您当前的位置:   首页 > 新闻中心
加密和密钥管理——“自带”到云端
发布时间:2021-06-23 11:01:51   阅读次数:

加密和密钥管理——“自带”到云端(图1)

在这个“自带”的时代,我们看到 BYOD(设备)、BYOE(加密)和 BYOK(密钥)的首字母缩写词出现在整个博客领域。BYOK 是一种云计算安全模型,允许云服务客户使用提供的服务器端加密软件并(自带)管理自己的加密密钥。


加密(密码学)的概念几乎与书面语言的概念一样古老:如果消息可能落入敌人之手,那么确保他们无法阅读就很重要。最典型的是,加密依赖于某种“密钥”来解锁并理解它所包含的消息,这将安全问题提升到一个新的水平——现在消息是安全的,重点转移到保护密钥上。在访问云服务的情况下,如果我们加密数据是因为我们担心它在未知云中的安全性,那么为什么我们会信任同一个云来保存密钥而不使用密钥管理解决方案?


BYOK 可以帮助希望利用云服务的组织解决第三方多租户环境中的法规遵从性和数据隐私问题。这种方法允许客户使用最适合客户需求的加密技术,包括云提供商的底层 IT 基础设施。例如,亚马逊的简单存储服务 (S3) 是关于使用带有客户提供的加密密钥 (SSE-C) 或“BYOK”的服务器端加密来保护静态数据。使用您在数据请求中提供的加密密钥,Amazon S3 然后管理加密(在写入磁盘时)和解密(在您访问数据时)。您无需维护任何代码即可在 S3 中执行数据加密和解密。您唯一要做的就是管理您提供给 Amazon Simple Storage Service 的加密密钥。当您上传对象时,Amazon S3 使用您提供的加密密钥对您的数据应用 AES-256 加密,然后从内存中删除加密密钥。 检索数据时,您必须提供相同的加密密钥作为数据请求的一部分。Amazon S3 首先验证您提供的加密密钥是否匹配,然后在将数据返回给您之前解密数据。


需要注意的重要事项:Amazon S3 不会存储您提供的加密密钥。相反,它们存储加密密钥的随机加盐 HMAC 值,以便验证未来的请求。加盐的 HMAC 值不能用于导出加密密钥的值或解密加密对象的内容。这意味着,如果您丢失加密密钥,您将丢失对象。


每当公司决定将其应用程序托管在云中,或者使用将公司数据存储在云中的 SaaS 应用程序时,他们的 IT 安全专业人员都必须提出一系列问题。

  • 我们可以加密数据吗?如果是这样,谁可以访问这些密钥?

  • 我们将如何执行密钥轮换和管理加密密钥的生命周期?

  • 云供应商是否使用专有加密技术阻止我们将数据转移到其他供应商?

  • 如果我们使用 10 个 SaaS 应用程序,我们是否必须管理 10 个不同的密钥管理解决方案?


当数据和加密技术位于公司自己的数据中心时,这些问题就很难回答了,在那里它可以完全控制一切。在许多情况下,如果提供加密,云提供商持有或有权访问密钥,这会给最终用户带来另一组问题。一方面,以明文形式访问数据的第三方违反了 PCI-DSS、HIPAAGLBA 等法规。此外,客户尚未建立对云平台或 SaaS 提供商的信任来保护他们的数据。有许多引人注目的数据泄露事件让最终用户感到紧张。客户还担心美国政府会在他们不知情或未经许可的情况下传唤访问他们的数据。对于选择使用美国托管的云或应用程序的美国境外公司,存在数据隐私和居住问题。本能地,管理您自己的密钥并使用 BYOK 而不是将其留给云提供商,这感觉更安全。


一些事情变得非常清楚:

  • 您需要知道您的敏感信息在哪里、时期。

  • 您需要知道谁可以访问它。不是你认为谁可以访问它,而是谁真正可以访问它。

  • 无论您将敏感信息放在哪里,都需要对其进行保护。您需要做的最关键的事情是对数据安全应用强大的纵深防御方法,包括使用加密和访问控制。

  • 您需要能够通过审计日志和报告记录谁实际访问了您的信息。对于敏感数据以及合规性数据而言,这是正确的(并且很重要)。

  • 如果您认为让您的云服务提供商加密您的数据可为您的信息提供足够的安全性,您可能需要重新考虑这一点。


这一切归结为:当加密数据在云中存储或处理时,数据和密钥必须分开保存,只有最终用户才能控制加密密钥。


云存储选项带来了新的经济和业务效率,但安全性不容忽视,也不能简单地外包给其他方。我们认为,控制对您数据的所有访问(包括管理您自己的加密密钥)是良好安全性的基础。管理加密密钥听起来可能令人生畏,但其实并非如此。我们的技术使数据安全和加密密钥管理变得简单明了。我们的密钥管理解决方案解决了上述所有问题,并且可以在您存储数据的任何地方保护您的数据。


揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609