您，真的放心将敏感数据完全交付给第三方吗？作为最有价值的资产，敏感数据曾经驻留在受物理和逻辑安全控制保护的受控本地企业数据中心中。但是，在我们的高度连接的世界中共享数据的迫切需要迎来了快速的数字和云转换，IT团队必须努力工作以跟上发展的步伐。回顾过去，我们现在可以看到，与由于COVID-19突然转移到分散的劳动力队伍中而看到的变化速度相比，这种转变的速度显得苍白。  

组织正在显着加快工作负载和数据向公共云的迁移，以使员工可以在任何地方工作。由于远程工作扩大了数据泄露和其他安全漏洞的范围，因此过去的最佳实践已不再足够。本机加密和密钥管理服务提供了足够的保护，但是金融，银行，保险和医疗保健等高度管制的行业需要更高级别的风险管理和合规性保证。这些组织现在有机会正确实现安全性，并为自己提供成功恢复的最佳机会。

根据最新发布的白皮书《云数据保护和密钥管理最佳实践》，两家公司现在可以采取三个步骤，这将大大降低公共云中敏感数据的风险：

1.分割存储提供商和密钥持有者的职责

云存储提供商（CSP）在传输期间以及存储之前对数据进行加密。但是，由于它们还拥有用于存储数据的加密密钥，因此可以直接访问驻留在其服务器上的所有数据。对于拥有数据的企业来说，这提供了一点安慰，因为必须将信任完全置于云存储提供商的手中。

确保数据保护必须遵循职责分离和最不特权访问的基本原则。这涉及对处理和存储数据的实体以及提供安全服务的实体强制执行职责分离。在理想情况下，数据存储提供程序以及加密和密钥管理服务提供程序应该是单独的实体。  

2. 拥有并掌控您自己的密钥

当云服务提供商（CSP）创建、存储和管理数据加密密钥时，他们可以访问其服务器上的所有敏感数据。如果存在数据泄露，则加密数据的密钥也可能会遭到破坏。为了增强安全性，某些CSP允许客户生成自己的加密密钥，然后将这些密钥导入CSP管理的密钥管理服务（KMS）中。通过这种“自带密钥”（BYOK）方法，客户可以对密钥的生成和轮换实施强大的熵和策略规则，以帮助满足法规遵从性要求。

掌控自己的密钥（HYOK）方法在CSP和客户之间提供了第一个真正的职责分离。在这种方法中，CSP仍然处理客户数据的加密和解密，但不管理密钥。这些密钥由客户直接或通过独立的第三方（例如密钥代理）生成和管理。

3. 在将数据发送到云之前对其进行加密

随身携带加密（BYOE）方法提供了最终的职责分离，并且是保护数据的最安全的方法。数据和密钥永远不会暴露给CSP，并且在将数据发送到云存储之前对其进行加密。

当涉及加密和密钥管理时，CSP在支持职责分离方面的支持程度有所不同。但是，他们所有人都强烈主张安全是共同的责任，并支持职责分离。使用上述步骤来确保云中的敏感数据是安全的。

揽阁信息提供了满足FIPS 140-2 Level 3和CC EAL 4+的HSM、KMS产品，让您轻松实现在BYOK场景下敏感数据云上安全的解决方案！

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 机器学习如何加速并提高敏感数据分类的准确性

• Thales(泰雷兹)宣布为Oracle云基础设施提供外部密钥管理

• 云安全的 5 个支柱：保护您的数字视野

• 管理云中的复杂性、数据控制和主权

• 保护您的企业数据免受即将到来的网络风暴的影响