在将业务核心的应用程序和加密技术迁移到云中时，银行和金融机构面临许多问题。为了效率和创新而采用云计算的推动力必须与保护敏感数据和流程的责任相平衡。

借助基于云的密钥管理以及由云提供商对加密密钥进行物理控制，将数据保护留给云提供商的缺陷：

• 数据可能会暴露给托管服务提供商的人员，也可能暴露给第三方（例如民族国家或网络犯罪分子）。

• 未来云提供商的转换成本高昂且乏味，并且可能导致数据丢失。

• 使用混合云环境或添加由其他服务提供商提供的SaaS会增加复杂性。

• 当密码和密钥不在银行的控制范围之内时，很难证明符合安全标准（例如PCI）。

由于这些原因，银行和金融机构必须保留对用于混合云的加密密钥的集中控制。毕竟，银行和金融交易最终都由加密功能组成，并且一组密钥的所有权完全定义了银行的在线存在。

自带密钥（BYOK）进行云加密

BYOK解决方案使云用户可以独立生成，备份和提交自己的加密密钥。这解决了上述问题，但是BYOK解决方案有其缺点：

• 丢失或错误可能会阻止企业解密自己的数据。如果密钥丢失或被盗，云服务提供商将无能为力。
  

• 用户的备份过程本身必须接受高安全性措施，以防止加密密钥被盗。

• 最佳安全实践要求每个单独的云服务都有自己的唯一密钥。公司将使用各种密钥并在多个提供商之间分配其数据。BYOK面临着复杂而多方面的挑战。

总之，BYOK方法是迈向安全云采用的重要一步，但是在高度监管的环境中，这还远远不够。

云的密钥生命周期的集中控制：MYOK

通过管理自己的密钥（MYOK）模型可以满足从云的灵活和按需服务中受益，同时保持银行级加密安全级别的需求。MYOK系统：

• 使用户能够控制和管理自己独特的密钥组合的整个生命周期：在使用过程中生成、存储、部署、检索、备份、吊销和更新
  

• 使用户能够创建和管理密钥，以使用密码学解决多种不同的云模型

• 使用户有能力扩展其加密使用以保护数据。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SK Telecom与Thales合作开发后量子密码学

• Thales Luna v7.8.3 现已推出

• Thales与Prime Factors 30年的合作继续为支付应用提供简单性、灵活性和安全性

• 最近公布的NIST后量子密码学标准的3个要点

• Thales payShield 获得法国 Cartes Bancaires HSM 认证