隨著好萊塢明星們的裸照在全球互聯(lián)網(wǎng)瘋傳，云計(jì)算幾乎成了危險(xiǎn)的代名詞，從好萊塢女星到上百億資產(chǎn)的銀行家都為之憂(yōu)心忡忡。

[[120394]]

對(duì)于銀行等數(shù)據(jù)安全要求較高的企業(yè)來(lái)說(shuō)，云計(jì)算的安全是個(gè)兩難問(wèn)題，一方面云計(jì)算分布式的數(shù)據(jù)存儲(chǔ)可以抵御DDoS攻擊，但同時(shí)又會(huì)增加數(shù)據(jù)泄露風(fēng)險(xiǎn)，云和安全似乎總是難以兼顧。

例如2012年伊朗黑客曾對(duì)美國(guó)銀行企業(yè)發(fā)起大規(guī)模的DDoS攻擊，當(dāng)時(shí)安全公司Cloudflare曾指出，云計(jì)算將企業(yè)數(shù)據(jù)存放在世界各地多個(gè)服務(wù)器上，這能有效緩解DDoS攻擊的壓力;但敏感數(shù)據(jù)也面臨更大的泄露風(fēng)險(xiǎn)，尤其是SSL私鑰，控制對(duì)此類(lèi)關(guān)鍵數(shù)據(jù)的訪(fǎng)問(wèn)對(duì)于銀行來(lái)說(shuō)至關(guān)重要。今年4月爆出的心臟出血漏洞，使得黑客能夠獲取公共服務(wù)器中的內(nèi)存緩存，從而提取私鑰(企業(yè)內(nèi)網(wǎng)的噩夢(mèng)：HeartBleed漏洞會(huì)暴露OpenVPN私鑰)，造成安全與合規(guī)的雙重災(zāi)難。

類(lèi)似心臟出血漏洞的風(fēng)險(xiǎn)驅(qū)使銀行(以及其他注重?cái)?shù)據(jù)安全的企業(yè))將數(shù)據(jù)放到少數(shù)更加安全的服務(wù)器中，這不但使硬件成本急速飆升，同時(shí)也使得企業(yè)更加容易遭受DDoS攻擊。

近日，Cloudflare首席執(zhí)行官M(fèi)atthew Prince宣稱(chēng)，Cloudflare已經(jīng)奪取了云安全的圣杯，將企業(yè)拯救出云安全的兩難困境。

Cloudflare發(fā)明一種方法，允許企業(yè)將加密數(shù)據(jù)分布式存儲(chǔ)于云中，但將私鑰儲(chǔ)存在一個(gè)單獨(dú)的安全服務(wù)器中。當(dāng)用戶(hù)訪(fǎng)問(wèn)網(wǎng)站時(shí)，Cloudflare會(huì)簽發(fā)一個(gè)臨時(shí)的“會(huì)話(huà)秘鑰”，與用戶(hù)的設(shè)備一一對(duì)應(yīng)，從而讓私鑰從公眾視野中消失。這聽(tīng)上去挺簡(jiǎn)單，但是Prince表示，這需要每秒處理1000萬(wàn)次安全交易，是技術(shù)上的一次重大創(chuàng)新，目前高盛公司已經(jīng)成為該技術(shù)的首批用戶(hù)之一。

一些知名安全專(zhuān)家，包括個(gè)人加密標(biāo)桿技術(shù)PGP的發(fā)明者Jon Callas和Phil Zimmerman，將Cloudflare發(fā)明的這種“無(wú)秘鑰SSL”與PGP進(jìn)行了對(duì)比，認(rèn)為Cloudflare的無(wú)私鑰加密技術(shù)不僅僅適用于安全企業(yè)，還可應(yīng)用于云數(shù)據(jù)中心擴(kuò)展，例如在非洲和中國(guó)的安全管理水平較差一些的數(shù)據(jù)中心里部署關(guān)鍵應(yīng)用，而無(wú)需擔(dān)心安全問(wèn)題。

在云安全領(lǐng)域，Cloudflare的“無(wú)秘鑰SSL”能算是一個(gè)小號(hào)圣杯。本周IBM的密碼學(xué)者Craig Gentry榮獲麥克阿瑟獎(jiǎng)金，Gentry的研究項(xiàng)目才是云安全的“iPhone 6 Plus”——在云計(jì)算環(huán)境中，如何對(duì)數(shù)據(jù)加密，使得云服務(wù)商無(wú)法獲取數(shù)據(jù)內(nèi)容，但擁有合法證書(shū)的用戶(hù)卻能夠訪(fǎng)問(wèn)。

Gentry研究中的加密算法目前還主要停留在理論層面，目前面臨的主要挑戰(zhàn)是處理速度與實(shí)際應(yīng)用需求相差1000倍，但是在IT業(yè)，提速1000倍，只需要五年時(shí)間而已。

原文地址：http://www.aqniu.com/neotech/datasecurity/4660.html