首頁 > 關(guān)于我們 > 安恒動態(tài) > 2023 > 正文

看這里！云上密碼能力建設(shè)全知道

閱讀量：次 文章來源：安恒信息

新修訂的《商用密碼管理條例》已于7月1日正式施行，并持續(xù)受到社會各界的廣泛關(guān)注，而商用密碼如何在云環(huán)境下有效的應(yīng)用，是推廣商用密碼過程中繞不開的話題。

一方面，云計算已經(jīng)成為數(shù)字化轉(zhuǎn)型的重要基礎(chǔ)設(shè)施，政務(wù)、運營商、金融、醫(yī)療、教育等各行業(yè)的業(yè)務(wù)應(yīng)用上云成為趨勢，未來一定是商用密碼應(yīng)用的主要場景；同時，數(shù)據(jù)泄露、越權(quán)訪問等核心云安全風(fēng)險，商用密碼是最經(jīng)濟、最有效的解決手段。

然而，在實際進行云上商用密碼能力建設(shè)的過程中，用戶將面臨部署兼容性、安全責(zé)任劃分、安全能力協(xié)同等諸多問題，因此，在建設(shè)前做好充分的規(guī)劃尤為重要。

百花齊放，哪種云上密碼技術(shù)路線是最優(yōu)解？

隨著云上密碼建設(shè)需求的逐漸旺盛，業(yè)界已涌現(xiàn)出多種云上密碼技術(shù)方案，同時結(jié)合密碼運算的安全性考慮，基于密碼資源池提供服務(wù)化密碼能力已成為行業(yè)內(nèi)的主流選擇。但同樣是密碼資源池，也會因具體技術(shù)實現(xiàn)不同有細微差別，目前常見的幾種技術(shù)路線包括：

1、基于專用產(chǎn)品的硬件資源池

密碼服務(wù)能力的底層資源由專用密碼硬件設(shè)備提供，云租戶通過服務(wù)管理平臺僅使用其服務(wù)，具體配置、運維由平臺管理員統(tǒng)一處理。這種技術(shù)路線的結(jié)構(gòu)簡單，但涉及的密碼硬件種類將隨租戶開通的服務(wù)種類而增加，同時各租戶間沒有有效的數(shù)據(jù)隔離，即用傳統(tǒng)的防護思路來應(yīng)對云環(huán)境，隨著云計算規(guī)模的擴大，短板劣勢將愈發(fā)明顯。

2、基于云服務(wù)器密碼機的密碼資源池

密碼服務(wù)能力的底層資源由云服務(wù)器密碼機提供，通過將各類密碼服務(wù)部署在虛擬密碼機VSM中，將VSM分配至指定租戶。相比于基于硬件的密碼資源池，這種技術(shù)路線實現(xiàn)了對專用密碼硬件的數(shù)量控制，同時租戶對密碼服務(wù)也具備更多的管理運維功能，比較符合云計算虛擬化、彈性的建設(shè)思路。

然而，需要注意的是，當前云服務(wù)器密碼機的虛擬化資源分配還無法達到通用服務(wù)器虛擬化那樣靈活，同時云上業(yè)務(wù)普遍偏小，這將導(dǎo)致分配給云租戶的密碼資源長期處于低負載的狀態(tài)，結(jié)合當前密碼資源池較高的建設(shè)成本，容易導(dǎo)致此種技術(shù)路線失去性價比。

3、基于“通用算力+密碼算力”結(jié)合的密碼資源池

針對以云服務(wù)器密碼機為主的密碼資源池所面臨的問題，安恒信息提出“通用算力+密碼算力”相結(jié)合的技術(shù)路線，即云租戶使用的密碼服務(wù)由承載密碼應(yīng)用功能的通用虛擬機ECS和承載密碼運算功能的虛擬密碼機VSM組成，同一租戶的多項密碼服務(wù)可共用一臺虛擬密碼機VSM的算力，實現(xiàn)資源最大化利用，這樣既保證了租戶間的權(quán)限隔離及密碼運算的安全性，同時也能夠提升虛擬密碼機VSM的利用率，有效控制密碼資源池的建設(shè)成本。當密碼運算性能不足時可平滑增加分配給租戶的VSM數(shù)量，滿足業(yè)務(wù)增長對算力提升的需求。

各自為政，如何避免云安全煙囪式建設(shè)？

云安全是長期持續(xù)、體系化建設(shè)的過程，其中既包括以“檢測-防護-審計”為主的傳統(tǒng)網(wǎng)絡(luò)安全能力，也包括新興的數(shù)據(jù)安全、商用密碼能力建設(shè)。同時在新修訂的《商用密碼管理條例》中也提到：“商用密碼應(yīng)用安全性評估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評應(yīng)當加強銜接，避免重復(fù)評估、測評”。這也意味著云安全建設(shè)應(yīng)從整體出發(fā)，對所涉及的安全能力要進行一體化考慮，才能使各類安全能力發(fā)揮出最大的效果。

安恒信息作為持續(xù)耕耘云安全領(lǐng)域十余年的安全廠商，深知云安全一體化建設(shè)的重要性。因此，安恒信息以安恒云-天池云安全管理平臺為核心，一站式為上云用戶提供包括等保安全、數(shù)據(jù)安全、商用密碼在內(nèi)的多類安全能力，從建設(shè)到管理，從合規(guī)到實戰(zhàn)，多維度滿足用戶的云安全需求，幫助用戶真正實現(xiàn)體系化的云安全建設(shè)。

對于云上密碼能力建設(shè)，除了需要包含的能力種類與功能外，更應(yīng)由表及里、溯本求源，系統(tǒng)性的思考整體云安全體系與商用密碼能力的關(guān)系，同時注重整體技術(shù)路線的選擇，這樣才能本固枝榮，保障最終的商用密碼應(yīng)用效果。