انضم إلي واستكشف Cloud Cryptography وأنواعه وتنفيذ Google Cloud.
تعد الحوسبة السحابية ، وهي مجموعة فرعية من IaaS ، متقدمة جدًا على مرحلة الكلمات الطنانة. إنها قوة مهيمنة مع الأفراد والشركات والحكومات الذين يستخدمون الخدمات السحابية لتقليل متاعب مكدس التكنولوجيا المحلية.
السحابة هي مثال على الملاءمة والاقتصاد وقابلية التوسع.
ببساطة ، الحوسبة السحابية هي عندما تستعير موارد الكمبيوتر مثل التخزين وذاكرة الوصول العشوائي ووحدة المعالجة المركزية وما إلى ذلك ، عبر الإنترنت دون استضافة أي شيء فعليًا.
المثال اليومي هو Google Drive أو Yahoo Mail. نحن نثق في هذه الشركات بالبيانات – أحيانًا معلومات شخصية أو متعلقة بالعمل حساسة.
بشكل عام ، لا يهتم المستخدم العادي بخصوصية أو أمان الحوسبة السحابية. لكن أي شخص مطلع بشكل لائق على تاريخ المراقبة أو الهجمات الإلكترونية المتطورة الحالية يحتاج إلى زيادة حذره أو على الأقل إبلاغه بالوضع الحالي.
ما هو التشفير السحابي؟
يعالج التشفير السحابي هذا الشعور بعدم الأمان من خلال تشفير البيانات المخزنة في السحابة لمنع الوصول غير المصرح به.
التشفير هو تقنية استخدام تشفير (خوارزمية) لتحويل المعلومات القياسية إلى نسخة مشفرة. في هذه الحالة ، لن يفهم المهاجم التفاصيل حتى لو تم الكشف عنها.
هناك أنواع مختلفة من التشفير بناءً على حالة الاستخدام. لذلك من المهم استخدام تشفير عالي الجودة لتشفير البيانات السحابية.
على سبيل المثال ، هل يمكنك فهم النص التالي:
Iggmhnctg rtqfwegu jkij-swcnkva vgejpqnqia & hkpcpeg ctvkengu ، ocmgu vqqnu ، cpf CRKu vq jgnr dwukpguugu cpf rgqrng itqy.
رقم!
قد يكون هذا لغزًا لعقل بشري ، لكن استخدم أي وحدة فك تشفير قيصر وستفككه في ثوانٍ:
حتى شخص على دراية جيدة بشفرة قيصر يمكنه أن يرى أن جميع الحروف في النص المشفر هي أبجديتان قبل نظرائهم في النص العادي.
لذا فإن الهدف هو استخدام تشفير قوي ، مثل تشفير AES-256.
كيف يعمل التشفير السحابي؟
ربما أعطت الأسطر الأخيرة من القسم السابق انطباعًا بأنك ستختار تشفيرًا لتشفير البيانات.
من الناحية الفنية ، يمكن أن تعمل بهذه الطريقة. لكن عادةً ما يمكّن موفر الخدمة السحابية التشفير مدمجًا ، أو تستخدم التشفير كخدمة من طرف ثالث.
لذلك نقسم هذا إلى فئتين ونرى التنفيذ.
# 1. التشفير على منصة سحابية
هذه هي الطريقة الأكثر بساطة حيث يعتني موفر الخدمة السحابية ذا السمعة الطيبة بالتشفير.
من الناحية المثالية ، ينطبق هذا على:
البيانات في الراحة
هذا عندما يتم تخزين البيانات في شكل مشفر قبل نقلها إلى حاويات التخزين أو بعد ذلك.
نظرًا لأن التشفير السحابي هو نهج جديد ، فلا توجد طريقة محددة مسبقًا للقيام بالأشياء. هناك العديد من المنشورات البحثية التي تختبر طرقًا مختلفة ، ولكن المهم هو التطبيق في الحياة الواقعية.
إذن ، كيف تحمي شركة البنية التحتية السحابية الكبرى مثل Google Cloud البيانات في حالة عدم التشغيل؟
وفقًا لسجلات Google ، فإنهم يقسمون البيانات إلى مجموعات صغيرة من بضعة غيغابايت منتشرة عبر حاويات التخزين الخاصة بهم على أجهزة مختلفة. يمكن أن تحتوي أي حاوية محددة على بيانات من نفس المستخدمين أو مستخدمين مختلفين.
بالإضافة إلى ذلك ، يتم تشفير كل حزمة على حدة ، حتى لو كانت في نفس الحاوية وتنتمي إلى مستخدم واحد. هذا يعني أنه في حالة اختراق مفتاح التشفير المرتبط بحزمة واحدة ، ستظل الملفات الأخرى آمنة.
المصدر: جوجل كلاود
بالإضافة إلى ذلك ، يتغير مفتاح التشفير مع كل تحديث للبيانات.
يتم تشفير البيانات الموجودة على طبقة التخزين هذه باستخدام AES-256 ، باستثناء بعض الأقراص الثابتة التي تم إنشاؤها قبل عام 2015 باستخدام تشفير AES-128 بت.
هذه هي الطبقة الأولى من التشفير – على مستوى الحزمة الفردية.
ثم يتم تشفير محركات الأقراص الثابتة (HDD) أو محركات الأقراص ذات الحالة الصلبة (SSD) التي تستضيف هذه البتات من البيانات بطبقة إضافية من تشفير AES-256 بت ، مع استمرار بعض محركات الأقراص الثابتة القديمة باستخدام AES-128. لاحظ أن مفاتيح التشفير على مستوى الجهاز تختلف عن التشفير على مستوى التخزين.
الآن ، يتم تشفير جميع مفاتيح تشفير البيانات (DEKs) بشكل إضافي باستخدام مفاتيح تشفير المفاتيح (KEKs) ، والتي تتم إدارتها مركزيًا بواسطة خدمة إدارة المفاتيح (KMS) من Google. تستخدم جميع KEKs تشفير AES-256 / AES-128 بت ، ويرتبط KEK واحد على الأقل بكل خدمة سحابة من Google.
يتم تدوير KEKs مرة واحدة على الأقل كل 90 يومًا باستخدام مكتبة التشفير المشتركة من Google.
يتم نسخ كل KEK احتياطيًا ، وتتبعها في كل مرة يستخدمها شخص ما ، ولا يمكن الوصول إليها إلا من قبل الأفراد المعتمدين.
بعد ذلك ، يتم إعادة تشفير جميع KEKs باستخدام تشفير AES-256 بت الذي يولد مفتاح KMS الرئيسي المخزن في منشأة أخرى لإدارة المفاتيح ، تسمى Root KMS ، والتي تخزن حفنة من هذه المفاتيح.
تتم إدارة Root KMS على أجهزة مخصصة في كل مركز بيانات Google Cloud.
الآن تم تشفير Root KMS باستخدام AES-256 ، مما يؤدي إلى إنشاء مفتاح KMS Root واحد مخزن في البنية التحتية من نظير إلى نظير.
يتم تشغيل مثيل Root KMS على كل موزع مفتاح رئيسي لـ KMS يحمل المفتاح في ذاكرة الوصول العشوائي.
تتم مصادقة كل مثيل جديد لموزع المفتاح الرئيسي لـ KMS من خلال مثيلات قيد التشغيل بالفعل لتجنب الأخطاء.
بالإضافة إلى ذلك ، للتعامل مع الحالة التي تحتاج فيها جميع مثيلات الموزع إلى التمهيد في نفس الوقت ، يتم أيضًا نسخ مفتاح الجذر الرئيسي لـ KMS احتياطيًا في موقعين فعليين فقط.
وأخيرًا ، يتمتع أقل من 20 موظفًا في Google بإمكانية الوصول إلى هذه المواقع ذات التصنيف العالي.
إذن هذه هي الطريقة التي يمارس بها Google التشفير السحابي للبيانات غير المستقرة.
ولكن إذا كنت تريد أن تأخذ الأمور بين يديك ، فيمكنك أيضًا إدارة المفاتيح بنفسك. بدلاً من ذلك ، يمكن للمرء إضافة طبقة أخرى من التشفير فوق هذا وإدارة المفاتيح نفسها. ومع ذلك ، يجب أن نتذكر أن فقدان هذه المفاتيح يعني أيضًا منعك من الوصول إلى مشروع الويب الخاص بك.
ومع ذلك ، لا ينبغي أن نتوقع هذا المستوى من التفاصيل من كل مزود خدمة سحابي آخر. نظرًا لأن Google تفرض رسومًا على خدماتها ، يمكنك الاستفادة من مزود آخر يكلف أقل ولكن لا يزال يناسب نموذج التهديد المحدد الخاص بك.
نقل البيانات
هذا هو المكان الذي تنتقل فيه البيانات داخل مركز بيانات موفر السحابة أو خارج حدوده ، كما هو الحال عند تحميلها من جهازك الخاص.
مرة أخرى ، لا توجد طريقة صعبة لحماية البيانات أثناء النقل ، لذلك سنرى تطبيق Google السحابي.
يحدد الكتاب الأبيض في هذا الصدد ، التشفير أثناء النقل ثلاثة تدابير لتأمين البيانات غير الثابتة: المصادقة والتشفير والتحكم في السلامة.
ضمن مركز البيانات الخاص بها ، تؤمن Google البيانات التي يتم نقلها من خلال مصادقة نقطة النهاية والتحقق من التكامل مع تشفير اختياري.
بينما يمكن للمستخدم أن يختار اتخاذ إجراءات إضافية ، تؤكد Google أمانًا من الدرجة الأولى في مقرها من خلال الوصول الخاضع للمراقبة الشديدة الممنوح لبعض موظفيها.
خارج حدودها المادية ، تتبنى Google سياسة متباينة لخدماتها السحابية (مثل Google Drive) وجميع تطبيقات العملاء المستضافة على السحابة (مثل أي موقع ويب يعمل على محرك الحوسبة الخاص بها).
في الحالة الأولى ، تنتقل كل حركة المرور أولاً إلى نقطة التفتيش المسماة Google Front End (GFE) باستخدام بروتوكول أمان طبقة النقل (TLS). تتلقى حركة المرور بعد ذلك تخفيف DDoS وموازنة الحمل عبر الخوادم وتوجيهها أخيرًا إلى خدمة Google Cloud Service المقصودة.
بالنسبة للحالة الثانية ، تقع مسؤولية ضمان أمان نقل البيانات في الغالب على عاتق مالك البنية التحتية ما لم يستخدم خدمة Google أخرى (مثل Cloud VPN) لنقل البيانات.
بشكل عام ، يتم استخدام TLS لضمان عدم العبث بالبيانات في الطريق. هذا هو نفس البروتوكول الذي يتم استخدامه افتراضيًا عند الاتصال بموقع ويب باستخدام HTTPS ، والذي يرمز إليه بأيقونة قفل في حقل عنوان URL.
على الرغم من أنه يُستخدم عادةً في جميع المتصفحات ، إلا أنه يمكنك أيضًا استخدامه على تطبيقات أخرى مثل البريد الإلكتروني والمكالمات الصوتية / المرئية والمراسلة الفورية وما إلى ذلك.
ولكن بالنسبة لمعايير التشفير النهائية ، هناك شبكات افتراضية خاصة توفر مرة أخرى طبقات متعددة من الأمان باستخدام شفرات تشفير متقدمة مثل AES-256.
لكن تنفيذ التشفير السحابي بمفردك أمر صعب ، وهو ما يقودنا إلى …
# 2. التشفير كخدمة
هذا هو المكان الذي تكون فيه بروتوكولات الأمان الافتراضية على النظام الأساسي السحابي ضعيفة أو مفقودة لحالات استخدام محددة.
من الواضح أن أحد أفضل الحلول هو مراقبة كل شيء بنفسك وضمان أمان البيانات على مستوى المؤسسات. لكن قول هذا أسهل من فعله وهو يبتعد عن النهج الخالي من المتاعب الذي يختاره شخص ما الحوسبة السحابية.
وهذا يتركنا لاستخدام التشفير كخدمة (EAAS) مثل CloudHesive. على غرار استخدام الحوسبة السحابية ، هذه المرة “تستعير” التشفير وليس وحدة المعالجة المركزية وذاكرة الوصول العشوائي والتخزين وما إلى ذلك.
استنادًا إلى موفر EAAS ، يمكنك استخدام التشفير للبيانات الموجودة في حالة التخزين والنقل.
مزايا وعيوب التشفير السحابي
الميزة الأكثر وضوحا هي السلامة. تضمن ممارسة التشفير السحابي بقاء بيانات المستخدمين بعيدة عن مجرمي الإنترنت.
بينما لا يمكن للتشفير السحابي أن يوقف كل اختراق ، فإن الأمر يتعلق بالقيام بدورك والحصول على التبرير الصحيح إذا ساءت الأمور.
عندما يتعلق الأمر بالعيوب ، فإن الأول هو التكلفة والوقت المستغرقان لترقية إطار العمل الأمني الحالي. أيضًا ، هناك القليل مما يمكن أن يساعدك إذا فقدت الوصول إلى مفاتيح التشفير أثناء إدارة نفسك.
ونظرًا لأن هذه تقنية جديدة ، فليس من السهل العثور على EAAS أيضًا.
في الختام ، فإن الخيار الأفضل هو استخدام مزود خدمة سحابية حسن السمعة والبنك على آليات التشفير الأصلية.
إغلاق
نأمل أن يمنحك هذا لمحة عن التشفير السحابي. للتلخيص ، يتعلق الأمر بأمن البيانات المرتبط بالسحابة ، بما في ذلك عندما تنتقل إلى الخارج.
معظم شركات البنية التحتية السحابية الأعلى تقييمًا مثل Google Cloud ، Amazon خدمات الويب ، وما إلى ذلك ، لديها أمان كافٍ لتحقيق أقصى استخدام. ومع ذلك ، لا ضرر من استخدام المصطلحات الفنية قبل استضافة تطبيقاتك ذات المهام الحرجة مع شخص ما.
ملاحظة: تحقق من بعض حلول تحسين التكلفة السحابية لـ AWS و Google Cloud و Azure وما إلى ذلك.
