信任是云安全中一个备受争议的话题。它与隐私、安全性和合规性一样重要。随着客户越来越不信任公司如何在云中存储和处理数据，对数据进行加密和控制加密密钥对于建立信任至关重要。

“要信任得更多，您就需要减少信任”

但是，似乎存在云信任悖论：要信任更多，您就需要减少信任。云提供商对您和您的数据了解或掌握的越少，您对它们的信任就越高。基于这种信任的概念，Google Cloud开发了外部密钥管理器（EKM）技术，该技术可帮助组织对如何以及何时使用其加密密钥来保护和访问用户的加密数据实现更高级别的控制。

使组织有可能在云平台之外管理其密钥，这不仅有助于提高他们的信任度，而且还是减轻某些威胁因素的好方法，其中包括：

• 由于诸如错误或操作问题之类的原因，提供商意外丢失了加密密钥；
  

• 由于本机云安全控制配置错误而导致的密钥泄露；

• 缓解员工不满的情况，因为员工无法访问密钥；

• 一些实体对云提供商的要求交出了特定客户数据的密钥。

保持加密密钥远离云的必要性

除了这些安全方面的考虑外，Google Cloud还确定了“三种模式，其中实际上可能确实需要将密钥保留在云中，或者超过了基于云的密钥管理所带来的好处。”

第一种情况涉及极为敏感，监管严格的数据，例如医疗保健，金融或制药。在这种情况下，组织出于各种风险，合规性或策略原因而希望将这些数据保留在本地。但是，此决定可能会危害其他公司目标。因此，更平衡的解决方案是将加密的数据迁移到云，同时保留对加密密钥的完全拥有权。

第二个用例涉及欧洲，印度，日本或巴西等地区的隐私和安全监管制度，并维持对这些要求的遵守。这些要求声明或暗示云提供商在任何情况下都无法访问数据，这可能使他们无法获得访问加密密钥的方式。数据主权概念赋予“客户一种机制，以防止提供者访问其数据，仅批准对客户认为必要的特定提供者行为的访问。” 为了满足这些要求，组织仍然可以利用Google Cloud来存储数据，同时在物理和管理控制下将加密密钥保留在自己选择的位置。

最后，正如Gartner所指出的那样，运营效率和减少密钥管理工具数量的需求是将所有密钥保留在一个系统中以覆盖多个云和本地环境的强烈动机。集中式密钥管理解决方案降低了复杂性，并为云客户提供了围绕密钥访问以及因此对静态数据访问进行集中实施策略的能力。

前进的道路

为了帮助组织从增强的控制级别中受益，Thales已将其CipherTrust Key Broker服务与Google Cloud EKM集成在一起。Thales DPOD上提供了适用于Google Cloud EKM的CipherTrust密钥代理，您可以在适用于Google Cloud EKM的CipherTrust密钥代理解决方案摘要中了解有关它的更多信息。或者您也可以和揽阁信息联系，我们会为您提供所需的一切信息以及为您提供定制化的解决方案。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 育碧（Ubisoft）被黑客攻击48小时：900GB数据险遭泄漏

• 勒索软件制裁：有什么影响？

• 关于“欧盟-美国数据隐私框架”的问与答

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规