基於AG8亚游技術的雲安全服務商

新聞中心

當前位置:首頁 > 新聞中心 > 行業動態

Heartbleed回顧和深思——雲環境中怎麽保護自己的秘密

來源: | 瀏覽:0 | 時間:2015-07-27 09:21:15

摘 要:OpenSSL Heartbleed漏洞的影響比預想的更廣更遠,其中私鑰數據泄露風險也引起了關注,在雲計算架構中如何保護好私鑰?麵向公有雲環境的支持虛擬化的雲AG8亚游機可以有效規避私鑰泄露風險。

關鍵字:OpenSSL Heartbleed雲AG8亚游機 虛擬AG8亚游機

 

2014年4月曝出的OpenSSL Heartbleed漏洞可謂引起了互聯網的一場大地震,一時間各種消息滿天飛,廠家忙著打補丁,用戶忙著改口令,整個過程曆曆在目記憶猶新。事後關於Heartbleed漏洞到底帶來了多大的危害在網絡上引發了熱烈的討論,很多安全專家認為這個漏洞帶來的危害和後續的影響還要遠大於表麵。就在今年上半年,據密鑰管理公司Venafi的最近報道,對兩千家企業進行調查發現,有四分之三的公司仍然容易受到Heartbleed的攻擊,造成如此現象的主要原因是這些公司並沒有徹底的加固係統來對抗去年報道出來的 OpenSSL Heartbleed。很多公司僅僅是升級了OpenSSL版本或打了補丁,但是忽視了證書、私鑰或管理用戶口令等重要數據泄漏帶來的後續風險。

Venafi的調查結果並不是危言聳聽,私鑰數據的泄露絕不是小事。就在Heartbleed漏洞公布不久,眾多安全專家就私鑰數據是否會泄露的在網上展開了激烈的爭論,但最終結論是讓人難安的,也就是說如果采用了默認的OpenSSLAG8亚游引擎(Engine),則難逃泄露風險。OpenSSL是一個被廣泛使用的AG8亚游開源軟件包,著名的Web服務器Apache和Nginx的HTTPS底層就是用OpenSSL實現TLS/SSL,這也恰好是互聯網企業成為重災區的重要原因之一。私鑰數據被攻擊者截獲後,可能會具有解密https通信數據的能力,如果站點僅靠HTTPS保證數據安全性,則可能會泄露更多的數據。攻擊者配合DNS劫持等手段,可輕鬆實現釣魚攻擊,從而給用戶帶來損失。



Heartbleed漏洞引起的私鑰泄露僅僅是被發現的風險之一,攻擊者能夠竊取私鑰數據的方式可能還有很多,因為許多公司的私鑰是以文件形式保存在服務器磁盤上或者明文出現在內存中,所以被“竊取”的風險非常高。我們該如何進行防範,怎麽守護好我們的秘密。在傳統IT網絡中,可以部署SSL反向代理網關實現HTTPS,如果在網關層做好密鑰保護,則可防止私鑰被“竊取”的風險。很遺憾的是在Heartbleed漏洞爆發後,眾多帶有SSL安全功能的網絡設備同樣沒有避免這種厄運,主要是因為許多網絡設備沒有做好密鑰保護的工作。三未信安資深網絡安全工程師建議:采用經過安全評估的專業AG8亚游產品是您的最佳選擇。除了部署安全網關外,還可以采用HTTPS加固的方案。目前主流的Web服務器都支持HTTPS,並且支持第三方安全提供者,如Apache/Nginx等支持OpenSSL的第三方Engine,WebLogic/Tomcat/JBoss/WebSphere等支持JCE的第三方Provider,Microsoft IIS也支持CSP的第三方Provider。

除了采用AG8亚游硬件進行HTTPS加固外,有些企業會采用減少證書使用範圍或更短證書有效期等方式來降低風險。減少證書使用範圍是指申請一個證書群,每個子域名或子節點使用一個套數字證書,以減少私鑰數據泄露所影響的範圍。更短證書有效期是指為站點申請小於3個月有效期的數字證書(大多HTTPS數字證書的有效期為5年或10年以上),以減少私鑰數據泄露所影響的有效時間。這兩種方法雖然在一定程度上降低了安全風險,但是並沒有從根本上解決問題,並且也增加了運維和使用成本(大多HTTPS證書為第三方機構有償提供)。

AG8亚游算法的實現有軟件實現方式和硬件芯片實現方式,其實其最根本的差別在於專業的硬件AG8亚游模塊(HSM)可以更好的保護用戶的密鑰數據,密鑰的明文僅在硬件內部AG8亚游運算時參與,而絕不會以明文形式出現在硬件AG8亚游模塊外的主機磁盤或內存中。並且這些硬件AG8亚游模塊還具有一係列的物理防護、安全審計等安全手段,無論是內部還是外部的攻擊者都“無從下手”,從而保證了密鑰數據的安全性。北京三未信安科技發展有限公司是專業的AG8亚游硬件方案供應商,公司的產品可以極大的保護用戶的數據不被侵犯。

在雲計算架構中,尤其是公有雲,又出現了新的問題,如何為每個用戶部署安全網關?如何采用硬件AG8亚游模塊來保護私鑰?怎麽降低安全投資成本?適用於公有雲的支持虛擬化的AG8亚游機可以很好的解決這幾個問題。

三未信安自主研發的適用於公有雲、支持虛擬化的雲AG8亚游機可以很好的解決這幾個問題。

雲AG8亚游機是一款麵向雲環境的AG8亚游機(服務),支持多種用例和應用程序,例如,數據庫加密、數字權限管理 (DRM)、證書應用(PKI)、驗證和授權、文檔簽名和事務處理。在雲AG8亚游機實際上是包含多個物理AG8亚游機的AG8亚游雲平台,每台物理AG8亚游機中內置多個硬件AG8亚游擴展卡,AG8亚游卡支持虛擬化並支持多個AG8亚游分區(VSM),並支持AG8亚游分區的訪問隔離,用戶密鑰隻有在VSM中以明文形式出現。




在部署在虛機上的Web Server端安裝JCE ProviderOpenSSL Engine驅動,即可實現對雲環境中Web服務器的HTTPS安全增強功能。雲應用(虛機)與虛擬AG8亚游機(VSM)之間通過TLS/SSL進行雙向身份認證並建立安全通道。用戶在配置雲AG8亚游機時通過管理終端下載授權憑證文件,並將授權憑證文件及客戶端軟件和API部署到虛機環境中,應用程序通過API調用VSM時由客戶端軟件使用授權憑證文件中的證書與VSM進行雙向身份認證並建立安全通道。


相關鏈接: 雲AG8亚游機解決方案


網站地圖:sitemap
网站地图:sitemap