
Хватит прятать ключи под ковром: переносим их в облачный сервис управления ключами (KMS)
nktrnv только что Хватит прятать ключи под ковром: переносим их в облачный сервис управления ключами (KMS) Средний 9 мин 14 Блог компании К2Тех Инженерные системы * Облачные сервисы * DevOps * Python * Обзор Любое...
<5 — 2026'da uzaya kaç SpaceX Starship fırlatması ulaşacak?
Значимый прорыв формирует отрасль ИИ: nktrnv только что Хватит прятать ключи под ковром: переносим их в облачный сервис управления ключами (KMS) Средний 9 мин 14 Блог компании К2Тех Инженерные системы * Облачные сервисы * DevOps * Python * Обзор Любое современное приложение работает с конфиденциальной информацией. Персональные данные пользователей, финансовые данные, внутренние документы компаний — все это хранится, передается и обрабатывается в облачной инфраструктуре. И чем больше критически важных данных оказывается в облаке, тем острее встает вопрос их защиты.
Меня зовут Никита Трунов, я — разработчик команды инфраструктурных сервисов K2 Cloud. Сегодня расскажу вам о нашем новом облачном сервисе управления ключами KMS и как он помогает с шифрованием данных в облаке. В этом материале мы разберемся, какие данные приходится защищать, какие существуют модели доверия к облачному провайдеру и как устроена архитектура современного сервиса управления ключами.
Технические детали
Какие данные в облаке приходится защищать и от когоДанные могут находиться в одном из трёх «агрегатных» состояний:in transit — когда они передаются по сети;in use — когда данные попадают в кэши и регистры процессора, а также в оперативную память;at rest — данные хранятся на физических носителях (например, на дисках). С шифрованием in transit все просто — для шифрования сетевого трафика используются всем знакомые протоколы HTTPS, SSH и т. В этом случае используются сессионные ключи, то есть нам не нужно задумываться, где они хранятся и как ими управлять.
С in use тоже понятно — некоторые процессоры поддерживают аппаратное шифрование памяти. При этом ключами управляет сам процессор. На практике шифрование in use встречается редко, потому что атаки на такие данные сложно воспроизвести.
А вот данные at rest заставляют нас задуматься о ключах. С одной стороны, нам нужно хранить зашифрованные данные, а с другой — где-то хранить ключи, которыми мы шифруем эти данные. Именно поэтому шифрование at rest вызывает особый интерес.
Отраслевые последствия
Где живущие в облаке и хранящиеся на диске данные могут быть потенциально уязвимы:на уровне ЦОДов, где потенциальным злоумышленником может стать инженер, имеющий физический доступ к диску;на уровне хостов облака — доступ к ним есть у администраторов облака;в ваших приложениях, которые вы строите поверх сервисов облачной платформы. Доверяй, но проверяй: сценарии защиты данных в облакеСуществует три основных сценария защиты данных at rest в облаке: полностью доверить шифрование облачному провайдеру; шифровать данные самостоятельно, но хранить ключи в облаке; либо взять на себя полный контроль над шифрованием и управлением ключами. Рассмотрим каждый из этих сценариев подробнее.
Полностью доверить шифрование облаку. Здесь главный плюс заключается в том, что облако все делает за вас и вам ничего не нужно реализовывать. Данные at rest будут защищены в этом случае на уровне ЦОДов, а вот на уровне хостов облака защищенность теряется, потому что шифрованием управляет облако.
Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.





