021-54410609
什么是“自带密钥”?
自带密钥(BYOK,Bring Your Own Key)是一个与云应用程序的密钥管理相关的流行术语。然而,缺乏标准化使得理解自带密钥下存在的各种含义变得混乱。为了帮助理解这一点,云安全联盟 (CSA) 在其文档“云服务中的密钥管理”中帮助描述了围绕“自带密钥”的各种含义和概念。
BYOK目前没有标准化,其含义可能因公司而异。除了 BYOK(自带密钥)之外,还使用了其他首字母缩略词,包括 HYOK(持有自己的密钥)和 CYOK(控制自己的密钥)——以及最近的自带加密 (BYOE)。随着对银行级云计算需求的增长,这些相关术语正越来越多地被科技公司使用。然而,人们必须意识到这些更多地被视为营销术语而不是技术术语。
虽然 NIST 文档(例如NIST SP 800-57)没有提到 BYOK,但它确实将私钥的“所有者”定义为任何有权使用该私钥的实体。它还将对称密钥的所有者定义为有权使用该密钥的实体。
从技术上讲,这确实混淆了密钥所有权,因为这些密钥最终会被云服务提供商使用。NIST 对密钥所有者的定义否定了 SaaS 市场上几乎所有 BYOK 方案中的“O”,因为私有密钥或对称密钥最终由云服务提供商 (CSP) 使用。
值得注意的是,BYOK 并不是一个特定的实现——该术语没有明确表示任何技术设计、法律风险或结果。因此,CSA 建议“技术专业人员不应使用该术语,并应积极阻止在专业社区和媒体中使用该术语。”
密钥所有权/控制与使用与拥有之间的区别
由于缺乏标准化而造成了一些混乱,CSA 的文件声称“所有权差异”是需要考虑的问题。了解密钥所有权/控制与使用与拥有之间的区别至关重要。
密钥的密钥所有权并不能保证实现隐私目标。相反,拥有是保护密钥隐私的主要问题。
当组织与云服务提供商共享其密钥时,他们必须接受提供商可以访问受密钥保护的数据以便对其进行处理的现实,除非已采取其他措施来防止这种情况发生。
出于实际安全目的,网络安全和隐私标准的重点应该更多地放在加密密钥的拥有和使用上,而不是所有权/控制权上。
因此,在选择密钥管理系统来管理云环境时,应重点关注所需的隐私程度。
揽阁信息对“自带密钥”概念的理解
平时在网络中可以搜索到很多与“自带密钥”相关的信息,由于每家企业的解答不同,且相关资料和类似的名词也较为繁多,揽阁信息提出了自己对于几个“自带密钥”名词的理解。这些名词为:BYOK、HYOK、CYOK、MYOK、BYOE。
BYOK:英文全称为Bring Your Own Key,自己掌管密钥。通常为客户在自己的环境中产生密钥,再将密钥打包到云端进行使用。这种方案中,客户拥有一份密钥的拷贝,无需担心云端密钥丢失。其劣势为无法确保所有的云,都支持自己的密钥打包上传。
HYOK、CYOK、MYOK:英文全称为Hold/Control/Manage Your Own Key,自己控制密钥。这3个缩写是对于同一个概念的不同叫法。即密钥仍处于第三方的平台中,但客户可以自己在密钥的全生命周期中控制密钥,并可自定义密钥为哪些应用所使用。
BYOE:英文全称为Bring Your Own Encryption,自己掌管加密。BYOE在一种超越了BYOK、HYOK的概念,它实际上可以实现全部BOYK的承诺和功能,并且让客户自己自己完全掌管加密过程。BYOE 的概念应该允许将加密密钥的使用和拥有与 CSP 应用程序分开,有效地解决许多组织对密钥控制、密钥访问及其使用的担忧;也可以云服务商仅提供基础的云服务即可,让用户将自己的加密工具与密钥管理,一并上传到云端,从而客户对实现密钥和加密过程的完全掌控。BYOE的最大优势是:客户无需考虑由于密钥和加密过程被绑定,而带来更换云服务商时的额外成本,可随意根据自己的需要更换云服务。也可实现多云/混合云环境下的数据安全。
揽阁信息,拥有完整的BYOK、HYOK、BYOE的解决方案,可适配任何客户的任何业务场景。如需了解更多信息,请立即与我们联系。
揽阁信息可提供的部分安全产品和解决方案信息
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
-
数据库访问控制:揽阁LGPAC系统
-
通用HSM:Luna HSM、ProtectServer HSM
-
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!
联系我们
免费试用留言
客服电话