用,这又加剧了密码产品烟囱式建设趋势,形成恶行循环,给企业的运维管理、密码资源集约化使用及弹性扩容带来巨大挑战。

02云上一体化密码应用方案

阿里云推出的云上一体化密码应用服务方案,以更简单、便捷的方式使用密码产品和调用资源,帮助用户不需要关注底层复杂的密码资源建设问题。

WechatIMG9.png

整体方案分为三层架构:

1.最底层为硬件密码机资源层,统一向上提供基础密码算力和应用密码算力;

2.中间是基于硬件密码机资源提供的虚拟密码机服务层,向租户(分支机构)提供独享的密码资源;

3.最上层是密码应用服务镜像,通过结合实际业务场景,统一封装密码服务镜像,应用/租户可直接调用的应用密码技术,例如时间戳、电子签章、签名验证等等,便于应用系统直接使用。密码应用服务镜像根据业务场景可以独立使用,也可以在共享的VPC里供多业务集中调用。

该方案为用户提供统一的密码服务平台,通过一个控制台,对各分支机构调配密码资源和服务实现灵活集中管理,并且可以为分支机构提供合规分析等面向上层应用的密码服务监测能力。

相比于传统密码应用方案,该方案具有以下优势,尤其适合拥有多个分支机构的专有云场景:

1.分支机构可以独享密码服务及密码机,且彼此之间完全隔离,安全性更高;

2.密码服务平台与云平台深度融合,管理更便捷,运维更高效;

3.密码服务和密码机资源可动态分配,满足高并发、高可用的密码应用需求。

值得一提的是,与等保2.0合规测评一样,商用密码应用安全性评估也需要分别对云平台和云上业务系统两大部分进行评估。

2021年5月,阿里云专有云平台国内首家通过密评测试。

阿里云专有云客户进行密评时,可以直接复用云平台侧的解决方案;云上业务系统通过接入统一密码服务平台,可以大大降低对接改造难度,做到合规的同时,真正解决密码应用需求,降低管理运维难度,将已有的密码资源价值发挥到最大化。

最佳实践

某省级政府用户在进行密评早期过程中遇到以下问题:
1.需要从0开始购买各种符合密评要求的密码服务,如通道加密、数据加密、身份认证、密钥管理等;

2.使用非云原生的密码产品导致云上应用密码安全方案设计实施困难;

3.使用非云原生的密码产品依赖的硬件及网络要求复杂,安全风险较大;

4.应用需要对接多个厂商的密码产品,改造难度高,对接复杂,整合工作量大;

WechatIMG10.png

通过接入阿里云提供的云上一体化密码应用服务方案,客户完全不需要关注底层的密码硬件资源,即可实现对密码资源的统一部署和调度,密码服务的统一建设和运维,快速拉齐所有分支机构的密码应用水位,满足密评要求。

目前,该客户已经有超过 60个分支机构、数百个业务应用系统运行在云上,开通了200多类密码服务。

相关文章
|
4月前
|
存储 NoSQL 数据库
认证服务---整合短信验证码,用户注册和登录 ,密码采用MD5加密存储 【二】
这篇文章讲述了在分布式微服务系统中添加用户注册和登录功能的过程,重点介绍了用户注册时通过远程服务调用第三方服务获取短信验证码、使用Redis进行验证码校验、对密码进行MD5加密后存储到数据库,以及用户登录时的远程服务调用和密码匹配校验的实现细节。
认证服务---整合短信验证码,用户注册和登录 ,密码采用MD5加密存储 【二】
|
2月前
|
存储 Java 数据库
密码专辑:对密码加盐加密,对密码进行md5加密,封装成密码工具类
这篇文章介绍了如何在Java中通过加盐和加密算法(如MD5和SHA)安全地存储密码,并提供了一个密码工具类PasswordUtils和密码编码类PasswordEncoder的实现示例。
76 10
密码专辑:对密码加盐加密,对密码进行md5加密,封装成密码工具类
|
2月前
|
NoSQL Java Redis
shiro学习四:使用springboot整合shiro,正常的企业级后端开发shiro认证鉴权流程。使用redis做token的过滤。md5做密码的加密。
这篇文章介绍了如何使用Spring Boot整合Apache Shiro框架进行后端开发,包括认证和授权流程,并使用Redis存储Token以及MD5加密用户密码。
42 0
shiro学习四:使用springboot整合shiro,正常的企业级后端开发shiro认证鉴权流程。使用redis做token的过滤。md5做密码的加密。
|
2月前
|
安全 算法 Java
数据库信息/密码加盐加密 —— Java代码手写+集成两种方式,手把手教学!保证能用!
本文提供了在数据库中对密码等敏感信息进行加盐加密的详细教程,包括手写MD5加密算法和使用Spring Security的BCryptPasswordEncoder进行加密,并强调了使用BCryptPasswordEncoder时需要注意的Spring Security配置问题。
211 0
数据库信息/密码加盐加密 —— Java代码手写+集成两种方式,手把手教学!保证能用!
|
3月前
|
存储 安全 算法
RSA在手,安全我有!Python加密解密技术,让你的数据密码坚不可摧
【9月更文挑战第11天】在数字化时代,信息安全至关重要。传统的加密方法已难以应对日益复杂的网络攻击。RSA加密算法凭借其强大的安全性和广泛的应用场景,成为保护敏感数据的首选。本文介绍RSA的基本原理及在Python中的实现方法,并探讨其优势与挑战。通过使用PyCryptodome库,我们展示了RSA加密解密的完整流程,帮助读者理解如何利用RSA为数据提供安全保障。
152 5
|
3月前
|
安全 数据安全/隐私保护 Python
情书也能加密?Python AES&RSA,让每一份数据都充满爱的密码
【9月更文挑战第8天】在这个数字化时代,情书不再局限于纸笔,也可能以电子形式在网络中传递。为了确保其安全,Python提供了AES和RSA等加密工具,为情书编织爱的密码。首先,通过安装pycryptodome库,我们可以利用AES对称加密算法高效保护数据;接着,使用RSA非对称加密算法加密AES密钥和IV,进一步增强安全性。即使情书被截获,没有正确密钥也无法解读内容。让我们用Python为爱情编织一张安全的网,守护每份珍贵情感。
55 2
|
4月前
|
安全 数据安全/隐私保护 Python
|
4月前
|
安全 Nacos 数据安全/隐私保护
【技术干货】破解Nacos安全隐患:连接用户名与密码明文传输!掌握HTTPS、JWT与OAuth2.0加密秘籍,打造坚不可摧的微服务注册与配置中心!从原理到实践,全方位解析如何构建安全防护体系,让您从此告别数据泄露风险!
【8月更文挑战第15天】Nacos是一款广受好评的微服务注册与配置中心,但其连接用户名和密码的明文传输成为安全隐患。本文探讨加密策略提升安全性。首先介绍明文传输风险,随后对比三种加密方案:HTTPS简化数据保护;JWT令牌减少凭证传输,适配分布式环境;OAuth2.0增强安全,支持多授权模式。每种方案各有千秋,开发者需根据具体需求选择最佳实践,确保服务安全稳定运行。
431 0
|
6月前
|
SQL 数据可视化 数据处理
实时计算 Flink版产品使用问题之如何进行数据加密之后怎么解密
实时计算Flink版作为一种强大的流处理和批处理统一的计算框架,广泛应用于各种需要实时数据处理和分析的场景。实时计算Flink版通常结合SQL接口、DataStream API、以及与上下游数据源和存储系统的丰富连接器,提供了一套全面的解决方案,以应对各种实时计算需求。其低延迟、高吞吐、容错性强的特点,使其成为众多企业和组织实时数据处理首选的技术平台。以下是实时计算Flink版的一些典型使用合集。
实时计算 Flink版产品使用问题之如何进行数据加密之后怎么解密