雲端數據加密方法深入對比

一、雲上數據的安全問題

2017年3月，來自雲安全公司MacKeeper的研究人員Chris Vickery發Twitter稱在美國發生一起「14億身份信息泄漏案」。2018年3月，著名的社交網路服務網站Facebook被曝數據泄露，4月報道涉及用戶可能高達20億人，導致其股票下跌近20%。近日，國內某著名互聯網IT巨頭CEO更是發出用戶願意「用隱私換便捷」的驚人言論。此外，許多擁有龐大的個人和企業資料庫的公司都有導致數據泄露的歷史。這一系列事件再一次將數據安全問題推向風口浪尖。

針對如此多發且嚴重的數據泄漏事件，雲端數據存儲的安全性問題就不得不引起人們的重視。目前諸多的個人信息、重要數據等都以明文的方式存儲在雲端，這對企業來說已經完全失去了對其的控制權，安全問題完全寄希望於雲提供商。

在多次會議和沙龍中，企業首席信息安全官們探討了該問題，一致認為：應用層的加密組件是雲安全的核心功能，要確保企業外的人（包括雲提供商）無法查看或訪問這些數據，當數據離開企業的安全環境進入雲服務提供商環境時，企業可以加密所有數據，並且只有企業有密鑰。

二、租戶存儲和使用雲端數據的方式

IaaS型資料庫（租戶自建資料庫）：

雲服務供應商提供給用戶的是計算機基礎設施，用戶購買服務後自行安裝操作系統及資料庫。目前主流的雲服務供應商都提供這種購買雲主機的服務。由於資料庫是自行安裝的，雲服務供應商無法直接獲取資料庫的內容。但是資料庫的數據文件保存在雲供應商提供的存儲上，供應商可以直接拷貝用戶數據文件從而獲得數據。

IaaS型（租戶自建資料庫）示意圖

SaaS型資料庫：

雲服務供應商提供給租戶的是已經封裝好的資料庫，用戶購買資料庫服務，獲得資料庫實例的使用權，可以在資料庫存儲與使用自己的數據。目前大多數雲服務供應商都提供這種資料庫服務。在這種場景中，雲服務供應商擁有資料庫宿主OS的ROOT許可權，從而擁有最高的資料庫許可權，可以毫無困難的直接操作租戶的所有數據。

SaaS型資料庫示意圖

SaaS應用：

租戶通過雲服務供應商提供的應用服務存取數據。例如在線CRM系統或在線OA系統中，租戶租用這種服務，並通過這種服務錄入和使用數據。租戶直接打開瀏覽器或APP就可以直接使用服務，所有的數據都由Web或APP與後端資料庫進行通訊。在這種情況下，租戶完全失去了對數據的控制能力：SaaS服務的供應商可以非常輕易的獲取租戶的信息，而雲平台供應商能否獲取到數據，則完全取決於SaaS服務的供應商對數據的保護措施。

SaaS應用示意圖

三、雲端數據加密方式

為了應對雲端數據的威脅，對數據進行加密是一種有效的解決手段。為了確保安全性，這種加密必須是獨立於雲平台的，也就是說加密機制不能由雲平台自己來提供，除非可以證明秘鑰對雲平台是完全不可見的。根據加密位置以及適用場景的不同，在目前來看，有效的雲數據加密方式有雲加密資料庫、資料庫加密網關、以及雲訪問安全代理三種。

1）雲加密資料庫

使用具有加密功能的資料庫或者資料庫引擎。在資料庫將數據寫入文件時對數據進行加密，讀取數據時進行解密。數據文件被加密後，無法通過直接拷貝用戶數據文件盜取用戶數據。

這種方式通常具有相對較高的性能和透明性，對資料庫的觸發器，存儲過程等特性支持的比較全面。其缺點是防護能力有限，不能限制資料庫超級用戶的數據讀取許可權。而且其通用性較差，僅適用於IaaS形式的租戶自建資料庫。

2）雲資料庫安全代理(CDSB)

CDSB雲數據加密網關作為資料庫的出入口，將所有數據加密後寫入資料庫，讀取數據的時候進行解密。通過網關訪問資料庫可以獲得明文數據，而越過網關直接讀取數據則只能獲得密文。

CDSB示意圖

該加密方式具有較高的通用性，既適用於SaaS資料庫，也適用於IaaS資料庫。該方式為資料庫提供了統一的二次認證和二次鑒權機制，能夠很好的防止雲平台供應商訪問真實數據，從而具有良好的安全性。性能方面，加密網關通過SQL重寫，以及通過提供密文索引的方式，使得系統的整體性能較高。

3) 雲訪問安全代理（CASB）

CASB應用加密網關主要設置在企業或個人的內部網路出口處，對於流出的數據進行統一加密並對流入的數據統一解密。

CASB示意圖

該加密方式不用考慮應用後端的資料庫類型，具有更高的通用性。且將加解密功能進行了分散式處理，具有較高的綜合性能。如果加密方法強度足夠的話，該方式在理論上具有較好的安全性。但是由於要考慮到加密後數據的檢索、格式的兼容等因素，所採用的加密演算法強度不得不被降低。

四、CDSB和CASB的對比

由上述分析可知，CDSB資料庫加密網關和CASB應用加密網關都具有較高的安全性，本節對這兩種方式的適用性和安全性做進一步的深入對比分析。

1）適用性

兩種加密方式針對不同雲端數據使用方式的適用性如下表所示：

從上表中可以看出，CDSB對於各種雲端上數據使用方式都能較好的適用，而CASB方式只適用於SaaS應用的方式。由於兩種方式都適用於SaaS應用，下面部分就他們在SaaS應用環境下的安全性進行對比分析。

2) 抗統計分析攻擊性能

CDSB資料庫加密網關可以採用多樣性的加密演算法，包括國密演算法。也支持帶隨機鹽值的高強度加密演算法，使得相同明文加密後的結果不同。這使得加密結果在對抗統計分析攻擊方面的安全性很高。

而CASB加密網關為了保持對應用系統的兼容，使得在加密演算法的選擇上受限多多。比如，為了保持加密後數值類型的兼容，不得不採用格式保持加密（FPE），而這種加密方法的安全性還沒有得到權威部門的認可；而且為了保證加密後的檢索，由於沒有辦法在資料庫中直接建立密文索引，所以必須保持加密前後內容的大小關係、位置信息、統計特徵的一致性。

所以，CASB加密網關的加密強度，是遠遠小於CDSB資料庫加密網關的。

3）直接泄露明文可能性

在CDSB模式中，明文數據的直接泄露點包括應用服務端和前端的瀏覽器/APP。在CASB模式中，明文數據的直接泄露點在前端的瀏覽器/APP，也就是說，可以從APP端導出租戶的所有數據。而應用服務端和APP端在本質上是同一個應用系統，所以當SaaS服務以APP方式提供時，CDSB和CASB模式的明文泄露風險是相當的。只有當服務僅以WEB方式提供時，CASB的明文泄露風險才低於CDSB。

事實上，從上述分析可知，對於SaaS服務方式來說，目前還沒有絕對安全的數據加密方式。

五、使用資料庫加密網關對SaaS服務的數據進行加密

在SaaS服務中，眾多SaaS租戶的數據在服務後端統一存儲於一張大表中，通過租戶的ID進行區分和「隔離」。為了將不同租戶的數據通過加密進行隔離，除了使用CASB外，也可以使用CDSB資料庫加密網關來實現加密隔離。

使用CDSB對SaaS應用的數據進行加密

如上圖所示，資料庫加密網關利用其行加密能力，通過利用租戶的ID，有區分的對不同租戶進行加密，且不同租戶的加密策略可以做到差異化。租戶可以直接控制資料庫加密網關進行自身數據的加密、秘鑰輪、加密服務的啟停等，真正實現對自己數據的掌控。

安全性上，如第四節所屬，CDSB與CASB的綜合安全性旗鼓相當。而且就數據加密強度來說，CDSB更勝一籌。

六、中安威士資料庫加密網關簡介

中安威士資料庫加密網關，於2017年第四季度正式發布。目前支持MYSQL系列和南大通用資料庫，且正在適配其它資料庫類型。該系統支持透明加密，加密前後應用程序不需要改造，降低了企業升級加密系統的代價和風險。支持先進的密文索引，加密後數據的檢索效率不會顯著降低。特別的，該系統還提供專門針對字元串類型數據的LIKE查詢索引，大大提高了字元類型數據在加密後的可用性。目前該系統已經在多個系統完成交付，並即將在多個公有雲平台上線。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！