作为技术领导者，您的组织将依赖您做出一些最重要和最有影响力的决策，以关注组织基础架构和应用程序的安全性。当今的企业系统依靠加密来保护数据。加密密钥允许我们根据需要加密和解密我们的数据。保护密钥本身与加密数据一样重要，正确管理它们至关重要——尤其是随着您的组织的发展。本文将考虑您可以为组织的加密密钥实施的一些不同管理策略。

我们将讨论有效的密钥管理策略的特征，包括要实施的最佳实践以及要避免的常见陷阱。一旦您对要寻找的内容有了充分的了解，请继续阅读一些常见的密钥管理策略的解释，包括每种策略的优缺点。您的组织的需求和要求将是独一无二的，本文将帮助您制定最能满足您需求的管理策略。

密钥管理策略的关键组成部分

有效的密钥管理系统不仅仅是存储和控制对加密密钥的访问。您的密钥管理系统还应促进使用密钥以最大限度地提高安全性，同时最大限度地减少使用它们所需的工作量。除了存储和访问，密钥管理系统还应该支持：

• 密钥生成：创建新的加密密钥的过程。
  

• 密钥交换：允许使用密钥在两个实体之间交换加密数据。

• 密钥存储：安全地存储密钥并在必要时支持这些密钥的灾难恢复和高可用性。

• 密钥销毁：淘汰和删除密钥以及删除所有允许使用的密钥。

• 密钥替换：通常称为密钥轮换，这涉及用新密钥替换旧密钥并重新加密相关数据。

除了密钥管理系统的基本功能外，您还需要考虑组织的需求和要求。如果您领导的是一个小型的本地工程师团队，那么一个全球性的、高度可用的、最先进的企业密钥管理系统将是一种时间和资源的浪费。另一方面，如果您的组织遍布全球并管理具有全天候支持需求的基本服务，那么相同的系统可能是唯一可行的选择。

策略 1：本地和孤岛密钥管理

本地和孤岛密钥管理策略略有不同，但都适用于小型团队和极简应用程序堆栈。您甚至可以争辩说本地密钥管理根本不是密钥管理解决方案；相反，您可以说这只是提供基本加密支持的极简方法。让我们更详细地看看两者。

本地密钥管理

使用本地密钥管理方法在单个或一小部分系统中本地管理密钥。考虑您正在阅读本文的工作站或设备。设备存储很可能已加密并且您的帐户管理设备上的加密。使用您的帐户登录会激活密钥并允许您访问加密数据。网络和共享存储解决方案使用类似的方法。

如果您支持某个应用程序，则可以在其中构建加密。应用程序可能包含访问加密存储的密钥，或者您可以将数据库配置为对静态数据进行加密，并在授权用户与其交互时对其进行透明解密。

这种方法非常适用于不依赖敏感数据或具有合规性要求的本地工作站和应用程序。这比没有加密要好，但是如果您正在阅读本文以决定为拥有多个员工的组织使用密钥管理系统，那么这可能不是一个值得考虑的策略。

Silo（筒仓）密钥管理

Silo密钥管理类似于本地密钥管理，不同之处在于每个系统的密钥都集中管理。一个组织可能有一个中央服务器，其中包含它拥有的所有工作站的加密密钥。该中央服务器上的管理系统允许创建、恢复和轮换密钥，但范围通常仅限于单一用例。

使用Silo密钥管理方法的公司可能有一个用于工作站的管理系统，另一个用于管理他们支持的数据库的密钥。此策略允许对每个系统进行集中式密钥管理，并且可能包括附加功能，例如审计。孤岛密钥管理方法适用于支持有限 IT 生态系统的小型组织；但是，由于每个系统都需要一个唯一的密钥管理系统，因此这种方法不会随着组织的发展而扩展以支持其他系统。

策略 2：密钥管理服务

本地和筒仓密钥策略将密钥的范围限制为单个系统。如果您的公司支持多个系统，您可能希望将密钥管理整合到一个系统中，因此值得研究专门的密钥管理服务。密钥管理服务是专门用于管理密钥的系统。这不是在每个系统中支持和管理密钥，而是将与密钥相关的所有内容集中到一个地方。

由于经过多年的开发和测试，专用的密钥管理系统通常更加高效和安全。这些系统可以作为服务、独立应用程序或什至作为强化硬件设备提供。除了将管理和支持整合到一个中央应用程序中之外，您还可以获得未来的效率，因为工程师可以将新系统与现有的密钥管理解决方案集成。

策略 3：企业密钥管理

到目前为止，我们的讨论仅限于管理加密密钥，但组织仍然需要管理 SSL 证书和其他加密密钥。企业密钥管理系统有效地将所有这些职责捆绑到一个系统中，并为组织管理所有类型的密钥。

一个全面的企业密钥管理系统应该能够管理整个公司的所有加密密钥。这些系统的构建还以易用性、可用性、安全性和弹性作为基本要素，从而形成直观的系统，您可以依靠这些系统来保护您的所有企业密钥。

密钥管理责任属于我们所有人

无论您是 CTO、技术领导者还是 DevSecOps 工程师，推荐和支持有效安全措施的责任属于我们所有人。有效的安全管理在将不良行为者拒之门外和赋予那些推动我们工作的人使用他们需要有效的工具和访问之间的平衡。无论您在组织中担任什么角色，倡导实用且功能齐全的密钥管理解决方案和相关行业最佳实践都是我们工作的一部分。

必须要说明的是，使用各种专用密钥管理基础产品，是构建密钥安全体系的核心，这包括了经过加固的硬件设备(硬件安全模块、HSM)、软件、虚拟设备，甚至软件即服务平台(SaaS)。

揽阁信息拥有全部形态的产品，并可根据您的业务实际情况，为您提供定制化的解决方案。联系揽阁信息，是您做好密钥管理的便捷之路。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 经验教训：2023年全球网络安全的五个要点

• 简化密钥和证书的审核和修复

• 揭示PKI动态：全球各地区技术趋势和监管见解