在这里，我们将描述"自带密钥"、"控制自己的密钥"和"持有自己的密钥"的含义，以及这三种用于保护用于加密云中数据的关键业务加密密钥的方法之间的区别。

云应用程序的密钥管理

自Ponemon Institute发布2019年全球云安全研究以来，存储在云中的企业数据量几乎翻了一番，而48%。在云中存储数据确实会带来各种挑战，包括：

• 数据存储在哪里？
  

• 谁可以访问数据？

• 保护数据的最佳方式是什么？

在回答什么是保护数据的最佳方式时，重点是加密，这需要加密密钥。这又带来了另一个问题，谁来控制密钥？普通法规定，"占有是法律的十分之九"，这意味着当一个实体拥有占有权时，所有权更容易维持，但是当他们没有占有权时，这使得执行所有权和防止未经授权的访问或使用有关物品变得更加困难。

很容易将加密密钥的所有权与"拥有是法律的十分之九"的想法联系起来。

只要业务实体始终拥有其密钥，并且这些密钥保持安全，例如在硬件安全模块 （HSM） 中，它们就会保持安全。毕竟，当涉及到加密密钥时，这一切都与控制有关。

默认情况下，云提供商将生成加密密钥，然后为其客户管理所述密钥的生命周期。但是，对于在云中托管敏感数据的组织，这是不可接受的，因为他们必须保持对其密钥的唯一控制和所有权，以保持其内部安全要求。这就产生了对策略的需求，这些策略允许组织完全控制其密钥用于访问和保护其加密数据的方式和时间。

因此，创建了"自带密钥"（BYOK）的策略，但这并非没有缺点。因此，引入了"持有您自己的密钥"（HYOK）和"控制您自己的密钥"（CYOK）等，以提供额外的选项，以保持加密密钥的安全并保持对所述加密密钥的访问的控制。

"自带密钥"的方法

"自带密钥"不是接受云提供商生成和提供自己的加密密钥的默认选项，这意味着在需要更改提供商时会失去控制和头痛，而是为最终用户提供了对其加密密钥的某种程度的控制。使用BYOK，用户可以创建，备份和提供自己的加密密钥。服务提供商不应有权访问明文密钥，因此无论谁尝试访问它，其加密数据都将保持加密状态。关键所有权带来了巨大的责任。如果将密钥提交给服务提供商，则在需要时可能很难立即检索，并且如果提供商或最终用户丢失了密钥，则结果可能对业务造成灾难性影响。

当您考虑最终用户在幕后需要发生的事情时，BYOK确实带来了一些挑战。它可能会带来安全性和操作挑战。

• BYOK 允许最终用户独立生成、备份自己的加密密钥并将其提交到云中。
  

• 从本质上讲，BYOK在将其上传到云提供商后将失去对其加密密钥的控制权。

• 如果密钥丢失或发生错误，则无法解密数据，这可能会导致停顿。

• 如果密钥被盗，整个安全操作将受到威胁。

• 如果密钥丢失或被盗，由于服务提供商最初被免除了对密钥的责任，因此几乎无能为力。

• 组织需要保持警惕，以维护备份，并使其操作受到高度安全措施的约束

BYOK的技术实现可能与云提供商有很大不同，还取决于云中使用的应用程序类型。对于大多数SaaS应用程序，云提供商必须有权访问和拥有密钥才能提供服务 - 这否定了BYOK的"自己"部分。因此，评估云提供商和密钥管理系统支持的 BYOK 方法是否真正满足您的安全和密钥控制需求非常重要。

"控制自己的密钥"方法

最终用户的另一种方法是"控制您自己的密钥"方法。使用CYOK，最终用户可以创建其密钥，并且无论它们在云中的使用情况如何，它们都不会暴露给云提供商。最终用户控制整个密钥生命周期，并可以随时立即撤销密钥。这些密钥可以保存在云中受保护的虚拟节点中，也可以保存在本地数据中心的混合环境中。

CYOK允许最终用户保持对密钥的一些控制，无论他们使用的是内部混合CYOK系统还是在云提供商托管的节点中。

• 加密密钥上传到云端，因此由云提供商拥有
  

• 密钥可用于任何目的。

• 关键密钥永远不会在明面中暴露。

• 最终用户仍然可以撤销和控制密钥的生命周期。

"持有自己的密钥"方法

"持有自己的密钥"使组织能够完全控制其加密密钥。密钥始终归最终用户所有。使用HYOK，数据在发送到云之前会被加密。在数据返回本地之前，不会对其进行解密。因此，HYOK确保敏感数据在云中始终保持加密状态。同时，最终用户的加密密钥永远不会暴露。

对于需要更高级别安全性以满足与其行业（如银行，金融和医疗保健）相关的严格数据安全要求的组织，HYOK提供比BYOK和CYOK更严格的安全性，因为：

• 最终用户保留其托管加密密钥的物理所有权和逻辑控制，从而始终拥有其密钥。
  

• HYOK 允许通过停用密钥的 URL 来立即吊销访问权限。

• 与已停用密钥关联的数据将立即变得不可访问或加密粉碎，直到密钥的可用性恢复为止。

• HYOK 非常适合必须遵守严格法规和合规性策略的组织。

总结

对于用于云服务的BYOK，CYOK和HYOK等密钥管理方法，没有官方标准化。但是，某些行业（如银行和金融部门或医疗保健部门）在保护敏感数据方面受到严格的要求，这使得不同的方法比其他方法更可取。

云安全联盟的"云服务中的密钥管理：了解加密的预期结果和限制"等文档旨在为确定哪种类型的密钥管理系统适合不同用途提供指导。

尽管出现了各种首字母缩略词，但BYOK仍然被用作加载到云环境中的密钥的总称，以便由云应用程序使用，而不管控制，安全性，可审计性和远程管理的不同级别。

为了支持市场对安全性、合规性和成本效益的不同要求，揽阁信息提供的解决方案支持上述BYOK。此类机制的部署、技术能力和法律保证取决于您的企业选择的云服务提供商。

联系我们，了解有关如何在云中保护您的加密密钥的更多信息。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 增强数据主权：VMware Sovereign Cloud 与 Thales 联手

• 企业实施数据加密的注意事项

• 将自带密钥（BYOK）作为公司数据安全策略的一部分

• 网络攻击会引发下一次金融危机吗？