加上云计算带来的诸多优势和数字内容的增长，虚拟化对于任何希望减少碎片化并允许 IT 经理和 CISO 使用技术来确保政策启用和保护其最敏感数据的企业都至关重要。 . 

就像虚拟化 IT 基础设施支持云计算一样，通过虚拟化加密技术摆脱基于硬件的传统加密系统可以绕过系统的漏洞，以确保组织免受破坏并成功通过合规性审计。 

虚拟化，是什么意思？ 

简单地说，虚拟化是物理机器与运行在其上的软件之间的分离。传统上，软件是为特定操作系统编译并安装在特定机器上的。  

虚拟化提供硬件环境的软件模拟，以便“任何”软件可以在“任何”环境中运行。例如，为一个操作系统设计的软件可以在运行完全不同操作系统的机器上运行。  

此外，虚拟机不绑定到任何特定的物理机，因此可以轻松复制和移动，可以暂停和启动，可以随时拍摄快照并将机器回滚到所需的快照，等等。  

虚拟化还可以提供更好的规模经济，因为许多虚拟机可以使用单个物理机。虚拟化的好处是众所周知的，如今企业中几乎所有东西都被虚拟化了。  

虚拟化也是赋予云计算能力的原因，因为云经济基于在多个客户之间共享远程资源的能力。  

加密基础设施的现状

与当今绝大多数 IT 基础设施相比，加密基础设施并未虚拟化。  

加密密钥存储在硬件安全模块 (HSMs)、云保管库（Cloud Vaults）和密钥管理系统 (KMSs) 等中（用于管理和防盗）。这些“密钥库”中的每一个的接口大都不同，管理和加密密钥的使用都与存储库本身紧密相关。  

这意味着为一种类型的 HSM编写的应用程序可能无法与云 KMS 或保管库一起使用，甚至可能无法与来自不同供应商的不同 HSM 一起使用。  

此外，管理员需要使用不同的管理控制台，为设置安全策略、收集审计日志等提供不同的功能。这意味着应用程序和管理功能与所使用的特定密钥库（HSM、KMS、保管库等）密切相关。这类似于软件被绑定到特定的机器和特定的操作系统，其缺点非常相似。  

为一个环境编写的应用程序需要针对不同的环境进行修改（有时需要大量修改），一个环境中的加密密钥无法与另一环境中的密钥同步或备份，并且需要为每个环境单独重复运行管理操作（导致在一个耗时且容易出错的过程中）。 

与虚拟化计算基础设施的方式相同，现在也是虚拟化加密基础设施的时候了。  

什么构成虚拟化密码基础设施？ 

虚拟化加密基础设施由两个主要组件组成： 

• 虚拟HSM：该组件提供不论其中所述密码密钥实际上驻留用于消耗密码相同的标准密码的接口。这意味着应用程序可以使用 PKCS11、JCA、CNG、OpenSSL 和 KMIP 等库以及现代 REST API，并且虚拟 HSM 将加密请求定向到执行操作的适当密钥存储，以对应应用程序或系统。  
  

  
  

• 虚拟管理层：该组件提供了用于每密钥存储单个管理层（控制台和CLI）。管理员无需使用不同的管理控制台，而是可以在整个企业内统一执行管理任务，而不管使用的是哪个密钥存储，以及加密密钥是在本地 HSM、云 HSM 或云 KMS 中，还是任何其他钥匙库。 

上面的虚拟密码层将物理密码基础设施与其提供的功能分开。因此，它虚拟化了密码学。  

虚拟化密码学的好处 

虚拟化密码学的好处很多，通常类似于虚拟化一般 IT 基础设施的好处。  

更快地配置应用程序 

使用加密虚拟化时，应用程序不再依赖或绑定到正在使用的特定密钥库（就像软件不再依赖于特定硬件或特定操作系统一样）。因此，在更改密钥存储或将其移动到不同环境时（例如，将使用物理 HSM 的本地应用程序移动到云使用云 KMS）。为了使其工作，虚拟化层还需要使客户端能够以统一的方式对所有密钥库进行身份验证。  

简化管理 

虚拟化管理还使管理员能够只学习和使用一个系统，仅使用他们的企业凭据进行身份验证，并提供对所有不同加密系统的统一控制。 

强制执行全公司政策和管理 

有了统一的管理层，第一次可以在一个地方设置关于允许的算法和密钥长度、何时需要轮换密钥、谁可以使用它们以及何时使用等的全公司范围的策略。这种虚拟化层还提供了执行备份、同步和自动密钥轮换（在支持的情况下）的能力。 

尽管已经向前迈进了一大步，但虚拟化密码学的好处远不止于此。  

简化的审计和更高的可见性 

一个统一的虚拟化层可以为所有密钥库中的所有操作提供单一的审计日志，而不是需要整理多个不同且不兼容的审计日志。这提供了更高的可见性，提高了检测异常行为的能力，并且在发生安全事件时更容易进行取证。  

与云无关的无缝迁移 

今天的加密基础设施非常分散，并且随着组织采用混合云和多云策略而变得更加分散。加密虚拟化使组织对应用程序运行的特定环境更加不可知，并消除了云迁移的障碍。  

总之，通过在多个密钥存储上使用单个虚拟化层，组织可以在不付出碎片化代价的情况下获得多样性的好处。 

实现全加密虚拟化

完全虚拟化包括自动扩展的能力，提供内置的高可用性和灾难恢复，并支持云经济。此类功能 与硬件锚点不兼容，因此  需要软件密钥存储来增强现有硬件基础设施。这种密钥存储的挑战之一是安全性。MPC（安全多方技术）等先进技术，使加密密钥可以拆分、永不组合，从而实现高安全性。  

底线 

现在是加密基础设施赶上通用 IT 基础设施并摆脱将应用程序绑定到特定密钥库和环境的传统孤立解决方案的时候了。包含虚拟HSM和虚拟化密钥管理层的虚拟化，加密层使加密密钥能够以统一的方式使用和管理，而与它们的物理位置无关。  

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• 经验教训：2023年全球网络安全的五个要点

• 简化密钥和证书的审核和修复

• 揭示PKI动态：全球各地区技术趋势和监管见解

• 适合每位居民的欧盟数字身份钱包：利用HSM和开放标准SSCD