您当前的位置:   首页 > 新闻中心
云数据安全性:谁应该掌管密钥?
发布时间:2019-12-18 11:43:27   阅读次数:

云数据安全性:谁应该掌管密钥?(图1)

根据Ponemon Institute进行的2019年Thales全球云安全研究,所有公司数据中近一半(48%)存储在云中。组织承认,平均而言,存储在云中的数据中只有大约一半(49%)受到加密保护,只有三分之一(32%)的人认为保护云中的数据是他们的责任。


现实是,云在了解数据存储位置,谁可以访问数据以及如何最好地保护数据方面带来了挑战。应对云安全挑战的主要催化剂是新的政府法规和合规性法规,这将使保护多云战略更加复杂。


问题变为“谁负责云安全,谁使用云服务的云提供商或组织?”根据共享安全模型,答案是两者兼而有之。云提供商和企业都应负责维护安全。


在云中加密数据

对于选择使用加密来保护其数据的企业而言,保护其加密密钥至关重要。企业希望利用云所提供的所有优势,但是其中一些优势是有代价的。作为灵活性、可伸缩性和自动化的回报,加密密钥所有权通常被放弃给云服务提供商,从而使控制权脱离了组织的控制,从而增加了合规性。


当涉及到加密密钥时,一切都与控制有关。默认情况下,云提供商会代表客户生成加密密钥并管理密钥的生命周期。对于许多在云中托管敏感数据的组织而言,对加密密钥缺乏唯一的控制和所有权并不能满足其合规性或内部安全性要求。相反,这些组织希望完全控制如何以及何时使用加密密钥来保护和访问加密数据。


BYOK与HYOK

自带密钥(BYOK)使企业可以加密数据并保留对加密密钥的控制和管理。但是,某些BYOK计划将加密密钥上传到云服务提供商基础架构。在这种情况下,企业再次丧失了对其密钥的控制权。


BYOK允许您将密钥托管在云提供商内部,而“保持自己的密钥(HYOK)”则允许企业保留客户管理的加密密钥的物理所有权和逻辑控制。


Google Cloud的外部密钥管理器

上个月,Google推出了Cloud External Key Manager(Cloud EKM)的Alpha版本,今天该公司宣布它现已提供Beta版本。


Cloud EKM使组织可以通过不放弃所有权和对加密密钥的控制来利用Google云服务,并遵守复杂的法规和政策。这使组织可以将自己的密钥管理系统与Google Cloud的密钥管理系统(KMS)连接起来,并放心地保护其工作负载。


Thales正在与Google合作以提供此功能。Google Cloud的KMS和Thales之间的集成将使组织能够将加密密钥存储在其本地、colo或基于云的FIPS 140-2 3级HSM中,而不是将密钥材料存储在Google Cloud Platform或仅软件中KMS。这样一来,对与Google Cloud Platform服务(例如Google Compute Engine或BigQuery)相关的内部和高度敏感数据的访问现在由客户控制。


此外,当BigQuery之类的服务希望为查询作业解密数据时,它将请求用于保护谷歌基础结构中的数据的数据加密密钥(DEK)用密钥服务来解密,密钥服务将管理密钥加密密钥(KEK)。


KEK可以通过其全局URL和密钥路径来寻址。该密钥URL允许云服务请求有效载荷的“包装”和“展开”,在云本机应用程序中,有效载荷通常是秘密或关键的“有效载荷”。


借助这种新的HYOK架构和功能,企业可以随时决定停用对关键URL的访问,并立即撤消对保护云中DEK的KEK的访问,从而使云中的静态数据成为加密货币直到企业希望恢复该密钥的可用性之前,都必须将其切碎或不可访问。


为帮助使我们的工作可视化,请在网络上搜索并观看 Google Cloud高级产品经理Il-Sung Lee 演示的演示,我将展示该演示如何通过Thales保护BigQuery工作流程。


Thales目前正在为我们的新Cloud EKM服务运行Beta版程序。请继续关注更多细节。



揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609