您当前的位置:   首页 > 新闻中心
HYOK或BYOK加密?云迁移和多云策略的关键决策
发布时间:2020-04-27 12:31:14   阅读次数:

HYOK或BYOK加密?云迁移和多云策略的关键决策(图1)

云迁移挑战

更快地采用云托管数据库即服务(DBaaS)的最大障碍可能就是数据隐私和安全性。对于任何收集,处理,分析和保留敏感或受管制信息的组织,数据隐私都可以迅速成为阻碍。采用涉及个人身份信息(PII)、私人健康信息(PHI)、有价值的知识产权(IP),其他敏感的非公共信息(NPI)或任何其他政府或行业监管数据的云服务通常需要完全不同的信任模型。


习惯于使用传统方法来保护和控制对数据的访问的组织在管理数据安全的所有方面时,都需要对数据隐私进行思维上的转变。几年前开始引入外包的IT运营和托管服务,现在的云迁移需要从管理路由器、防火墙、服务器和工作站配置的所有方面转变为通过合同协议来管理数据安全性。


数据安全性和隐私合规性越来越与基础架构分离

现在,随着向“一切即服务”(SaaS、DBaaS、IaaS等)的快速过渡,管理数据安全性变得更加抽象。任何云采用策略都需要考虑到,组织只能由用户身份,数据本身以及用于访问数据的应用程序控制。这就要求以数据为中心的方法是与应用程序、数据库和托管位置无关的。即使数据可以托管在几乎任何地方,也可以从几乎任何地方访问,都需要维护相同的数据保护、细粒度的访问控制、责任制和审计跟踪。在不损害数据安全性的情况下实现完整的数据移动性是任何云迁移策略的重要组成部分。


新的现实情况

云托管提供商以及在云托管基础架构上运行的数据库和应用程序几乎都在提供更好或更好的传统安全控制方面做得很好,就像他们的潜在客户今天在内部享受的那样,但这还远远不够。数据隐私法规要求收集数据的组织对其隐私和保护负责,无论任何合同协议或外包安排如何。


即使组织几乎无法直接控制任何处理数据的基础架构,组织也要承担责任。需要实时检测异常数据访问活动和用户行为分析(UBA),以弥补传统的数据丢失防护(DLP)功能(包括内部服务器、网络事件和端点保护解决方案)的损失。


解决方案

组织过渡到云时要保持完全控制的唯一方法是通过数据匿名化或使足够敏感的数据字段在云中时无法访问,而只有在内部部署或在其控制范围内时才可以再次访问。这就是“掌管自己的密钥”(HYOK)概念至关重要的地方。在将数据发送到云之前对其进行加密,并且仅在内部解密一次才是满足任何更为保守的信任模型的唯一方法。


对所有敏感数据字段进行加密或标记化也是不现实的,因为这会使数据实际上无法用于分析目的。列级加密或标记化必须选择性地仅应用于最敏感的字段。 SSN或信用卡主帐号(PAN)等字段是出色的候选人。他们仍然可以满足95%需要它们的业务流程,同时保持其受保护的形式。这包括用作唯一主索引(UPI)密钥、辅助标识符、用于联接的外/私有密钥对等,只要保持引用完整性即可。这就需要一个单一的,集中管理的解决方案,该解决方案可以跨平台一致地工作,并在数据之后提供保护和访问控制。


仅需要对足够多的其他字段或列进行加密,才能对任何特定的云托管数据集实现适当的记录匿名化或反标识化。所有其他敏感数据字段仍必须要求严格的“需要知道”的细粒度访问控制,但是由于许多性能、运营和业务原因,加密或标记化是不实际的。这通常意味着仅加密2%到10%的敏感或受监管数据字段,同时仍对所有敏感或受监管数据应用严格的,始终如一的,基于策略的访问控制。


主要的云服务提供商都提供了良好的数据中心安全性,但这还不够

几乎没有人会怀疑所有领先的云服务所提供的物理和网络安全控制,并且数据托管提供商比其客户自己的数据中心运营更出色或更出色。但是,对于大多数组织而言,其新的Cloud Hosting Trust Model要求用于加密的密钥不能在组织外部共享。全盘加密、文件级或表空间加密或基于自带密钥(BYOK)的列级加密不满足这些更严格的数据保护要求。


这些不满足仅共享加密数据(不共享密钥)的基本信任模型要求。如果任何智能数据控制器的数据流向云服务提供商,则无论它们存储或处理的位置如何,他们都希望保持完全的控制权,则“掌管自己的密钥”(HYOK)概念是理想的信任模型。


HYOK是云数据安全和数据治理的关键

受监管的行业(例如金融服务和医疗保健)要求将密钥与云数据仓库计算和存储基础架构分开。HYOK使公司能够通过对最敏感的列进行加密以及对其他敏感列的动态屏蔽或过滤访问来满足此要求,从而在数据保护、法规遵从性、分析和数据可用性之间实现最佳平衡。

HYOK或BYOK加密?云迁移和多云策略的关键决策(图2)

HYOK或BYOK

云服务提供商加密解决方案无法达到所需的平衡。磁盘、文件、表空间甚至列级加密解决方案仍然意味着Cloud Provider可以控制密钥!这样可以防止入侵者使用磁盘驱动器走出数据中心,但没有任何正常的数据访问通道。 Cloud Services提供的解决方案,包括自带密钥(BYOK)设计,对于任何受到严格监管的行业或处理特别敏感的数据的组织都是不可接受的。


HYOK加密通过确保敏感数据始终保持在云中加密(而不暴露加密密钥或敏感数据),增强了所有数据库即服务(DBaaS)环境中数据的安全性。当HYOK与其他数据治理和细粒度的访问控制(包括地理围栏、行过滤、逻辑删除、动态屏蔽、实时敏感活动监控、分类和用户行为分析)结合使用时,可以实现最佳平衡。


利用揽阁信息提供的解决方案实现HYOK

揽阁信息通过Thales公司的HSM产品、CipherTrust数据保护平台、Vormetric产品,实现密钥统一化、集中化的全生命周期管理,其产品满足FIPS 140-2 Level 3和CC认证,是实现细颗粒度的访问控制与数据保护的最佳实现之一。这满足了全球各地区的数据隐私法规的要求,例如:GDPRCCPANDB、MAS、LGPDAadhaar...等。


结构化和非结构化数据的加密、解密、令牌化、动态屏蔽等需要,均可在一套方案下实现,并且确保客户通过较小的集成开发工作和运维工作,实现低成本控制。并且揽阁信息还可为您和您的企业提供7*24小时技术服务,以协助您达到您所需要的、快速的问题响应效率。



揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609