为了满足各种合规性要求并降低最敏感数据泄露的风险，您可能需要考虑更改用于保护此数据的加密密钥。我们将加密密钥的这种更改称为“密钥轮换”或“重新密钥”。尽管加密提供了高级别的数据安全性，但如果有足够的时间和资源，熟练的攻击者可能会破坏加密密钥。限制此攻击影响的最佳方法是轮换用于加密数据的密钥。密钥轮换应作为密钥生命周期管理过程的常规部分包括在内。

关于密钥轮换主题需要考虑的重要事项是

• 密钥管理 – 不会成为运营团队的维护负担。

• 重新加密 - 它可能如何影响当前系统。

• 密钥轮换的类型 - 了解不同类型的密钥轮换。

• 数据风险因素 – 在制定轮换计划时要考虑的因素。

密钥管理

拥有外部密钥管理器以确保密钥在经过认证的设备上创建，存储和轮换，而不是在文件系统上，这是实现合规性的第一步。尽管大多数密钥管理器都实现了版本密钥功能，这确实简化了密钥轮换的管理，但并非所有系统和供应商都支持此功能，因此在评估安全供应商时，请务必将其添加到需求列表中。跟踪非当前密钥不应成为运营团队的维护负担，并且应制定程序以在合理的时间范围内停用非当前密钥。

许多组织面临的一个常见问题是决定应如何向各种项目分配密钥以及以何种粒度分配密钥。项目团队是否应该为每个系统、应用程序、数据库等只有一个密钥？重要的是要花时间在这个主题上，因为如果设计得当，将有助于减少潜在违规行为的影响，也有助于在执行密钥轮换等任务时帮助减少运营团队的影响。

重新加密

重新加密是重新加密现有数据以使用新密钥的过程。一旦为特定应用程序或系统生成了新密钥，并且根据预先确定的计划自动执行，就应该发生这种情况。

• 运营团队：当此过程发生时，对组织的影响应该是最小的，对现有系统的影响是最小的，这一点至关重要。

• 云：大多数实施本机密钥加密的云提供商不提供实现重新加密的简单方法，并且通常要求客户提交正式的服务请求，并需要停机时间来实现它。

密钥轮换类型

在推出有关密钥轮换的组织安全策略之前，必须了解不同类型的加密密钥。

• 主加密密钥通常是一个 256 位对称密钥，用于加密另一个密钥，该密钥可以是数据加密密钥 （DEK） 或另一个密钥加密密钥 （KEY）。

• 数据加密密钥是用于加密敏感数据的密钥。

密钥管理器使用多个级别的密钥来实现对数据加密密钥的正确保护。密钥轮换有几种不同的选项。

• 浅密钥 - 仅限主密钥

  此选项将轮换主密钥，主密钥将加密数据加密密钥。此选项可能满足安全审核员对密钥轮换的要求。此选项需要最少的工作量，并且不会影响任何现有操作，但实际上不会重新加密敏感数据。

  
  

• 非浅层选项

  这种类型的轮换是轮换数据加密密钥。重要的是要了解如何实现它的后果。某些实现要求使数据文件脱机，这意味着在密钥轮换和重新加密过程中，设备上的数据将无法访问。根据用于实现重新加密的解决方案，有一些方法可以避免此中断。

根据数据的分类，一些审计员会认为浅层密钥轮换足以满足审计和合规性，而另一些审计员则需要非浅层选项。

数据风险因素

为了降低风险，您首先必须了解您的风险，首先要考虑的是与您的数据以及保护数据的密钥相关的风险程度。密钥使用的时间越长，它被泄露的可能性就越大;因此，定期更换（滚动）重要密钥非常重要。除了密钥的使用时间之外，密钥的给定生存期还取决于：

• 敏感数据的价值（如何分类） – PII、PCI、HIPA 等

• 数据量 – 例如 1MB 与 1TB。数据越多，风险越大。

• 使用频率 - 数据由许多不同的系统访问24×7更容易受到攻击，然后离线数据每季度只处理一次。

组织应发现其所有敏感数据，并根据这些因素和审计员所需的其他标准制定风险因素。

制定密钥轮换指南

了解数据风险后，请务必建立一些关于密钥轮换的准则，以便运营团队可以对其进行管理，并且安全审核员对结果感到满意。

• 频率：了解您的安全审核员需要什么来满足审核要求。无论审计员的要求如何，根据数据和预算的分类实施最佳方法。

• 时机：不是一次全部。在实施密钥轮换和重新加密时，适当分配密钥的风险较小，以便从日志记录和监视的角度控制对系统的影响。确保花时间在密钥分配管理上，以确保您具有适当的粒度来实施不同的计划。

• 审核日志：确保生成正确的审核日志，以便为审核员提供轮换证明。

• 敏感数据清单：对于每个系统，请使用数据风险因素来确定适当的轮换计划。

总结

如上所述，确保在单独的设备上创建、存储和轮换密钥是获得合规性的第一步。公司应与其风险和安全官员合作，为其各种数据分类确定适当的密钥轮换类型，并根据本文中提供的数据风险因素和分类制定适当的密钥轮换指南，以满足其合规性要求并降低潜在违规风险。

有关密钥管理、实现密钥轮换和数据分类的更多详细信息，请联系揽阁信息。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SK Telecom与Thales合作开发后量子密码学

• 勒索软件制裁：有什么影响？

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 经验教训：2023年全球网络安全的五个要点

• 数据安全的未来是什么