前言

2014年8月8日，SafeNet正式加入Gemalto

2019年4月2日，Gemalto正式加入Thales

云上的信任

向云原生应用程序的转变正在改变IT的基础。在许多情况下，内部基础设施和应用程序的开发和维护不再是一种选择。云原生应用程序开发以及容器和业务流程框架（如Kubernetes）的使用在性能，可移植性和规模方面提供了不可否认的优势。

但是，对于安全团队而言，显而易见的是，结果是可能的攻击面有所增加。跨公共云和私有云按需大规模部署IT资源意味着安全漏洞或漏洞经常无法发现。知道谁和什么可以被信任是一个持续的斗争，因为恶意代码，不可信的连接和配置错误都会导致一件事–更大的风险。

多种机制可帮助应用程序和安全团队减轻这些风险，但是身份是核心。识别每个云或网络中的所有“事物”（例如工作负载、服务、代码），验证完整性并端对端加密连接是成功的一半。使这成为可能的两个关键功能是签名强制执行和信任身份验证，这两者都可以通过使用X.509证书来完成。

一切签名

开发人员应始终对代码进行数字签名，以保护最终用户避免下载和安装受到破坏的代码。代码签名可确保未经授权的用户无法修改应用程序，并高度保证仅执行由供应商开发和审查的真实代码。一旦将软件打包到容器中以部署到云中，就可以对容器进行签名。例如，Docker支持容器签名以启用对容器完整性和发布者的验证。

我们建议两种级别的签名。如果应用程序已签名，但容器未签名，则除合法代码外，恶意用户还可能在容器上运行其他恶意代码。毫无疑问，强制签名是必要的，但更重要的是保护用于签名的证书及其相关的私钥。如果这些密钥被盗用，攻击者可以使用它们对恶意代码进行签名，使其看起来与您的软件一样真实可靠。

关键因素代码保证是专门为解决这些问题而设计的。该平台为开发人员提供了以编程方式访问证书以签署代码的权限，同时安全团队对所有签名活动进行了严格的审核跟踪，并确保私钥在集成的Thales HSM中保持安全。将私钥存储在FIPS 140-2 3级投诉中，Thales HSM（本地或基于云）可确保即使有人可以访问该位置，他们也无法提取或复制证书。

值得注意的是，签名可以远程完成，无需将敏感密钥分配给多个团队或位置。无论您使用的是Windows可执行文件的Microsoft SignTool，Java身份验证的jarsigner还是Jenkins等更复杂的工具，Keyfactor密码存储提供程序（CSP）和API都可以集成到几乎任何CI / CD管道或构建过程中。

建立一切的安全身份

最佳实践是确保与容器或群集之间，容器之间或群集之间的每个连接都使用SSL / TLS来启用相互身份验证和端到端加密。这样可以防止未经授权的对手建立可能损害容器或整个群集安全性的连接。监视和审核已颁发并处于活动状态的SSL / TLS证书也很重要。未知，恶意或不合格的证书可能会导致意外中断，或更严重的是滥用会导致意外访问受限制的系统。

例如，Kubernetes可以自行生成和颁发证书，但是大多数人发现它没有提供他们所需的可见性，以确保证书没有被不适当地颁发。但是，Kubernetes还支持ACME协议，该协议可用于从其他来源（如Let's Encrypt）获取证书。该协议与Keyfactor ACME Server集成在一起，并作为Keyfactor命令（我们的PKI即服务和证书自动化平台）的一部分包含在内，以从企业支持的任何PKI（公共或私有）中获取证书，该PKI在关键因素平台。这样可以在部署时为每个容器安全，自动地颁发唯一的，受信任的身份证书。这是通过对不同证书模板或产品的基于角色的强大访问控制来完成的，

为容器颁发的证书应该是短命的，以限制在任何给定时间处于活动状态的未过期证书的数量，该数量通常可能超过数千。如果证书被盗，这将有助于降低遭受破坏的风险，并减轻影响，因为证书无论如何都会很快过期。但是，不能短命的证书也是最重要的-证书颁发机构（CA）本身的证书。

与代码签名一样，保护颁发证书的CA至关重要。如果CA受到威胁，攻击者可以发出自己的身份，默认情况下，这些身份将在组织的整个生态系统中得到信任，并且修复成本非常高，因为它会使该CA颁发的每个身份无效。与Thales HSM集成在一起的Keyfactor Command平台可确保CA证书和密钥的安全，从而确保为所有证书提供强大的保护和完整的可见性，策略实施以及自动化。

Keyfactor和Thales提供集成解决方案，旨在为组织提供所需的工具，以最少的努力无缝自动化容器化和多云环境的安全操作。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SK Telecom与Thales合作开发后量子密码学

• 勒索软件制裁：有什么影响？

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• Thales提前完成收购Imperva交易

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代