一、單位名稱:工研院資通所
二、技術名稱:ITRI CASB Appliance
三、研究團隊名單:闕志克、陳玉倫、鍾勝民、林宏軒、張鎮庭
四、研究成果貢獻摘要:
雲端儲存平台如AWS S3為極受歡迎的儲存解決方案,但當企業(或雲端服務)決定外存檔案至S3等方案以節省儲存設備之維運成本時,如何保護外存的檔案即成為重要課題;最普遍的做法是把所有檔案先加密再上傳至雲端儲存平台,但這卻導致企業員工(或雲端服務)無法依內容檢索取回需要的檔案。ITRI CASB Appliance解決了加密及內容檢索間的矛盾,它介於企業(雲端服務)與雲端儲存平台之間,以代理伺服器方式提供「加密可檢索」功能,兼顧雲端上的安全性及操作性。
Transparency Market Research預估2024年Gartner所定義的雲端存取安全代理產業(Cloud Access Security Broker; CASB)將達132億美金之市場規模;考量雲端為儲存產業之趨勢,工研院資通所投入資源,研究內容資安(Content Security)需要之密碼學理論,並開發出ITRI CASB Appliance,期將國內儲存產業的資安技術提昇到國際水準。ITRI CASB Appliance運用工研院資通所近年開發之加密可檢索(Searchable Encryption)技術,以AES等級的安全性保護檔案,但卻允許檔案按內容檢索;需要檢索時,檢索關鍵字皆被加密,即便是ITRI CASB Appliance本身也無法得知檢索時之關鍵字,是以從「內容資安(Content Security)」之根本杜絕可能的資安攻擊。下圖以Amazon S3為例圖解ITRI CASB Appliance的功能及佈署方式。
五、研究成果運用情形:
本系統為提昇本國儲存產業之資安水準、因應國內儲存產業之不同需求與佈置方式,其系統設計可彈性地達成下列運用/授權方式
-公有雲儲存Proxy佈署:此為前述ITRI CASB Appliance之預設運作模式,以Proxy方式讓企業統一管理(加密及安全索引之)金鑰,統一對企業員工的S3 buckets進行資安管控,確保企業機敏資料不以明文方式出現在公有雲儲存中,但卻予許企業員工快速檢索、取回企業檔案
-公有雲服務Proxy佈署:除了企業,前述模式亦可用於任可以S3為backend storage的雲端儲存服務(如類似Dropbox等)
-私有雲儲存Agent佈署:此佈署已運用於本院開發的雲端儲存服務,其亦可套用在其它私有雲上。此模式以Agent方式安裝在使用者電腦上,自動加密檔案並同步至私有雲儲存,提供加密後可檢索功能
-公有雲儲存Agent佈署:此為一特殊運作模式,以Agent方式安裝在使用者電腦上,自動加密檔案並同步至公有雲儲存服務,提供加密後可檢索功能
已申請2案5件發明專利
已發表於國際IEEE Conference on Cloud and Cloud Computing Technology and Science 2012 (IEEE CloudCom 2012)
已展出於ICT Techday 2018(TICC台北國際會議中心)
將展出於國際IEEE Symposium on Cloud and Services Computing (IEEE SC2 2018)
六、聯絡人:(姓名/Tel/Fax/E-mail)
林宏軒 / 03-5913433 / 03-5838246 / StanleyLin@itri.org.tw
七、單位網址: https://www.itri.org.tw/chi/
二、技術名稱:ITRI CASB Appliance
三、研究團隊名單:闕志克、陳玉倫、鍾勝民、林宏軒、張鎮庭
四、研究成果貢獻摘要:
雲端儲存平台如AWS S3為極受歡迎的儲存解決方案,但當企業(或雲端服務)決定外存檔案至S3等方案以節省儲存設備之維運成本時,如何保護外存的檔案即成為重要課題;最普遍的做法是把所有檔案先加密再上傳至雲端儲存平台,但這卻導致企業員工(或雲端服務)無法依內容檢索取回需要的檔案。ITRI CASB Appliance解決了加密及內容檢索間的矛盾,它介於企業(雲端服務)與雲端儲存平台之間,以代理伺服器方式提供「加密可檢索」功能,兼顧雲端上的安全性及操作性。
Transparency Market Research預估2024年Gartner所定義的雲端存取安全代理產業(Cloud Access Security Broker; CASB)將達132億美金之市場規模;考量雲端為儲存產業之趨勢,工研院資通所投入資源,研究內容資安(Content Security)需要之密碼學理論,並開發出ITRI CASB Appliance,期將國內儲存產業的資安技術提昇到國際水準。ITRI CASB Appliance運用工研院資通所近年開發之加密可檢索(Searchable Encryption)技術,以AES等級的安全性保護檔案,但卻允許檔案按內容檢索;需要檢索時,檢索關鍵字皆被加密,即便是ITRI CASB Appliance本身也無法得知檢索時之關鍵字,是以從「內容資安(Content Security)」之根本杜絕可能的資安攻擊。下圖以Amazon S3為例圖解ITRI CASB Appliance的功能及佈署方式。
五、研究成果運用情形:
本系統為提昇本國儲存產業之資安水準、因應國內儲存產業之不同需求與佈置方式,其系統設計可彈性地達成下列運用/授權方式
-公有雲儲存Proxy佈署:此為前述ITRI CASB Appliance之預設運作模式,以Proxy方式讓企業統一管理(加密及安全索引之)金鑰,統一對企業員工的S3 buckets進行資安管控,確保企業機敏資料不以明文方式出現在公有雲儲存中,但卻予許企業員工快速檢索、取回企業檔案
-公有雲服務Proxy佈署:除了企業,前述模式亦可用於任可以S3為backend storage的雲端儲存服務(如類似Dropbox等)
-私有雲儲存Agent佈署:此佈署已運用於本院開發的雲端儲存服務,其亦可套用在其它私有雲上。此模式以Agent方式安裝在使用者電腦上,自動加密檔案並同步至私有雲儲存,提供加密後可檢索功能
-公有雲儲存Agent佈署:此為一特殊運作模式,以Agent方式安裝在使用者電腦上,自動加密檔案並同步至公有雲儲存服務,提供加密後可檢索功能
已申請2案5件發明專利
已發表於國際IEEE Conference on Cloud and Cloud Computing Technology and Science 2012 (IEEE CloudCom 2012)
已展出於ICT Techday 2018(TICC台北國際會議中心)
將展出於國際IEEE Symposium on Cloud and Services Computing (IEEE SC2 2018)
六、聯絡人:(姓名/Tel/Fax/E-mail)
林宏軒 / 03-5913433 / 03-5838246 / StanleyLin@itri.org.tw
七、單位網址: https://www.itri.org.tw/chi/