10.1 加密
- 加密机制可以对抗流量窃听、恶意媒介、授权不足和信任边界重叠
10.1.1 对称加密
- 加密与解密时用同一个密钥,这两个过程都是授权的各方用共享的密钥执行的。对称加密不具备不可否认性,当有多方使用同一个密钥时,无法判断是哪一方执行的加密和解密。
10.1.2 非对称加密
- 使用两个不同的密钥,称为公钥和私钥。私钥为所有者私钥,公钥共享。私钥加密只能通过对应的公钥解密,因此私钥加密提供了真实性、不可否认性和完整性保护。公钥加密只能用对应的私钥进行解密,因此提供了保密性保护,但不提供完整性和真实性的保护。
- Web数据传输的加密机制通过HTTPS实现。HTTPS是用SSL/TLS作为HTTP底层加密协议。TLS(传输层安全)是SSL(安全套接字层)的后继。TLS用非对称加密的方法交换密钥,密钥交换完毕后切换到对称加密。
10.2 哈希
- 一种单向、不可逆的数据保护机制。这种机制常见于密码的存储
- 利用哈希可以用来获得消息摘要。消息摘要添加到消息后面,用于验证消息是否发生篡改。
- 哈希可以用于保护存储数据、减轻恶意媒介和授权不足带来的云威胁。
10.3 数字签名
- 一种通过身份验证和不可否认性来提供数据真实性和完整性的手段。发送消息时,附加一个数字签名,如果消息被篡改,数字签名就会变得非法。
- 数字签名可以通过非对称加密(用私钥加密)和哈希实现。用私钥对消息摘要进行加密,附加到消息摘要后面。接受者收到后对消息进行哈希得到一个消息摘要,用公钥对加密后的消息摘要进行解密,如果一致则保证了消息的完整性。
10.4 公钥基础设施
- 管理非对称密钥颁发的常用方法是基于公钥基础设施(PKI)机制的,它是由一个协议、数据格式、规则和实施组成的系统。这个系统用来把公钥与对应私钥所有者对应起来(公钥身份识别)。
- PKI依赖于使用数字证书。数字证书是带数字签名的数据结构,它与公钥一起来验证证书所有者身份以及相关信息,例如有效期。数字证书通常由第三方证书颁发机构(CA)数字签发的。
10.5 身份与访问管理
-
身份与访问管理(IAM)包括控制和追踪用户身份以及IT资源、环境、系统访问特权的必要组件和策略。
IAM机制由四个主要部分组成: - 认证:如用户名和密码的组合,还支持数字签名、数字证书、生物特征识别硬件、把用户账号和注册IP或MAC地址进行绑定等
- 授权:授权组件定义正确的访问控制粒度,监管身份、访问控制权力和IT资源可用性之间的关系。
- 用户管理:负责创建新的用户身份和访问组,重设密码、定义密码策略和管理特权。
-
证书管理:建立对已定义的用户账号的身份和访问控制的规则。
+10.6 单一登陆 - 单一登陆时为了解决跨越多个云服务为云服务用户传播认证和授权,特别是在需要大量的云服务或IT资源时的困难。
- 单一登陆(SSO)机制使得一个云服务用户能够被一个安全代理认证。这个安全代理建立起一个安全上下文,当云用户访问其他云服务或IT资源时,这个上下文被持久化。否则,云用户需要在后续的每个请求中认证自己
- 这个机制不直接抵抗任何云威胁,主要增强基于云的环境的访问并管理分布式IT资源。
10.7 基于云的安全组
10.8 强化的虚拟服务器映像
- 强化是将不必要的软件从系统中剥离出来,避免了潜在的漏洞。例如关闭不必要的端口,不使用的服务、内部根账户和宾客访问。
- 强化的服务器映像能够帮助对抗拒绝服务‘授权不足和信任边界重叠等威胁。
