根据Gartner的调查，81％的企业正在采用混合云和多云策略。在公共/私有云、SaaS和本地环境中保护数据和使用加密的挑战增加了复杂性、成本和安全风险。新的数据安全加密技术使组织能够在保持对敏感数据和私有数据的控制的同时获得公共云的好处，这对于确保公共云部署和成功的数字转换至关重要。

有多种加密方法可以利用公共云提供商的数据安全功能来解决跨多个云的公共云数据保护问题。

云原生加密

云原生加密依靠云提供商来保护数据，通常作为默认数据加密方案提供。在这种方法下，云提供商将生成并拥有用于加密云中静态数据的密钥。这种方法最容易实现，并且具有与其他云原生服务集成的好处，但是它无法为客户提供对加密密钥的任何控制或管理。它具有许多安全方面的缺点，包括：

1. 云提供商可以访问加密密钥，从而可以访问存储在云中的数据。
   

2. 客户无法删除密钥并在需要时立即删除访问权限，例如，如果存在违规行为且需要切断访问权限以确保合规性。

3. 如果密钥丢失，则客户将无法恢复密钥或访问其数据。

4. 客户不能使用相同的密钥来加密不同的数据块。例如，他们可能需要在同一密钥下加密不同的数据，以便他们可以以一致的方式对该数据进行操作。

5. 客户无法以一致的方式对跨多云的关键管理策略设置细粒度的控制。

6. 客户无法获得用于多云密钥管理的单一平台。每个云的策略框架和审核将有所不同。

云平台密钥管理

云平台密钥管理还允许云提供商生成，拥有和管理数据加密密钥，但是使用云本机密钥管理服务来生成和管理主密钥或“密钥加密密钥”（KEK）。这些主密钥用于对“数据加密密钥”（DEK）进行加密，以在将DEK存储在云中之前对其进行保护。云提供商内部管理所有DEK并执行数据加密。这种方法提供了更高级别的安全性和控制力-例如，客户可以删除主密钥，以防止任何人访问云中的数据。尽管比云原生加密更安全，但此方法还具有一些数据安全危险信号，包括：

1. 如果删除了主密钥，则无法取回该密钥。使用该密钥加密的所有数据都将丢失。
   

2. 云提供商仍然拥有主密钥，并有权访问加密的数据。这要求对云提供商及其员工的信任度可能违反内部安全策略和/或外部法规。

3. 跨多个云区域存储数据的部署不能使用相同的密钥，从而使关键应用程序的访问复杂化。

带上自己的钥匙（BYOK）

自带密钥（BYOK）是增强公共云安全性的常用方法。在这种方法下，客户带来或导入自己的主密钥，云提供商将其存储在其密钥管理系统（KMS）中。云KMS生成许多DEK来加密云数据，并通过将DEK与客户的主密钥包装在一起来保护DEK。

该方法允许客户保留主密钥的所有权，从而解决了云平台密钥管理的一些缺点。如果需要删除密钥以阻止正在进行的破坏，则可以稍后将其重新导入到云KMS中以回收数据。如果存储的主密钥丢失，则可以使用副本，以便客户检索其数据。当驻留在不同位置的数据需要由同一应用程序处理时，可以在多个帐户和区域中使用同一密钥。但是，这些功能可能会增加管理复杂性。尽管比云平台密钥管理更安全，但BYOK仍使云提供商可以访问主密钥，因此仍保留了具有访问权限的第三方的合规性和安全风险。

揽阁信息提供的Thales HSM，拥有FIPS 140-2、CC、eIDAS等国际认证，可与各类云平台进行对接，并支持远程管理、集群化部署等功能，是最佳的BYOK方案选择。

自带KMS（BYOKMS）

自带KMS（BYOKMS）提供了最安全的保护密钥和云数据的方法之一，同时还提供了与云原生服务的强大集成。在这种方法下，完全在云提供商平台之外的密钥管理服务会生成并管理云提供商使用的主密钥。主密钥始终安全地存储在客户自己的云KMS / HSM中。与BYOK不同，云提供商永远无法访问主密钥。对于云中的数据加密/解密，加密密钥将与客户自己的主密钥进行包装/解包。可以随时撤消对主密钥的访问，从而使数据立即在云平台中不可访问。尽管此解决方案可为客户提供对其主密钥的完整实时控制，

Thales最新的CipherTrust数据安全平台是全球领先的KMS系统，提供物理和虚拟化版本，两个版本都可以通过设备内自带或外部连接的方式，利用Thales Luna HSM存储主密钥，以提升系统中密钥的安全等级。CipherTrust集成了众多功能，不近可实现密钥的全生命周期管理，还可对各种静态数据、动态数据进行加密、令牌化、屏蔽、假名化、匿名化、数据脱敏等方式的安全保护。其完全兼容KMIP协议，提供TDE或LUKS加密保护功能。

自加密

进行自己的加密是保护密钥和云数据的最安全方法，但可能会影响与其他云原生服务的集成。这种方法提供了数据中心所提供的相同级别的保护，但是具有易于操作和云的可伸缩性。客户提供所有数据加密密钥，并对云中的数据进行加密。

这种方法的障碍在于，由客户拥有的数据加密密钥加密的数据无法被其他云原生服务自由使用。这些服务无法访问数据加密密钥，因此无法解密数据。一个有效的自带加密解决方案需要四个主要组件：

1. 在所选的公共云平台上运行的客户操作的密钥管理和加密解决方案。
   

2. 在本地运行的由客户操作的密钥管理系统，用于在数据发送到云并存储在云中之前对其进行客户端加密。

3. 客户的云KMS与本地KMS之间的集成，以便他们可以共享密钥并加密/解密已由其他KMS加密/解密的数据。

4. 客户的云KMS与云平台的本地KMS之间的集成。当云原生服务需要使用云中存储的客户端加密数据时，客户的KMS应该将数据从客户端加密（客户拥有的DEK）透明地转换为服务器端加密（云提供商拥有的KEK）。然后，云原生服务可以使用数据并执行所需的操作，然后再使用客户的密钥对数据进行重新加密。

现在必须制定一种应对多云数据安全性的策略。最有可能的是，您现有的数据安全部署旨在在传统数据中心的控制范围内保护本地数据。随着更多基础架构，工作负载和数据转移到云中，在迁移过程中重新考虑数据安全性非常重要。大多数组织采用的用于保护本地数据的方法并不容易迁移到公共云基础架构和工作负载。请记住，不同的工作负载和数据分类可以使用不同的数据安全性方法（云原生、BYOK、BYOKMS、BYOE）来实现云集成和风险缓解的最佳平衡。对于许多组织而言，我们的建议是：请带上自己的KMS。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 安全SSL/TLS密钥：Palo Alto Networks下一代防火墙与Thales Luna HSM

• TPM与HSM之间有什么区别？

• 什么是BYOK（自带密钥），为什么它很重要？

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• Thales提前完成收购Imperva交易