雲伺服器如何保護敏感文件
① 如何理解雲數據安全
在雲計算模式下,數據存儲和處理設備部署到統一的資源池中,用戶數據存儲在雲計算環境中,所以用戶的數據不僅面臨著敵手攻擊的威脅,同時也面臨著雲服務提供商的威脅。與此同時,在雲計算環境中部署了很多虛擬伺服器,多個用戶的數據可能存儲在一台虛擬伺服器上,如何防止其他用戶對數據的非授權訪問,也是雲計算中急需解決的安全問題。下面根據雲計算模式下帶來的數據威脅風險從數據加密與密文檢索、數據完整性驗證、數據隔離三個角度對雲計算中的數據安全問題進行剖析。
數據加密與密文檢索
在雲存儲模式下,為了保障數據不被其他非授權用戶訪問或者是篡改,實現數據的保密性,最傳統的方法就是對數據進行加密存儲,這樣即使非授權用戶獲取了密文數據,也很難對其進行解密以獲取相應的明文。但是採用數據加密的方式進行數據保護給我們帶來了新的技術挑戰,即密文數據檢索技術。
好的加密演算法對密文數據檢索的效率起到了至關重要的作用,所以加密演算法是進行數據加密的核心,一個好的加密演算法產生的密文應該頻率平衡,隨機無重碼規律,周期長而不可能產生重復現象。竊密者很難通過對密文頻率、重碼等特徵的分析成功解密。同時,演算法必須適應數據存儲系統的特性,加解密尤其是解密響應迅速。
常用的加密演算法包括對稱密鑰演算法和非對稱密鑰演算法。一方面,對稱密鑰演算法的運算速度比非對稱密鑰演算法快很多,兩者相差2~3個數量級;另一方面,在非對稱密鑰演算法中,每個用戶有自己的密鑰對。而作為數據加密的密鑰如果因人而異,將產生異常龐大的密鑰數據存儲量。基於以上原因,目前在對數據進行加密存儲中一般採取對稱密鑰的分組加密演算法,如3DES、IDEA、AES及RCS 等。
近年來,有學者提出將秘密同態技術應用於數據存儲系統的加密。秘密同態技術利用演算法的同態性,不對已經加密的數據存儲系統進行解密,而直接在密文數據存儲系統上進行查詢、更新等資料庫操作,它使用戶可以對敏感數據操作而又不泄露數據信息,同時避免了大量繁瑣的加密解密操作,提高了數據存儲系統的運行效率。
支持密文數據查詢的技術需要從兩個方面來考慮,一是數據本身的性質,二是查詢的性質。按照這兩個方面可以將密文數據檢索技術分為如下兩種研究方向:
- 基於關鍵詞的密文文本檢索技術這種檢索技術的主體是加密的文本文件,主要的應用場景是遠程的郵件伺服器(部分可信),在郵件伺服器上存儲著用戶的加密的郵件,並且允許用戶用關鍵詞來查詢和檢索他們的加密郵件。
- 基於加密的關系型資料庫的檢索技術這種檢索方式應用場景是遠程的加密的關系型資料庫管理系統(部分可信),遠程的資料庫存儲著用戶數據並且允許用戶用SQL語言對加密的資料庫系統進行查詢。密文數據檢索技術最早應用於加密的電子郵件服務系統,
DAS(Database as a service)服務模式提出後,對該技術的研究和應用進入了一個嶄新的階段。
DAS模型是以對用戶提供服務的形式來部署的,它不僅提供了多種數據管理功能,而且也克服了傳統數據管理系統存在的缺陷,DAS數據管理模型如下圖所示。
DAS模型由三部分組成:用戶(數據擁有者)、客戶端、伺服器。
- 用戶即為數據擁有者與使用者。
- 客戶端也可稱為數據客戶端,它是用戶查詢數據和伺服器端查詢結果的中轉站,起到查詢轉換和用戶訪問控制的作用。
- 伺服器它由遠端服務提供商來管理,用來對用戶的數據進行存儲和管理,它提供了強大的介面,用戶可以通過介面來創建、存儲、接入、操縱資料庫。而對資料庫的管理(包括安裝、備份、重組、集成、軟體更新等)都由服務提供商來承擔。
DAS結構具有很多優勢,例如較低的構建成本、操作成本,強有力的服務(更好的穩定性和可用性,更好的硬體和軟體系統,靈活的數據共享)等。如今,DAS模型已經得到了一些應用,如Yahoo、MSN、Google的郵件服務,Shutterfly的相冊服務等。由於DAS的明顯的優勢,相信不久的將來DAS模型會在各種商業領域內得到更廣泛的應用。
② 技術干貨 019|用LUKS為雲盤敏感數據上鎖
通過之前的教程,我們學習了如何在 Linux 和 Windows 雲伺服器上掛載和擴容雲硬碟,解決了業務存儲的性能擴展問題。然而,如何確保這些塊存儲的安全性呢?本文將探討如何在騰訊雲上,通過 dm-crypto/LUKS 實現雲硬碟的塊設備加密方法。
在討論數據安全時,靜止數據加密(data-at-rest)至關重要。它確保文件始終以加密形式存儲在磁碟上。只有在系統運行且受信任用戶解鎖時,文件才以可讀形式對操作系統和應用程序可見。未經授權直接查看磁碟內容,只會得到無法理解的隨機數據。靜止數據加密在以下場景提供保護:非受信任人員進入機房、硬碟丟失或被盜、筆記本電腦、上網本或外部存儲設備的使用、在修理廠修理以及硬碟棄用後。盡管它不能防止運行時網路入侵或物理入侵等場景下的數據泄露,但結合在途數據加密(data-in-use或data-in-transit),形成完整的數據安全策略。
靜止數據加密的層次模型包括應用層、文件系統層和塊設備層加密。應用層加密由軟體提供,靈活性高但性能挑戰大。文件系統層加密如 EFS、XTS 等,文件系統本身負責加密解密操作,對應用程序透明,但難以配置精細許可權。塊設備層加密,如 dm-crypt/LUKS,對整個磁碟加密,提供最高安全性和性能。
dm-crypt 是 Linux 內核提供的標准設備映射加密功能,允許在 Linux 2.6 版本中作為透明硬碟加密子系統加入。它通過 device mapper target 實現,支持文件系統、swap 分區、LVM 和其他塊設備加密。LUKS 是 dm-crypt 的擴展,提供密鑰管理功能,確保加密卷的安全性和易用性。LUKS 卷默認使用 AES-XTS 加密演算法,這是目前最安全且性能最高的 AES 加密模式,依賴硬體加速(如 AESNI)提供性能優勢。
本文通過 cryptsetup 工具指導實踐,演示了如何在騰訊雲 CVM 雲伺服器上創建、格式化、打開和管理 LUKS 加密卷。通過 luksFormat 創建加密卷,luksDump 查看加密卷 Header 信息,luksOpen 和 luksClose 進行加密卷的解鎖和鎖定。此外,還提供了備份和恢復 Header、變更密碼等操作的步驟,確保了數據安全性和管理靈活性。
性能測試顯示,LUKS 加密對硬碟的讀寫性能影響較小,加密前後性能變化在 1%~3% 內,且均超過雲硬碟官方性能。這得益於 dm-crypt/LUKS 的高性能加密實現。最佳實踐建議僅加密數據盤,系統盤無需加密,以提高啟動效率。LUKS 可以在 LVM 之下或之上使用,根據具體需求選擇合適的加密層級。
本文不僅提供了技術細節,還強調了數據安全的重要性。通過 dm-crypt/LUKS 實現的塊設備加密,為雲存儲數據提供了一把安全的鎖。在完成本文學習後,希望讀者能夠為自己的(雲)硬碟加一把安全鎖,確保數據安全。