总览概述

当涉及加密密钥时，安全性最佳实践全都涉及加密静态数据和密钥之间的控制和分离。

 Google Cloud默认情况下会加密静态客户数据，并为组织提供多种选择来控制和管理其加密密钥。 对于许多托管敏感数据或希望将工作负载迁移到云的组织，他们需要增强对其加密密钥的控制和所有权，以满足合规性或内部安全性要求。 Google的云外部密钥管理器（EKM）API可帮助组织在如何以及何时使用其加密密钥来保护和访问加密数据方面实现下一级别的控制。 为了帮助组织从增强的控制级别中受益，Thales将其CipherTrust Key Broker服务与Google的Cloud EKM相集成。 Google Cloud EKM的CipherTrust密钥代理是一项可在行业领先的Thales DPoD（Data Protection on Demand，数据按需保护）平台上使用的服务。

用于Google Cloud EKM的CipherTrust密钥代理

在Google Cloud外部创建和控制加密密钥

CipherTrust Key Broker与Google Cloud EKM集成在一起，使组织可以轻松遵循安全性和密钥管理最佳实践，同时利用Google Cloud的功能进行计算和分析。组织能够安全地创建和控制自己的加密密钥，而与托管敏感数据的位置不同。通过使用CipherTrust Key Broker生成加密密钥，组织可以验证其提供给云提供商的密钥的来源和质量，同时在Google Cloud环境之外维护密钥的原始版本。组织将其主密钥保存在Thales Luna Cloud HSM中，该密钥充当CipherTrust Key Broker解决方案的信任锚。这提供了FIPS 140-2 3级认证的信任根，并确保敏感数据和加密密钥之间的隔离，从而有助于满足合规性和安全性要求。

工作方式

Google的Cloud EKM是一种云原生API，可通过单个URL与CipherTrust Key Broker服务进行交互，从而简化了配置，部署并且易于使用。 然后，可以在Thales DPoD中的用户友好控制台中从单个位置管理由CipherTrust密钥代理在外部创建的密钥。 主密钥始终存储在Luna Cloud HSM中的Google Cloud外部。 使用此解决方案，无需购买和部署新硬件，因为CipherTrust Key Broker使用Luna Cloud HSM作为信任根。

特点和优点

符合安全要求和合规性：

• 密钥访问理由——决定何时以及为什么可以解密数据：每次请求密钥解密数据时，这都会提供详细的理由，以及用户使用自动策略明确批准或拒绝使用密钥的机制组。组织可以出于任何原因拒绝Google解密其数据的功能。结果，他们最终控制了对其数据的访问——大多数领先的云提供商尚未提供这种控制级别。

  
  

• 增强的密钥使用策略和访问控制：控制谁可以访问加密密钥，并围绕使用密钥的原因、位置和方式创建策略。加密操作和主加密密钥始终存储在Google Cloud外部，这强制要求访问静态数据以进行计算和分析需要外部密钥。

  
  

• 保持密钥出处：严格控制重要密钥的位置和分布，并了解谁可以访问密钥，何时使用密钥以及它们位于何处。

  
  

• 审核/分发的密钥可用性：从托管敏感数据的云环境中外部存档和删除加密密钥和密钥缓存。

简化运营并集中密钥管理：

• 简化了加密密钥的管理，包括：在存储数据的云环境外部安全地生成、存储、分发、停用和删除密钥。安全地生成、传递和管理自己的加密密钥有助于组织降低未经授权访问数据的风险。

  
  

• 低延迟和高性能：用于Google Cloud EKM的CipherTrust密钥代理是一种用户友好的解决方案，可提供快速的往返延迟，而在执行密钥管理操作和控制时不会影响性能。

简化配置和部署：

• 云原生API：Google的EKM是云原生API，可通过单个URL与CipherTrust Key Broker交互，从而简化了配置，部署且易于使用。然后，在Thales Data Protection on Demand（DPoD）中，通过用户友好的控制台中的单个位置管理由CipherTrust密钥代理从外部创建的密钥。

  
  

• 密钥存储和配置：可以在CipherTrust密钥代理推荐的区域之一中创建密钥环，从而提供对加密密钥所处位置的额外控制。 CipherTrust密钥代理提供了禁用密钥存储中密钥使用的功能。

  
  

• 密钥缓存——管理安全性和低延迟之间的平衡：在保护云工作负载时适当地平衡风险、控制、安全性、性能和操作复杂性。

  
  

• 快速集成和部署：Thales Data Protection on Demand（DPoD）平台提供了适用于Google Cloud EKM的CipherTrust Key Broker，该平台是基于云订阅的HSM服务，可提供：

• 数分钟内部署关键管理功能

• 不需要专门的硬件或相关技能

• 在Luna Cloud HSM（与Google Cloud分开）中安全地生成和存储主密钥，并保持严格的访问和控制

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SK Telecom与Thales合作开发后量子密码学

• 勒索软件制裁：有什么影响？

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 经验教训：2023年全球网络安全的五个要点

• 数据安全的未来是什么