组织正在通过加密敏感信息来积极防止数据泄露。但是，加密并不是万无一失的安全措施。例如，如果攻击者控制了组织的加密密钥，则他们可以使用它们来解密其数据，从而窃取其明文内容。

幸运的是，组织可以通过实践良好的密钥管理来加强其加密实施。管理其密钥的标准方法是使用硬件安全模块（HSM）来保护其加密密钥，以防止在其整个生命周期内被篡改。话虽如此，如果组织希望在整个云环境中扩展其关键管理工作，则需要牢记其他注意事项。

我将首先研究通过各种用例研究的HSM的整体优势。然后，我将讨论对HSM的日益增长的需求，以满足混合云环境中组织的关键管理需求，尤其是Thales如何领导在混合，云和本地环境中向客户提供HSM的方式。

硬件安全模块的用例

根据TechTarget网络，HSM用于为关键功能（例如来自应用程序、身份和数据库）的加密、解密和身份验证之类的关键功能提供加密密钥。我们将在下面重点介绍的采用HSM的三个主要用例是信任根、公钥基础设施和代码签名。

信任根

在使用非对称密码的密码系统中，通常存在通常可以信任的信任根（ROT）。（并非所有系统都是平等创建的，因此这种信任关系不是预先确定的。）ROT通常受诸如HSM之类的加固硬件模块保护。这种技术执行密码系统的重要功能，其中包括使用密钥来加密和解密数据，以及生成和验证人员和设备使用的数字签名和签名证书。所有这些都在安全的环境中进行。因此，计算机生态系统可以信任从HSM接收到的密钥和加密数据，因为该模块及其信息在技术上是无法从该生态系统外部访问的。

公钥基础设施

在数字证书和公共密钥的生命周期中发挥作用的所有硬件、软件、策略和过程共同构成了公共密钥基础结构（PKI）。PKI为在大型用户群中实施数字签名和加密奠定了基础。证书颁发机构（CA）颁发证书是实现PKI不可或缺的一部分，可帮助验证用户的身份。恶意行为者意识到了这一点，这就是为什么他们通常使用复杂的攻击来针对CA。作为响应，所有公共CA都利用HSM来确保PKI完整性并保护其最宝贵的资产，即根私钥。

代码签名

HSM的第三个用例是代码签名，它可以帮助用户和组织类似地验证软件发布者的身份，并根据其数字签名来确认其软件产品与发布时的产品相同。软件发布者可以从CA获得商业发布证书，以帮助确保用户的信任。为此，申请人可以使用HSM之类的解决方案来保护用于数字签名的私钥安全。

混合云的兴起带来的困难

如今，由于混合云的兴起，组织在整个环境中部署HSM变得越来越困难。根据Thales自己的研究，超过五分之四（84％）的组织正在采用多云策略。他们这样做是为了：

1. 满足云中多个应用程序和团队的需求；

2. 降低与单个云提供商达成交易的风险；

3. 杠杆定价。

为此，许多组织寻求在整个混合云中增强其IT敏捷性，同时提高其安全级别和对基于云的资产的控制。

安全挑战在混合云中十分普遍。根据（ISC）2，三分之二的组织认为传统安全解决方案要么无法在云中运行，要么功能有限。这是一个问题，因为超过一半的组织将与内部部署基础结构的兼容性作为接受混合云的最重要考虑因素。同时，有60％的组织表示其安全团队无法跟上云业务计划的步伐，从而限制了他们保持组织安全的能力。

对混合多云HSM的需求

上述挑战并不能免除组织保护其数据和加密密钥的责任。话虽如此，组织明智地寻找将云或多个云以及混合环境考虑在内的HSM。例如，许多领先的基于云的HSM提供与本地解决方案相同的加密功能，但是它们是由提供商以“即服务”模型提供的。这种类型的服务使组织在缺乏内部专家来部署本地技术的情况下，可以依靠专业人员来建立和维护HSM。一直以来，组织都可以使用基于云的HSM享受更好的安全性，更简单的定价模型，冗余，可用性和其他好处。

当然，购买HSM（无论是本地还是作为云中的服务）都取决于做出选择。这就是组织需要进行研究并找到可信赖的提供商的原因。随着HSM的增长，组织寻找满足其业务需求的可信赖提供商的难度越来越大，尤其是在新兴的云HSM市场中。

IDC外包和托管云服务计划的副总裁David Tapper非常了解这一日益严重的问题。如最近的新闻稿所述：

托管云服务市场正在引起外包行业的根本变化，涉及新提供商的进入，合作伙伴生态系统，投资要求和机会，尽管这也给从非云（传统）外包世界转变的参与者带来了一些关键挑战托管云服务。

幸运的是，组织不必花太多时间就可以找到基于云的HSM提供程序。这是因为泰雷兹作为市场领导者，继续保持行业领先地位，提供经过验证的Luna HSM和payShield支付HSM，以及其按需数据保护（DPoD）解决方案，即最新的数据保护即服务。

早在2017年，该公司就推出了DPoD，这是基于云的HSM，密钥管理和加密解决方案的一站式市场。泰雷兹通过简单、直观，基于Web的界面提供每种服务，从而确保其客户的易用性。其经验丰富的安全专业人员管理此接口，该接口托管在高度健壮和可扩展的体系结构上。这使Thales的云安全解决方案可以扩展以满足任何客户的需求，包括具有本地、公共云、混合或多云环境的客户。

此外，Thales在其Luna HSM与DPoD云HSM服务之间提供了无缝的密钥迁移，以支持其客户的混合多云环境。通过启用所有第三方HSM集成并提供通用的SDK和API支持，这样的产品有助于满足客户的需求，无论其数据位于何处。该混合产品提供了本地Luna HSM设备与DPoD云HSM服务之间的高可用性组访问。该解决方案还有助于在内部部署环境和基于云的环境之间分配工作负载，并维护组织的加密对象的实时，基于云的备份。

要了解更多信息，请联系揽阁信息。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 经验教训：2023年全球网络安全的五个要点

• 简化密钥和证书的审核和修复

• 揭示PKI动态：全球各地区技术趋势和监管见解