本周，AWS客户简单存储服务上的云安全得到了全新的控制，同时亚马逊也避开了一直使用已死的Linux加密工具的批评。

简单存储服务（S3）的客户现在可以选择在S3中使用亚马逊Web服务（AWS）服务器端加密来存储数据，但是仍就可以保持对于加密密钥的控制。这个安全特性是IT人员经常担忧的需求所在，因此本周亚马逊最新发布了弹性块存储加密。

在本周发布的报告中，指出亚马逊还在使用Linux加密工具TrueCrypt作为从S3安全导入和导出数据的唯一选项之后，S3密钥管理选项接踵而来。

开源加密工具已经宣布在5月28日放弃了这个项目，并表示其不安全，而且IT人员也不会再使用了。

亚马逊面临着仍旧使用TrueCrypt的批评，但是检查显示目前TrueCrypt还没有漏洞。

“AWS 导入/导出是唯一只用TrueCrypt的AWS服务，但是AWS知道TrueCrypt网站上的声明，而且还在密切关注，”该公司的发言人在上周五讲道。

AWS不再S3中的对象存储加密操作中使用TrueCrypt，包括了全新的S3密钥管理选项。

针对S3，客户有多重密钥管理选项。一个选项就是让亚马逊管理密钥，这种方法对于一些对于安全敏感的部门可能并不适用。

“对于一些没有能力管理加密密钥的企业而言，使用S3是不值得考虑的，因为这和基础的安全管理最佳实践相悖，”云咨询公司Cloud eBroker的云架构师Mark Szynaka说道，“对于我的一些客户而言，这是最难克服的安全例外情况。”

Virtualization Practic公司的CEO Edward Haletky表示，用户可以维持客户端加密的密钥控制，这一点可以实现密钥的控制，但是随着将加密数据通过电缆发送到S3也会导致高带宽需求。

Haletky说，这种新的方法可以两全其美，“这种方法可以让企业将加密工作卸载给AWS，同时给安全实践者更多的控制。”

然而，为了加密和解密对象，客户必须支持密钥，这些密钥仍旧在由少量时间在内存中。亚马逊的博文并没有具体解释如何持有，除了说会从内存中迅速删除。

为了从外部世界保护这种交易，密钥的传输在源服务器和目标服务器之间使用安全套接层（SSl）通道协议连接。Haletky说，这方面讲就存在漏洞。他补充道，这种密钥管理模型的采纳取决于用户以及其所在环境的SSL可接受度，“对于那些知道SSL的好处的人而言，这不是问题，但是如果不了解，就会成为缺点。”

Haletky说，好的SSL理解包括预共享认证，以及在服务器和客户端之间通过SSL连接进行人工授权。保持SSL密钥很好的得到保护也很关键。