云计算时代，“密码云”重塑密码基础设施

Posted 2021-04-29 地面通三网互通

    在云计算广泛深入社会各个领域的过去十年，网络的安全也成为云计算领域亟待突破的重要问题。尤其是作为网络安全核心的密码应用，正在加速从幕后走向台前。

    目前国内常见的密码上云方式及存在的问题：

    纯SaaS平台密码应用实践，即把电子合同等业务放在云计算的SaaS层提供。由于缺乏硬件密码资源的支持，密码功能多以SaaS层的软件方式来实现，这导致对于密钥等关键密码参数的保护强度不够，相当多的案例都是在开放环境下进行密码计算和密钥存储，随机数的熵和随机性也得不到保障。虽然看起来做到了“云原生”，但关键安全参数的泄露风险颇大，整体安全风险不可忽视，也不符合国家、行业标准对密码应用的要求。

    在物理密码机内提供虚拟密码机vHSM。这种方式的优势在于密钥等关键安全参数仍在密码机物理边界内，能够依赖设备内建安全体系来保护密码计算、密钥管理以及随机数的安全。但缺点是可扩展性差，能够利用的最大计算和存储资源受限于物理密码机自身，资源分配的灵活性受限。

    云化趋势和政策合规性的双重导向下，传统的密码技术正在向云密码服务方向转变，“密码+云”的融合成为大势所趋。那么，密码上云到底该如何做?是否存在既安全合规，又充分利用云计算优势的密码上云模式呢?

    结合已有密码上云的实践经验，“融合、分层、解耦”将成为密码上云的最佳实践理念。

    其中，“融合”是指以云的思想、架构和技术来统筹管理密码资源，做到密码资源在合规安全的前提下，实现按需扩展、可灵活配置。“分层”是指在IaaS、PaaS、SaaS三个典型的云服务层面，为用户分别提供密码资源服务(CRaaS)、密码功能服务(CFaaS)、密码业务服务(CBaaS)。“解耦”则是指上下层服务在统一标准、通用接口下，做到云密码服务与具体平台、具体信息化业务的解耦。

    随着《密码法》的颁布和实施，未来密码行业市场将更加规范，云密码服务市场的竞争和精细化也将并行展开。以数字认证“密码云”为代表的密码上云应用探索与实践，将进一步推动国内密码产业的模式创新和产业升级，重塑云时代的密码基础设施。