基于密码技术的云安全服务商

新闻中心

当前位置:首页 > 新闻中心 > 行业动态

Heartbleed回顾和深思——云环境中怎么保护自己的秘密

来源: | 浏览:0 | 时间:2015-07-27 09:21:15

摘 要:OpenSSL Heartbleed漏洞的影响比预想的更广更远,其中私钥数据泄露风险也引起了关注,在云计算架构中如何保护好私钥?面向公有云环境的支持虚拟化的云密码机可以有效规避私钥泄露风险。

关键字:OpenSSL Heartbleed云密码机 虚拟密码机

 

2014年4月曝出的OpenSSL Heartbleed漏洞可谓引起了互联网的一场大地震,一时间各种消息满天飞,厂家忙着打补丁,用户忙着改口令,整个过程历历在目记忆犹新。事后关于Heartbleed漏洞到底带来了多大的危害在网络上引发了热烈的讨论,很多安全专家认为这个漏洞带来的危害和后续的影响还要远大于表面。就在今年上半年,据密钥管理公司Venafi的最近报道,对两千家企业进行调查发现,有四分之三的公司仍然容易受到Heartbleed的攻击,造成如此现象的主要原因是这些公司并没有彻底的加固系统来对抗去年报道出来的 OpenSSL Heartbleed。很多公司仅仅是升级了OpenSSL版本或打了补丁,但是忽视了证书、私钥或管理用户口令等重要数据泄漏带来的后续风险。

Venafi的调查结果并不是危言耸听,私钥数据的泄露绝不是小事。就在Heartbleed漏洞公布不久,众多安全专家就私钥数据是否会泄露的在网上展开了激烈的争论,但最终结论是让人难安的,也就是说如果采用了默认的OpenSSL密码引擎(Engine),则难逃泄露风险。OpenSSL是一个被广泛使用的密码开源软件包,著名的Web服务器Apache和Nginx的HTTPS底层就是用OpenSSL实现TLS/SSL,这也恰好是互联网企业成为重灾区的重要原因之一。私钥数据被攻击者截获后,可能会具有解密https通信数据的能力,如果站点仅靠HTTPS保证数据安全性,则可能会泄露更多的数据。攻击者配合DNS劫持等手段,可轻松实现钓鱼攻击,从而给用户带来损失。



Heartbleed漏洞引起的私钥泄露仅仅是被发现的风险之一,攻击者能够窃取私钥数据的方式可能还有很多,因为许多公司的私钥是以文件形式保存在服务器磁盘上或者明文出现在内存中,所以被“窃取”的风险非常高。我们该如何进行防范,怎么守护好我们的秘密。在传统IT网络中,可以部署SSL反向代理网关实现HTTPS,如果在网关层做好密钥保护,则可防止私钥被“窃取”的风险。很遗憾的是在Heartbleed漏洞爆发后,众多带有SSL安全功能的网络设备同样没有避免这种厄运,主要是因为许多网络设备没有做好密钥保护的工作。三未信安资深网络安全工程师建议:采用经过安全评估的专业密码产品是您的最佳选择。除了部署安全网关外,还可以采用HTTPS加固的方案。目前主流的Web服务器都支持HTTPS,并且支持第三方安全提供者,如Apache/Nginx等支持OpenSSL的第三方Engine,WebLogic/Tomcat/JBoss/WebSphere等支持JCE的第三方Provider,Microsoft IIS也支持CSP的第三方Provider。

除了采用密码硬件进行HTTPS加固外,有些企业会采用减少证书使用范围或更短证书有效期等方式来降低风险。减少证书使用范围是指申请一个证书群,每个子域名或子节点使用一个套数字证书,以减少私钥数据泄露所影响的范围。更短证书有效期是指为站点申请小于3个月有效期的数字证书(大多HTTPS数字证书的有效期为5年或10年以上),以减少私钥数据泄露所影响的有效时间。这两种方法虽然在一定程度上降低了安全风险,但是并没有从根本上解决问题,并且也增加了运维和使用成本(大多HTTPS证书为第三方机构有偿提供)。

密码算法的实现有软件实现方式和硬件芯片实现方式,其实其最根本的差别在于专业的硬件密码模块(HSM)可以更好的保护用户的密钥数据,密钥的明文仅在硬件内部密码运算时参与,而绝不会以明文形式出现在硬件密码模块外的主机磁盘或内存中。并且这些硬件密码模块还具有一系列的物理防护、安全审计等安全手段,无论是内部还是外部的攻击者都“无从下手”,从而保证了密钥数据的安全性。北京三未信安科技发展有限公司是专业的密码硬件方案供应商,公司的产品可以极大的保护用户的数据不被侵犯。

在云计算架构中,尤其是公有云,又出现了新的问题,如何为每个用户部署安全网关?如何采用硬件密码模块来保护私钥?怎么降低安全投资成本?适用于公有云的支持虚拟化的密码机可以很好的解决这几个问题。

三未信安自主研发的适用于公有云、支持虚拟化的云密码机可以很好的解决这几个问题。

云密码机是一款面向云环境的密码机(服务),支持多种用例和应用程序,例如,数据库加密、数字权限管理 (DRM)、证书应用(PKI)、验证和授权、文档签名和事务处理。在云密码机实际上是包含多个物理密码机的密码云平台,每台物理密码机中内置多个硬件密码扩展卡,密码卡支持虚拟化并支持多个密码分区(VSM),并支持密码分区的访问隔离,用户密钥只有在VSM中以明文形式出现。




在部署在虚机上的Web Server端安装JCE ProviderOpenSSL Engine驱动,即可实现对云环境中Web服务器的HTTPS安全增强功能。云应用(虚机)与虚拟密码机(VSM)之间通过TLS/SSL进行双向身份认证并建立安全通道。用户在配置云密码机时通过管理终端下载授权凭证文件,并将授权凭证文件及客户端软件和API部署到虚机环境中,应用程序通过API调用VSM时由客户端软件使用授权凭证文件中的证书与VSM进行双向身份认证并建立安全通道。


相关链接: 云密码机解决方案