本文的讨论仅限于公共云，尤其是基础架构即服务和平台即服务（IaaS和PaaS），因为这些是您可以选择数据保护的云使用模型。使用软件即服务，您完全依赖提供商在其云/服务中提供数据保护。

云安全模型的共同责任已由我们承担了很多年，在过去的五年中，作者已经看到对该模型的熟悉度从低至10％增至近90％（在美国观众中）。该模型表示，云提供商负责其提供的基础架构的安全性，而云消费者仍负责其在云中存储和/或使用的任何数据的安全性。

在共享责任模型上签出AWS和Azure内容。

在这种环境下如何保护数据？您当然可以依靠人群的智慧，但是多年来，Thales数据威胁报告全球版一致认为加密是保护云中数据的最佳方法。许多IaaS / PaaS提供商都提供自己的加密，您可以选择自带加密（BYOE）密钥来帮助使其加密更加安全并符合组织的各种数据保护要求。但是，坦率地说，唯一真正、完全控制云中数据访问的方法是通过BYOE。快速管理跨多个公共云和不同云存储选项的数据安全性变得非常复杂。BYOE使您能够保护数据并快速有效地达到合规性。那么，您如何准确实现BYOE？可以将其总结为几个步骤：

1. 寻找您信任的加密供应商；

   
   

2. 确保供应商的加密产品对云友好；

   
   

3. 将其部署到您的云工作负载。

这使Thales开始了CipherTrust数据安全平台的发布，以及它如何使您轻松实现BYOE到多个云的安全和运行效率的提升。该平台的核心是CipherTrust Manager，它管理平台BYOE解决方案的密钥和数据保护策略。为了实现云数据安全，您可以在本地部署CipherTrust Manager（作为具有嵌入式FIPS 140-2 Level 3认证的Luna HSM的硬件设备）、或使用虚拟设备（虚拟化版），或在AWS、Azure、Google Cloud或其他几个云提供商中使用。CipherTrust Manager的灵活性是实现上述操作效率的关键。您可能拥有首选的云，或者您可能想采用混合云方法。几乎在您最有知识和技能的任何地方，都可以部署CipherTrust Manager。唯一的要求是CipherTrust Manager需要能够“到达”（网络）BYOE解决方案以交付密钥和策略。

在带来自己的加密解决方案方面……

• CipherTrust透明加密是您用于IaaS的数据保护解决方案。您可以将其嵌入到云操作系统模板中，以便每次从云中的模板实例化OS时，它将找到CipherTrust Manager并下载密钥和相关的数据保护策略。CipherTrust Transparent Encryption相对于云提供商“本机”加密具有巨大的安全性增强，包括基于服务器的粒度访问控制（甚至可以使云提供商超级用户无法访问数据），以及使用相同的粒度访问控制加密AWS S3存储桶的能力。

  
  

• CipherTrust令牌化是PaaS的绝佳选择。通常，在PaaS中，您可以使用脚本来控制和访问数据流。您可以将对RESTful的调用嵌入到CipherTrust令牌化中，以保护（令牌化）或访问（取消令牌化）PaaS数据到脚本中。您可以将Tokenization Server部署为群集（根据需要在本地和云中具有节点），因此可以在本地对令牌数据进行令牌化，然后在云中对令牌进行解密，反之亦然。关于令牌化，我们正在谈论全面的混合云数据保护。（CipherTrust透明加密还提供了混合云数据保护。）

  
  

• CipherTrust Vaultless令牌化包括动态数据屏蔽，它也是完全云友好的。基于AD或LDAP查找，您可以定义谁可以看到每个已删除令牌的数据元素的数量。而且，所有标记和动态数据屏蔽设置均通过快速，轻松和高效的图形用户界面完成。

关于运行效率的最后几句话：

• 如果使用多个云，则必须在其控制台中管理每个云提供商的安全解决方案。如果您真的很聪明，则可以使用其API和CLI自动执行此操作。

  
  

• 相反，通过CipherTrust BYOE解决方案，您使用的IaaS / PaaS云的数据安全管理集中在CipherTrust Manager上。没有云控制台。而且CipherTrust Manager还具有自动执行集中式安全管理所需的API！

  
  

• 由于您是集中管理密钥，因此您可以将数据集从一个云移到另一个云或将其移回，而无需解密和重新加密。现在，这就是有效的数据移动性。

在CipherTrust数据安全平台上获得BYOE的另一个好处。如果您决定将CipherTrust Manager引入云，则可以放心，它是云提供商完全受保护的黑匣子。作为部署在云中的虚拟设备，任何云超级用户都无法访问它。令牌化服务器也是如此。

在下方点击链接，可以查看CipherTrust Manager的更多资料，或者您也可以与揽阁信息联系，获取专属于您的最佳解决方案。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Thales提前完成收购Imperva交易

• 经验教训：2023年全球网络安全的五个要点

• 数据安全的未来是什么

• 机器学习如何加速并提高敏感数据分类的准确性

• 揭示PKI动态：全球各地区技术趋势和监管见解