本文的目的是向您介绍如何实施正确的密钥管理，并回答有关集中式和自动密钥管理的3个重要问题

• 什么是集中式密钥管理？

• 集中式系统如何帮助符合法规要求？

• 自动化如何进一步改善密钥的生命周期管理？

分布式密钥管理系统使管理密码密钥变得非常困难。随着公司的发展，您的数据以及必须维护的数据安全性所需的加密密钥数量也将随之增加。

通过切换到集中式密钥管理系统，您将消除这些挑战，提高生命周期效率，并帮助您的IT部门制定适合您组织的适当密钥管理策略。

首先，让我们看看实践适当的密钥管理意味着什么。

正确管理硬件安全模块中的加密密钥。

在任何处理敏感信息的组织中，正确的密钥管理是数据安全性的基本过程。为了避免风险并有效地扩展运营规模，组织应集中管理其关键管理系统。这将导致良好的密钥生成并确保系统内的密钥完整性。

如何实施适当的集中式密钥管理策略和过程：

1. 在组织内制定安全的数据策略

2. 定义实施这些政策所需的流程

3. 使用专用的KMS自动执行硬件安全模块的那些过程。

什么是集中式密钥管理系统？

与分布式或特定于应用程序的KMS相比，集中式KMS 提供了更高的效率。之所以称为集中式，是因为它们使用单点来保护密钥管理，策略和访问审核日志。要启动，您的组织可以在您所有部门中制定统一的密钥管理过程。

集中式密钥管理系统的一些优点：

• 提供明显的篡改记录以证明合规

• 简化关键管理流程并降低成本

• 自动密钥更新和分发到任何端点

• 通过用户和管理员权限降低人为错误的风险

• 异步工作流程的双重控制

• 系统范围的密钥控制管理任何密钥类型和格式

• 提供高可用性和可扩展性

• 通过自动化降低成本

• 简单的备份和恢复

实施集中式系统的另一个主要优势-通过提供每次从服务器管理敏感操作或关键活动的完整记录，可以简化法规遵从性。

集中式系统如何帮助符合法规要求？

监管是任何有关数据安全性的严肃讨论中提出的一个话题。每当涉及敏感信息存储时，您都必须遵循详尽的合规性权威列表所要求的标准安全规则。与加密和密钥管理有关的特定法规/安全标准取决于要存储或处理的信息的类型以及企业在哪个部门中运营。为了通过合规性测试和审核，您需要对数据安全性程序进行记录和更新。对于大多数公司而言，合规性可能是一大麻烦。

以下是HSM需要考虑的一些标准：

• 联邦信息处理标准（FIPS）

• 通用标准评估保证水平（CC EAL）

• 支付卡行业-数据安全标准（PCI DSS）

关键管理系统通常是在考虑某些部门/行业的情况下开发的，因此，建议选择具有良好记录的集中式KMS，以支持与业务相关的特定部门的安全/监管标准。

集中式KMS可通过实施安全策略并自动记录所有对安全敏感的操作来帮助通过合规性审核。与审核各种不同的密钥管理系统相比，对所有基本日志的统一概述和集中控制使证明合规性更加容易和快捷。

合规性是不可谈判的。对于系统而言，支持加密密钥的完整生命周期同样重要。自动密钥管理进一步减少了对耗时的手动密钥功能的需求。

一个管理高价值密钥的系统需要在整个生命周期中集中，自动化和优化加密密钥管理过程。适当的管理可降低开销成本，确保生成的密钥质量，并在存储和运输过程中保护这些密钥。

自动化如何进一步改善密钥管理生命周期？

对于熟练的技术人员而言，手动管理密钥的生命周期效率低下。下图突出显示了密钥生命周期的某些阶段。

密钥处理和生命周期

具有自动密钥管理功能的集中式系统可以节省人力资源，并使他们专注于更重要的职责。

例如，您可以自动执行密钥导入/导出过程，因此系统可以通过推/拉协议交换密钥。

有助于避免人为错误

人为错误是很难避免的。对于密钥管理，这包括在安装和维护设备，键入密钥组件以及与应用程序安全地集成方面的错误。为了减少人为错误损害敏感数据的风险，企业可以从手动密钥管理切换到自动化过程（用于密钥管理和审核日志记录）。

简化关键管理生命周期

如果密钥丢失或泄露，这也将提高安全性过程的效率，并允许轻松进行备份和恢复。自动化流程使公司可以简化密钥管理的整个生命周期，包括从生成和分发到到期的所有过程。备份，恢复和销毁。只需单击几下即可处理密钥和证书更新。

如何运作？

集中式KMS应该简单，安全和通用。它应该使密钥和证书的生成以及向任何端点的分发的轻松自动化。在大多数系统中，该过程相似。这是针对Web服务器的工作方式。

1. 随着服务器证书即将到期，集中式KMS将生成并分发新的密钥和证书。

2. 为了确保系统的完整性，需要两个人一起或异步使用智能卡和PIN输入设备（PED）登录到集中式KMS。只需单击几下即可更新证书和分发密钥。

3. 新密钥将自动更新并将证书签名请求发送到CA以进行密钥认证。

收到证书后，CA会验证证书并将其返回给集中式KMS用户，后者会将新密钥和证书推送到端点。

服务器现在使用更新的密钥和证书。使用集中式KMS，安全的密钥分发只需几分钟而不是几小时。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 简化密钥和证书的审核和修复

• 揭示PKI动态：全球各地区技术趋势和监管见解

• ENISA 2023威胁态势报告：主要发现和建议