Encrypting Cloud Data with Alibaba Cloud

  • by

[Alibaba Cloud Thailand] การเข้ารหัสข้อมูลบนคลาวด์

By Saris Kongpichetkul, Presales Engineer of ATCETERA CORPORATION LIMITED and partner of Alibaba Cloud Thailand

การเข้ารหัสข้อมูลบนคลาวด์

ก่อนที่เราจะทำการถ่ายโอนข้อมูลไปยังระบบคลาวด์เพื่อจัดเก็บข้อมูล ผู้ให้บริการพื้นที่จัดเก็บบนคลาวด์นั้นจะทำการเข้ารหัสข้อมูล ซึ่งการเข้ารหัสอาจมีตั้งแต่การเชื่อมต่อไปจนถึงการเข้ารหัสที่จำกัดของข้อมูลเฉพาะ (เช่น ข้อมูลรับรองของบัญชี) ไปจนถึงการเข้ารหัสตั้งแต่ต้นทางถึงปลายทาง (end-to-end) เต็มรูปแบบของข้อมูลทั้งหมดที่อัปโหลดไปยังคลาวด์ โมเดลประเภทนี้จะเข้ารหัสข้อมูลทันทีที่ได้รับ โดยมอบคีย์การเข้ารหัสให้กับลูกค้าเพื่อให้สามารถถอดรหัสข้อมูลได้อย่างปลอดภัยตามต้องการ

ระบบ ฐานข้อมูล หรือไฟล์ที่เข้ารหัสแล้วไม่สามารถถอดรหัสได้หากไม่มีคีย์ถอดรหัส ทำให้เป็นหนึ่งในวิธีการรักษาความปลอดภัยข้อมูลที่ปลอดภัยที่สุด บริษัทสามารถรักษาความปลอดภัยข้อมูลที่ละเอียดอ่อนโดยการเข้ารหัสและจัดการคีย์การเข้ารหัสอย่างปลอดภัย หากไม่มีคีย์ ข้อมูลที่เข้ารหัสจะไม่สามารถอ่านได้และไม่มีความหมายโดยพื้นฐานแล้วแม้ว่าจะสูญหาย ถูกขโมย หรือเข้าถึงโดยไม่ได้รับอนุญาต

ความท้าทายเกี่ยวกับการเข้ารหัสบนคลาวด์

แม้จะมีประสิทธิภาพในการเสริมความปลอดภัยของข้อมูล แต่โดยทั่วไปการเข้ารหัสมักมีความซับซ้อน ซึ่งอาจเป็นหนึ่งในความท้าทายหลักที่บริษัทต้องเผชิญ องค์กรทุกขนาดพึ่งพาบริการคลาวด์มากขึ้นเพื่อให้สอดคล้องตามข้อกำหนดและประสิทธิภาพในการรักษาความปลอดภัยของข้อมูลภายในองค์กร

ผู้ให้บริการบนคลาวด์จะมีค่าใช้จ่ายที่เกี่ยวข้องกับการเข้ารหัส เนื่องจากการเข้ารหัสข้อมูลจำเป็นต้องใช้แบนด์วิดท์ที่มากขึ้น ดังนั้น ผู้ให้บริการพื้นที่จัดเก็บข้อมูลบนคลาวด์บางรายจึงจำกัดบริการเข้ารหัสบนคลาวด์ ในขณะที่ผู้ให้บริการรายอื่นๆ เข้ารหัสข้อมูลภายในองค์กรก่อนที่จะจัดเก็บไว้ในคลาวด์ นี่เป็นแนวทางที่ลูกค้าบางรายเลือกใช้เพราะช่วยประหยัดค่าใช้จ่ายในขณะที่ทำให้พวกเขาสามารถควบคุมคีย์การเข้ารหัสและกระบวนการเข้ารหัสทั้งหมดภายในเครือข่ายของตนได้ โดยจะถ่ายโอนข้อมูลที่เข้ารหัสไปยังระบบคลาวด์เมื่อได้รับการเข้ารหัสแล้วเท่านั้น

Alibaba Cloud Data Encryption Service บริการนี้ช่วยให้ลูกค้าของ Alibaba Cloud สามารถเข้าถึงโมดูลความปลอดภัยฮาร์ดแวร์ (HSM) ที่โฮสต์บนคลาวด์ การดำเนินการเข้ารหัสได้รับการประมวลผลโดย HSM และคีย์จะถูกเก็บไว้อย่างปลอดภัย

คุณลักษณะที่ให้บริการเข้ารหัสข้อมูลกับ HSM

1. วิธีการสร้างตัวเลขสุ่ม (generating random numbers)

2. รหัสรับรองความถูกต้องข้อความแบบแฮช (HMAC) รองรับอัลกอริธึมหลายรูปแบบ

3. ใช้ฟังก์ชันการจัดการคีย์ (key lifecycle management) เช่น การสร้าง การทำลาย นำเข้า และส่งออกคีย์

4. ลงชื่อและยืนยันคีย์ในรูปแบบ asymmetric keys

5. รองรับหลายคีย์

6. การเข้ารหัสและถอดรหัสข้อมูลสามารถทำได้ด้วยคีย์สมมาตรและไม่สมมาตร

สถาปัตยกรรมบริการเข้ารหัสข้อมูลของ Alibaba Cloud

Data Encryption Service เป็นบริการโฮสต์ที่มีการเข้ารหัสข้อมูลบนคลาวด์ Alibaba Cloud ทำให้การปรับใช้บริการนี้เป็นเรื่องง่ายและคุ้มค่า เนื่องจากบริการนี้จัดการและบำรุงรักษา HSM 

รูปภาพ : สถาปัตยกรรมบริการเข้ารหัสข้อมูลของ Alibaba Cloud

ภาพรวมของประโยชน์ของการเข้ารหัสข้อมูลของ Alibaba Cloud

  1. ความปลอดภัยทางไซเบอร์
  2. รักษาการปฏิบัติตามข้อกำหนด
  3. ความโปร่งใส
  4. การลดความเสี่ยง
  5. ความมุ่งมั่นในการปกป้องข้อมูลโดยสมบูรณ์
  6. การปกป้องข้อมูลส่วนบุคคล

รูปภาพ : ประโยชน์ของการเข้ารหัสข้อมูลของ Alibaba Cloud

สถานการณ์ต่อไปนี้แสดงให้เห็นว่าบริการเข้ารหัสข้อมูลของ Alibaba Cloud สามารถใช้ได้อย่างไร:

ผู้ใช้บริการเข้ารหัสข้อมูลสามารถใช้ HSM เพื่อดำเนินการต่างๆ เช่น การจัดการ SSL และ TLS สำหรับเว็บเซิร์ฟเวอร์ การปกป้องคีย์ส่วนตัวสำหรับผู้ออกใบรับรอง (CA) และการเข้ารหัสข้อมูลที่ละเอียดอ่อนในแอปพลิเคชันระบบคลาวด์ด้วยการเข้ารหัสข้อมูลแบบ Transparent Data Encryption (TDE)

  1. มาตรการรักษาความปลอดภัยที่ปกป้องข้อมูลที่ละเอียดอ่อนโดยการเข้ารหัส
    เพื่อให้เป็นไปตามคำขอด้านความปลอดภัยและการปฏิบัติตามข้อกำหนด ข้อมูลที่ละเอียดอ่อนสามารถเข้ารหัสได้โดยการใช้งาน HSM เข้ากับแอปพลิเคชันของเราเช่น ระบบอีคอมเมิร์ซ ระบบการเงิน และระบบธุรกิจอื่นๆ
  2. การใช้งานร่วมกับ Oracle TDE
    การเข้ารหัสข้อมูลแบบ Transparent Data Encryption (TDE) ให้กลไกในการปกป้องข้อมูลที่ละเอียดอ่อนโดยการเข้ารหัสข้อมูลที่ละเอียดอ่อนในคอลัมน์ฐานข้อมูลหรือพื้นที่ตารางไฟล์ของระบบปฏิบัติการ โมดูลความปลอดภัยภายนอกฐานข้อมูลจัดเก็บคีย์การเข้ารหัสเพื่อป้องกันการถอดรหัสโดยไม่ได้รับอนุญาต ไฟล์ข้อมูลสามารถเข้ารหัสใน TDE เพื่อป้องกันไม่ให้ระบบปฏิบัติการเข้าถึงข้อมูลที่ละเอียดอ่อน
  3. เว็บไซต์ HTTPS พร้อม SSL Offloading
    คีย์สาธารณะและส่วนตัวและใบรับรองคีย์สาธารณะช่วยให้เว็บไซต์ HTTPS สร้างการเชื่อมต่อที่ปลอดภัยกับไคลเอ็นต์ได้ วิธีนี้ใช้ทรัพยากรของเว็บเซิร์ฟเวอร์เป็นจำนวนมาก ลดความพร้อมใช้งานของเว็บเซิร์ฟเวอร์ และลดประสิทธิภาพของเว็บเซิร์ฟเวอร์ ไฟล์คีย์ส่วนตัวของใบรับรอง SSL ถูกจัดเก็บไว้ในดิสก์ และมีความเสี่ยงที่จะถูกบุกรุก คุณสามารถสร้างคีย์ส่วนตัวและทำการออฟโหลด SSL ให้เสร็จสมบูรณ์ผ่าน HSM บน Alibaba Cloud Data Encryption Service

4. การออกคีย์ส่วนตัวของ CA ควรได้รับการเข้ารหัส
ผู้ออกใบรับรอง (CAs) มีหน้าที่ออกใบรับรองดิจิทัล คีย์ส่วนตัวของ CA ใช้เพื่อลงนามในใบรับรองดิจิทัล รับรองความเป็นเจ้าของคีย์สาธารณะตามหัวข้อที่มีชื่อ ใบรับรองดิจิทัลพิสูจน์ว่าเจ้าของคีย์สาธารณะเป็นหัวข้อของใบรับรอง คีย์ส่วนตัวต้องเก็บไว้ใน HSM และการดำเนินการเข้ารหัสต้องดำเนินการโดยใช้ HSM

บทสรุป

มาตรฐาน ข้อบังคับ และความต้องการด้านความปลอดภัยขององค์กรทำให้การเข้ารหัสบนคลาวด์มีความจำเป็น แม้ว่าจะมีความยุ่งยากแต่การเข้ารหัสบนคลาวด์ถือเป็นแนวทางสำคัญในการปกป้องข้อมูลโดยผู้เชี่ยวชาญด้านความปลอดภัย นอกจากนี้ ผู้ให้บริการ Alibaba Cloud ยังเสนอแอปพลิเคชันการเข้ารหัสที่แตกต่างกันหลายตัวที่ตรงตามงบประมาณและข้อกำหนดด้านการปกป้องข้อมูลที่หลากหลาย องค์กรควรตระหนักถึงความต้องการในการปกป้องข้อมูลและใช้บริการเข้ารหัสข้อมูลของ Alibaba Cloud เพื่อหลีกเลี่ยงการทำให้ธุรกิจตกอยู่ในความเสี่ยงและใช้ประโยชน์จากการเข้ารหัสบนคลาวด์

Facebook

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น