目前，亚马逊EBS的加密功能是由AWS提供。专家Dave Shackleford解释了它的工作方式、企业为之努力的原因，以及它是否使行业更进一步的默认云数据加密。

2014年5月，亚马逊网络服务（AWS）发布了一款新的加密产品，该款产品可让用户轻松解密任何在AWS中控制的弹性块存储（EBS）卷标。

亚马逊EBS也加入了亚马逊的其它加密功能，其中包括S3和Glacier存储的服务器端加密、亚马逊RedShift和SQL服务器的加密以及亚马逊关系型数据库服务（RDS）内的Oracle数据库加密。新的加密产品是否是云计算存储向默认加密功能发展又迈出的坚实一步呢？

这似乎是亚马逊公司在其首席技术官 Werner Vogels领导下朝着这个方向所做出的努力。在一次接受麻省理工学院技术论坛的采访中，Vogels指出，安全性是亚马逊的“……第一优先级……如果你希望对访问数据的用户拥有完全的控制权，那么我们真的希望云计算成为你保存数据的所在。”

云计算应用的最大障碍之一就是在数据安全性控制方面用户缺乏安全感，尤其是当云计算供应商可以访问和潜在地控制用于保护数据的加密密钥时。从CipherCloud公司、Perspecsys公司、Porticor有限公司到其它无数的云计算高科技公司，他们都在致力于帮助企业获取云计算数据加密的控制权，但是诸如亚马逊这样一些云计算服务供应商似乎更多的是在为用户提供实现相同目标的内置功能。

EBS加密：它如何工作

亚马逊新的EBS加密功能是如何工作的？EBS卷标等同于连接至弹性计算云（EC2）虚拟机的额外硬盘驱动器。使用新的EBS加密功能，用户无法对启动卷标和EC2实例操作系统所安装的硬盘执行加密操作。用户可轻松地对任何连接至该实例的附加卷标进行加密操作。

创建加密卷标的操作是非常简单明了的。其中，最简单的方法就是在卷标实例化的过程中勾选“Creat Volume”，配置面板中的一个复选框。通过设置卷标类型、容量、性能规格以及可用区域等参数，就会在一开始出现一个允许加密的新选项。

用户还可以使用各种API方法来创建加密卷标并访问它。所有的加密操作都使用了一个独特的256位高级加密标准密钥（该密钥也可应用于EBS卷标快照），该密钥符合目前业界对安全性和合规性的最佳实践。

EBS加密的缺点

亚马逊EBS加密功能的最大缺点之一就是它无法对现有的EBS卷标进行加密操作。从目前形式看，客户必须首先创建一个新的加密卷标，然后使用诸如Robocopy或rsync这样的工具把现有数据从它们所在的实例上复制到新卷标上。最后，用户可删除旧卷标。这一缺点可能是出于某些原因的运算障碍而导致的。

EBS加密的另一个显著缺点在于密钥管理。目前，亚马逊管理并保留着用于EBS加密的密钥的所有控制权，这就意味着客户无法完全确保他们数据安全。鉴于亚马逊技术的成熟度和严格的安全标准，让AWS妥协的可能性是极低的，但是其中的某些不确定因素仍然会让某些企业选择不把数据存储在EBS中。虽然亚马逊声称，加密功能并不会影响EBS卷标的I/O和性能，但是客户应当在生产工作负载中实施亚马逊EBS加密功能之前先进行一下测试，这样做是非常明智的。

结论

近日，亚马逊为S3 存储服务实施了服务器端的加密，其密钥的所有权和保管权归客户。与亚马逊所提供的新CloudHSM服务一样，Redshift 和 RDS 还允许客户管理密钥。这是亚马逊未来所有云计算存储产品发展的大方向，毫无疑问，这也是其他云计算服务供应商们将紧随其后的一个趋势。一旦加密功能（客户管理密钥）在全球范围内普及开来，那么云计算服务距离在默认情况下被加密无疑又更近了一步。

作者简介：

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务，是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者，虚拟化安全：保护虚拟化环境，以及信息安全课程技术的合作设计者。最近，Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前，Dave在SANS技术研究院担任董事一职，并协助领导云计算安全联盟的亚特兰大分部。