新版《商用密码管理条例》已于7月1日正式施行,并持续受到社会各界的广泛关注,而商用密码如何在云环境下有效的应用,是推广商用密码过程中绕不开的话题。
一方面,云计算已经成为数字化转型的重要基础设施,政务、运营商、金融、医疗、教育等各行业的业务应用上云成为趋势,未来一定是商用密码应用的主要场景;同时,数据泄露、越权访问等核心云安全风险,商用密码是经济又有效的解决手段。
然而,在实际进行云上商用密码能力建设的过程中,用户将面临部署兼容性、安全责任划分、安全能力协同等诸多问题,因此,在建设前做好充分的规划尤为重要。
(相关资料图)
随着云上密码建设需求的逐渐旺盛,业界已涌现出多种云上密码技术方案,同时结合密码运算的安全性考虑,基于密码资源池提供服务化密码能力已成为行业内的主流选择。但同样是密码资源池,也会因具体技术实现不同有细微差别,目前常见的几种技术路线包括:
1、基于专用产品的硬件资源池
密码服务能力的底层资源由专用密码硬件设备提供,云租户通过服务管理平台仅使用其服务,具体配置、运维由平台管理员统一处理。这种技术路线的结构简单,但涉及的密码硬件种类将随租户开通的服务种类而增加,同时各租户间没有有效的数据隔离,即用传统的防护思路来应对云环境,随着云计算规模的扩大,短板劣势将愈发明显。
2、基于云服务器密码机的密码资源池
密码服务能力的底层资源由云服务器密码机提供,通过将各类密码服务部署在虚拟密码机VSM中,将VSM分配至指定租户。相比于基于硬件的密码资源池,这种技术路线实现了对专用密码硬件的数量控制,同时租户对密码服务也具备更多的管理运维功能,比较符合云计算虚拟化、弹性的建设思路。
然而,需要注意的是,当前云服务器密码机的虚拟化资源分配还无法达到通用服务器虚拟化那样灵活,同时云上业务普遍偏小,这将导致分配给云租户的密码资源长期处于低负载的状态,结合当前密码资源池较高的建设成本,容易导致此种技术路线失去性价比。
3、基于“通用算力+密码算力”结合的密码资源池
针对以云服务器密码机为主的密码资源池所面临的问题,安恒信息提出“通用算力+密码算力”相结合的技术路线,即云租户使用的密码服务由承载密码应用功能的通用虚拟机ECS和承载密码运算功能的虚拟密码机VSM组成,同一租户的多项密码服务可共用一台虚拟密码机VSM的算力,实现资源最大化利用,这样既保证了租户间的权限隔离及密码运算的安全性,同时也能够提升虚拟密码机VSM的利用率,有效控制密码资源池的建设成本。当密码运算性能不足时可平滑增加分配给租户的VSM数量,满足业务增长对算力提升的需求。
云安全是长期持续、体系化建设的过程,其中既包括以“检测-防护-审计”为主的传统网络安全能力,也包括新兴的数据安全、商用密码能力建设。同时在新修订的《商用密码管理条例》中也提到:“商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接,避免重复评估、测评”。这也意味着云安全建设应从整体出发,对所涉及的安全能力要进行一体化考虑,才能使各类安全能力发挥出最大的效果。
安恒信息作为持续耕耘云安全领域的安全厂商,深知云安全一体化建设的重要性。因此,安恒信息以安恒云-天池云安全管理平台为核心,为上云用户提供一站式包括等保安全、数据安全、商用密码在内的多类安全能力,从建设到管理,从合规到实战,多维度满足用户的云安全需求,帮助用户真正实现体系化的云安全建设。
对于云上密码能力建设,除了需要包含的能力种类与功能外,更应由表及里、溯本求源,系统性的思考整体云安全体系与商用密码能力的关系,同时注重整体技术路线的选择,这样才能本固枝荣,保障最终的商用密码应用效果。