本文介绍如何通过将银行级生命周期密钥管理和BYOK作为混合云银行架构引入Amazon Web Services(AWS),来解决金融机构可能在云中进行密钥管理的问题。
随着银行和金融机构采用数字化转型及其服务的平台化,IT服务从内部自我管理的数据中心迁移到公共云服务的趋势正在增加。
云计算为银行和金融部门提供了主要优势。当然,由于它提供了较低的资本成本,因此有望改善底线。通过拥抱云的本机弹性和弹性,银行可以从调整产品和服务交付目标,快速而敏捷的发展目标中受益。这使银行和其他金融机构能够从竞争中脱颖而出。
安全问题仍然是在许多业务关键型金融应用程序中采用云计算之间的重要障碍。由于银行和金融机构所进行业务的性质,将其敏感数据、关键业务流程和公司IP放置在可公开访问的平台上可能会吸引网络犯罪分子以及将关键数据意外暴露给服务提供商。因此,不能低估专业设计和数据安全管理的重要性。
对于几乎所有应用程序而言,加密技术都是数据安全性的基础,并用于在保护数据和通信的同时对流程和用户进行身份验证。在许多使用加密技术提供核心价值的银行应用程序中,这是显而易见的。例如:
银行和金融交易使用多种加密功能。
银行的在线存在是由一组加密密钥的所有权定义的。
尽管许多企业依靠加密技术来保护其关键数据和流程,但银行和金融机构需要对其加密流程进行更高级别的保证。否则,折衷的欺诈风险会增加,这可能会将资金转移到网络犯罪分子的账户中。
通常,决定将敏感数据放置在云中取决于托管公司提供的数据安全性和隐私保证。其他关键注意事项包括:
IT体系结构,包括软件和硬件
用于保护IT体系结构及其外围的物理基础架构
程序,包括与安全相关的过程和相关人员
没有特定的预防措施和保护,银行将无法在托管环境中控制。他们的数据可能会暴露给托管服务提供商的人员或未经授权的第三方。
默认情况下,保护数据和通信的责任通常属于云服务提供商的责任。但是,这意味着数据加密密钥归云基础设施提供商所有,这可能意味着出现粘滞性锁定情况。将来切换提供商可能会很困难,并可能导致数据丢失或具有挑战性的迁移过程。这样的锁定也阻碍了跨多个云移动数据。因此,银行和金融机构需要避免锁定其加密密钥。
所有数据和操作将被限制在一个云位置的可能性非常小。银行可以选择AWS作为其数据和应用程序,并使用另一个云来操作其他流程(包括SAP或MS Azure)来操作其他应用程序(包括管理应用程序)。在考虑关键所有权时,将一个或多个云服务平台整合在一起可能具有挑战性,同时要为本地服务提供本地数据中心。因此,由于分布式密钥管理或密钥所有权,对数据传输不应有任何限制。
金融和银行业受到更高级别的监管,这是一个重大挑战。银行必须通过进行年度审核来证明其符合安全标准(例如PCI DSS)。如果加密和密钥不在银行或金融机构的控制范围内,那么,即使不是不可能,被审计实体也很难证明其合规性。这些强制审核是维护银行执照所必需的。
自2016年以来,AWS已为BYOK提供了与KMS集成服务和自定义应用程序一起使用的功能。与AWS无缝集成,以集中密钥管理并确保客户数据安全。这使诸如银行和金融机构之类的用户可以控制其密钥的创建、生命周期和持久性。
使用BYOK方法,可以通过管理银行的数据安全性来为银行提供更多控制权。这为AWS已经安全的加密框架提供了额外的安全性。
选择BYOK选项可以使银行或金融机构独占并控制其加密密钥。银行(用户):
创建他们的钥匙。
保持他们的钥匙。
确定其数据是活动的还是静止的。
AWS或第三方人员无需拥有用户密钥即可访问静态数据。
在安全的混合云中保持对数据和应用程序移动的控制。
将揽阁信息的BYOK解决方案与AWS的安全架构集成在一起,客户可以完全控制AWS公共云中的数据加密。选择该方案的用户享有以下优势:
全面的安全解决方案。BYOK加密密钥涵盖所有类型的静态数据,包括引导磁盘和数据永久磁盘。
更加省心。AWS使用AES-256加密其用户的云数据。由于AWS不会保留用户的BYOK密钥,因此将阻止其人员读取或解密静态数据。
工作更快,而无需增加开销。AWS会加密静态的用户数据。BYOK可以完全控制银行,而不会增加开销。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!