云加密是保护数据免遭泄露的最有效技术之一。然而，将数据迁移到云的组织面临着加密困境，因为默认情况下云服务提供商 (CSP) 保留对其客户的加密密钥及其数据的访问权限。

将数据控制权委托给第三方 CSP 会造成数据安全方面的潜在弱点。幸运的是，实施 BYOK（即自带密钥）可以帮助保护用于加密云存储数据的加密密钥。

什么是 BYOK？

自带密钥（BYOK / Bring Your Own Key）或自带加密（BYOE / Bring Your Own Encryption）是一种数据保护模式，允许云服务客户使用自己的加密密钥管理软件并完全控制自己的加密密钥。

BYOK 允许客户使用自己的密钥管理软件将密钥存储在云之外，从而提供对加密密钥管理的更多控制。

BYOK 如何运作？

BYOK 背后的基本思想是将锁（即 CSP 提供的加密）与密钥（本地存储的加密密钥）分开。这是通过使用第三方生成称为密钥加密密钥 (KEK) 的密钥来实现的，然后使用该密钥对 CSP 生成的数据加密密钥 (DEK) 进行加密。

上述过程称为密钥包装；它涉及使用 KEK“包装”DEK，以确保只有云服务客户才能解密 DEK 并访问存储在 CSP 中的数据。

选择第三方进行 KEK 生成和密钥包装时，您可以选择本地硬件安全模块 (HSM)或基于软件的密钥管理系统 (KMS)。

为什么 BYOK 很重要？

数据对每个人都具有巨大的价值，这凸显了实施 BYOK 来保护数据的重要性。以下是实施 BYOK 的主要原因。

提高数据安全性

BYOK 通过将加密信息与关联密钥分开，为敏感数据提供了一层额外的保护。借助 BYOK，组织可以使用其加密密钥管理软件将加密密钥存储在云外部。这确保只有他们才能访问自己的数据，从而增强数据安全性。

增强合规性

各行业的企业必须遵守行业特定的加密密钥管理法规。

例如，医疗保健和金融等受到严格监管的行业需要遵守严格的数据安全标准。BYOK 使组织能够通过内部管理其加密密钥来满足这些要求。

当其他人可以访问他们的加密密钥时，保证客户的数据隐私并不容易。保护数据可确保符合监管要求和行业标准，从而保护组织的声誉。

BYOK 提供了数据访问和删除方式的可见性。这样，它在遵守GDPR（通用数据保护条例）等法规方面发挥着至关重要的作用，特别是在删除个人数据的权利方面。

提高灵活性和数据控制

BYOK 允许组织根据个人需求在本地或云中存储和管理加密密钥。

此外，它使他们能够按照自己认为合适的方式使用数据，无论是内部共享、云数据分析还是组织外部共享，同时保持强大的安全性。从历史上看，云存储的数据是使用 CSP 拥有的密钥进行加密的，从而减少了公司对其数据的控制。

BYOK 加密还提供增强的密钥管理控制，允许您在必要时撤销最终用户或 CSP 的访问权限。

集中密钥管理

跨数据中心、云提供商和多云设置等不同平台管理大量加密密钥可能会令人望而生畏。实施 BYOK 加密通过单一平台集中密钥管理来简化此流程，确保密钥相关活动（包括密钥创建、轮换和归档）的效率。

可能省钱

BYOK 提供了内部管理加密密钥的选项。通过控制它们，组织可以避免向第三方供应商支付密钥管理服务费用。这消除了潜在的经常性订阅费和许可成本。

此外，BYOK 加密旨在使恶意行为者（包括黑客和冒充云管理员的人）无法读取数据。这可以间接节省潜在敏感信息披露的成本，旨在防止合规罚款和业务损失。

哪些 CSP 支持 BYOK？

Google Cloud Platform (GCP)、Amazon Web Services (AWS)、Microsoft Azure、阿里云 等主要 CSP 以及各种软件即服务 (SaaS)供应商已经提供 BYOK 支持。

尽管 BYOK 提供了增强的控制，但它引入了额外的关键管理任务，尤其是在多云设置中。每个 CSP（包括 GCP、AWS 和 Azure）都有其独特的加密和 KMS，因此云管理员必须熟悉与其合作的每个供应商的术语和独特功能。

GCP、Azure 和 AWS通过加密来保护静态和传输中的数据。CSP 使用各自的密钥管理服务来实现这一目标：适用于 GCP 的 Cloud KMS、适用于 Azure 的 Azure Key Vault 和适用于 AWS 的 AWS KMS。

BYOK 实施的关键考虑因素

BYOK 可以更好地控制数据和密钥，但也要求增加责任。实施 BYOK 具有挑战性，因为控制权（包括维护加密密钥的安全性）转移到了数据所有者手中。

虽然 BYOK 降低了数据丢失风险，尤其是动态数据，但其安全性依赖于组织保护密钥的能力。

丢失加密密钥可能会导致不可逆转的数据丢失。为了减轻这种风险，请考虑在创建和轮换后备份密钥，不要删除不必要的密钥，并进行全面的密钥生命周期管理。

建立包括密钥轮换策略、存储、撤销程序和访问控制的管理策略也将有所帮助。聘请信誉良好的供应商的专业知识可以加速该策略的实施，这凸显了评估 CSP 在 BYOK 实施方面的支持和熟练程度的必要性。

值得注意的是，并非所有 BYOK 解决方案都能与 CSP 无缝集成。在早期阶段投入时间进行彻底研究对于确保您在与供应商合作之前找到理想的解决方案至关重要。

也不要忽视与 BYOK 相关的成本。其中包括关键管理和支持费用。BYOK 实施可能并不简单，因此组织可能需要投资额外的员工和 HSM，从而产生额外的费用。

许多公司更喜欢采用多云方法来优化性能并降低成本。只要有可能，就避免依赖任何单一云提供商来防止供应商锁定，并充分利用云采用的优势。

BYOK 增强云数据安全

在云中存储数据有多种好处，但许多人正确地担心潜在的存储安全风险。一旦数据进入云端，他们就失去了对其的直接控制。

BYOK 旨在解决以下基本问题：CSP 或 SaaS 供应商可能无法提供所需级别的数据保护，但他们可以自行解密您的数据。它使组织能够控制自己的加密密钥和云数据，而不是云服务提供商，从而增强云数据的安全性。

揽阁信息提供的Thales Luna Network HSM和CipherTrust Data Security Platform是已经被广大云平台所支持的BYOK产品。欢迎联系我们获取更多产品资料和方案信息。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 增强数据主权：VMware Sovereign Cloud 与 Thales 联手

• 为什么BYOE（自带加密）正在席卷公有云

• 企业实施数据加密的注意事项

• 将自带密钥（BYOK）作为公司数据安全策略的一部分