云安全加密存储技术剖析之Amazon AWS

话说Amazon AWS上的储存系统能有多安全？

首先，弄清楚你所能得到的安全性之前，要先知道你想采用哪种储存模式。Amazon提供了三种不同的储存模式：

主机储存（Instance Storage）

这是当你在AWS上启动一个服务器的虚拟机时，所包含的储存装置。可以将它看成一般的C槽硬盘。它只提供给这个虚拟机使用，当虚拟机终止时也就不再存在。这类储存的安全性跟Amazon虚拟机本身是一样的。

原始区块储存（Raw block storage）

被称为弹性区块储存系统（Elastic Block Storage, EBS）。提供一个快速且持久存在的原始信息储存装置，它跟主机映像文件（AMI）的虚拟机是分开的。可以将它当成是云磁盘机，当主机要使用时就在这原始区块上挂载一个文件夹系统，就可以开始进行存取。这是目前AWS唯一提供区块储存的方式。很巧的是，趋势科技的Secure Cloud金钥管理服务也在这上面发挥作用。经由加密EBS区块，可以在主机映像文件尝试存取时提供存取控制。

简单存储服务（Simple Storage Service, S3）

这是AWS所提供的独立且持久存在的云端储存服务，只能经由一个良好设计，基于HTTP的Web API来存取。客户可以利用这服务来储存和取得在S3上的大量信息，通常用来储存Amazon Machine Images（即主机映像文件的范本）。AWS并没有要求这些储存信息的结构，也没有透露这些信息在后端是如何储存的。有些第三方公司会提供类似中介文件夹系统的解决方案在S3上。但总的来说，这些都还是在起步阶段，因为使用上还是有很多限制。为了消除客户对于将敏感信息储存在S3的疑虑，AWS建议客户使用一个加密函数库程序库，这必须加进客户用来储存信息到S3上的应用程序设计中，然后将加密金钥分开管理。Amazon最近宣布推出提供给静止信息的S3服务器端加密（Server Side Encryption），下面是它的工作原理图。

在这公告中，Amazon提供客户一个选项去使用AWS代管的加密功能去对S3信息做加解密的动作，这也让那些不想重写应用程序的S3使用者松了一口气。

一个重大的限制是，这个解决方案没有提供外部金钥管理的功能。金钥跟S3认证相连结，如果帐户认证被入侵，黑客就可以存取一切。所以我能想到关于这功能的使用情境是，储存信息在S3时可以满足现行法规或政策的要求，或是某人不使用你的帐号认证就侵入 AWS来窃取你的信息（最后这个例子非常的不可能…）。

从将文件夹储存在服务器上这观点来看，新的S3服务器端加密功能跟Dropbox所用的方式一样。唯一的差别是当使用S3服务器端加密功能时，金钥在Amazon手上，而使用Dropbox时，金钥在Dropbox手上。这两种都一样，客户上传的信息在供应商的服务器上是保持加密的，而信息拥有者（客户）无法控制这些加密金钥。

而如果是用S3客户端加密，信息所有者可以控制金钥，但是必须手动管理这些金钥。

希望以上这些有助于澄清Amazon上储存模式所用的不同安全技术。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。