主权传统上被定义为一个国家统治自己及其臣民的能力，自文明开始以来它就被提上了议事日程。但直到最近，数字主权——控制和决定你自己的数字资产的能力——才成为一个独立的问题。

“从广义上讲，数字主权意味着控制你的数字命运，”法国技术集团 Thales 的云联盟总监蒂姆菲普斯解释道。“再往下一层，就意味着您可以完全控制您的业务所依赖的软件和硬件以及数据。”

当 IT 所做的只是运行批量工资单时，控制您的数字命运似乎并不重要。今天，当公司的生死取决于他们对跨越多个设备、系统、应用程序、工作负载和托管位置的技术的使用时，这是一个更大的问题。

对于使用不再倾向于将数据保存在一个地方的云服务提供商的公司来说，这是一个特殊的问题。根据最近的 Thales 威胁报告，超过 90% 的组织现在拥有多云战略。它还发现公司将这些多云环境与本地和并置数据中心运营混合在一起，进一步混淆了水域。

这带来了许多挑战，例如，随着更多数据移入云端，管理多个加密密钥存储和管理流程所涉及的成本。这意味着组织通常必须雇用不同的团队来运行不同的关键管理解决方案（这本身就是一个招聘挑战）。他们还冒着通过部署一系列脱节的数据安全解决方案来扩大黑客攻击面的风险——每个解决方案都运行不同的安全策略和流程。

就像当时的互联网本身一样，数字主权听起来很简单，但却是一个看似复杂的概念，包含许多活动部分。为了帮助组织充分理解和应对这些挑战，Thales将主权进一步分解为三个要素：数据、运营和软件。

数据主权

数据是许多人听到数字主权一词时首先想到的。这是一个国家保护自己的数据及其公民的数据免受其他国家入侵的能力。在过去的二十年里，这一直是互联网治理核心的一个决定性问题。

Phipps 指出：“各国，尤其是欧洲，担心的是很多云提供商（或超大规模提供商）都是美国人。” “围绕这些美国间谍法存在各种担忧。”

《爱国者法案》中包含允许美国当局访问云服务提供商业务记录的条款，微软后来承认，如果美国政府提出要求，这将危及非国内客户记录的隐私。2018 年出台的《云法案》后来巩固了政府调查人员从在国外处理数据的公司获取文件的能力。

与此同时，就美国和欧洲公司之间的数据共享问题，隐私倡导者一直在争论不休。安全港条款允许美国公司将数据从欧盟合作伙伴转移到美国，前提是它们承诺遵守多项隐私原则。隐私倡导者和律师 Max Schrems 在 2015 年对该条款提出质疑，导致其被否决并最终被欧盟-美国隐私保护协议所取代。施雷姆斯也对此提出质疑，并于 2020 年宣布无效。

现在，欧盟和美国正在通过跨大西洋隐私框架进行第三次尝试。欧盟最近发布了一份充分性决定草案，试图取代随后被 Schrems II 宣布无效的“隐私保护决定”。

隐私倡导者 Max Schrems 的初步反馈是，该决定草案几乎完全基于之前被否决的已知行政命令。预计 Max Schrems 的团队可能会在欧洲法院对此提出质疑。因此，大西洋两岸的公司仍不清楚接下来会发生什么，这可能会导致数字化转型项目停滞不前。

Phipps 建议组织采取适当的控制措施来保护他们的数字资产，这样他们就可以拥有自己的数据主权，并在不受地缘政治变化影响的情况下加快他们的云之旅。

然而，这在多云和混合环境中可能会带来相当大的挑战。几乎五分之一的 Thales 调查受访者表示，他们不知道所有数据存储在哪里。大约一半的人表示，在多云环境中管理敏感数据比在本地管理更困难。这种情况可能会产生严重后果。Thales 的调查还发现，35% 的受访者在去年遭受了数据泄露或基于云的数据和应用程序的审计失败。

运营和软件主权

Phipps 继续说道，第二类数字主权是可操作的。“这是你在云中获取数据的地方，你担心内部威胁或不良行为者，”他说。“那可能是云工程师，但也可能是你自己的人。” 打算寻求个人经济利益的流氓员工可能会窃取您的数据，您自己心怀不满的员工也可能是在第三方的要求下窃取您的数据。

对运营主权的威胁还可能以恶意软件、损坏的应用程序或勒索软件的形式出现，这些软件已获取特权用户的登录凭据以获取对敏感数据或系统的升级访问权限。

最后，Thales 将软件主权列为公司面临的问题。Phipps 说：“这是在任何你想要的地方运行你的工作负载的能力。”

公司在上云时越来越需要选择。他解释说，他们可能希望通过特定的云提供商来运行大部分工作负载，以获得更好的商业条款。但监管机构担心，如果无法执行可控且迅速的压力退出，这些公司实际上是将所有鸡蛋放在一个篮子里。鼓励组织确保其任务关键型工作负载安全且可移植，这有助于在出现问题时确保运营弹性和业务连续性。

例如，继金融服务管理局之后的英格兰银行审慎监管局对银行依赖单一供应商的云计算表示担忧。它建议金融服务机构采用多云架构来分散风险并避免供应商锁定，而欧盟的数字运营弹性法案 (DORA) 提倡采用类似的方法。

因此，银行面临分担工作负载的压力，并拥有可以在发生中断或关系破裂时切换到的备用云提供商。

在实践中保护数字主权

Thales致力于支持这些不同的主权要求。它使用四步流程让客户站在积极的立场上，让他们感觉完全可以控制自己的数据、操作和软件。

公司从发现过程开始。毕竟，你无法控制你不知道的事情。因此，它试图回答以下问题：您的数据在哪里，是什么？它有多敏感？

Phipps 说，许多组织并不知道这些基本事实。他们无时无刻不在产生新的数据，不再是简单地将已知领域的数据库记录进行分类。“越来越多的敏感数据是非结构化的，并且出现在随机位置，”他假设。据一些估计，云采用率的提高和现代远程工作政策导致每天在电子邮件、演示文稿和电子表格中生成 2.5 quintillion 字节的新数据。在没有外部帮助的情况下，要跟踪这些海量数据中包含的敏感信息的位置要困难得多。

为此，Thales 开发了数据发现和分类 (DDC) 解决方案，该解决方案根据组织感兴趣的合规模型扫描特定数据类型。DDC 使用机器学习算法和预定义数据隐私和监管模板（如 GDPR、CCPA、LGPD、PCI DSS 和 HIPAA）的参考库来查找感兴趣的敏感数据，并根据客户的政策和合规性应用风险评分. 然后，DDC 可以推荐手动修复或自动应用它，从而节省时间并有助于最大限度地减少攻击面。

通过多层加密保护

这种修复是什么样的？这就是 Thales 方法的第二步——保护——发挥作用的地方。这主要侧重于多层加密，它分为三种类型：静态数据、传输中数据和使用中数据。

正如 Phipps 指出的那样，所有主要的云提供商都默认对静态数据进行加密。但是，有一个警告：他们中的许多人只在磁盘级别对其进行加密。这可能会阻止某人在不太可能从云数据中心窃取物理磁盘的情况下检索数据，但如果他们远程劫持某人的帐户怎么办？很少有云提供商会自动加密磁盘级别以上的数据，例如文件、数据库或应用程序级别，这有助于减轻这种威胁。

Thales提供多层次数据加密解决方案，包括结构化和非结构化数据，以实现纵深防御。Phipps 说，文件级别的透明加密可以保护整个数据库，降低大约 2% 的性能开销。客户可以根据需要对数据库中的特定字段应用更高级别的加密。

虽然这会带来额外的性能开销，但它也会在需要时提供更高级别的保护。安全性、合规性和性能通常需要权衡取舍。关键是采用基于风险的方法，以确保根据预期的业务成果适当应用保护。

在传输中加密方面，TLS 是事实上的标准。然而，Phipps 认为，在某些公司在云中处理的大量数据下，这通常会遇到困难。相反，Thales 在其 Network Encryptor 产品中提供高速加密，Phipps 称其速度比 TLS 更快，并提供更高程度的保护。

Thales还专注于对使用中的数据进行加密，以防止云处理过程中的篡改或窥探。Phipps 说：“我们一直在与能源公司等一些关键基础设施提供商交谈，他们担心在云中为安全关键应用程序运行敏感的工作负载。” “如果有人将一些恶意软件注入正在处理数据的芯片中，他们可以有效地执行拒绝访问并关闭整个系统。”

为了解决这个问题，云提供商正在致力于各种机密计算计划。在这些服务中，芯片的一部分成为客户控制下的安全飞地，而不是云服务提供商的控制。Microsoft Azure、谷歌云和 AWS 都在这里提供产品。

维护云中的数据主权

Thales数字主权服务的第三个支柱是控制。将这些加密密钥留在云端理论上将它们置于云服务提供商的控制之下，这显然是对客户主权的威胁。这使客户容易受到来自第三方（例如云服务提供商自己的支持工程师）的恶意行为或错误的影响。如果收到外国传票，这也会使数据面临风险。

这种威胁的解决方案在于职责分离。在云端创建和存储加密密钥，将它们与敏感数据的存储位置分开，使客户能够最终控制数据。如果数据受到威胁，客户可以保留密钥。因为云服务提供商不能单方面访问这些密钥，所以他们不能被迫将数据交给第三方。

一些云提供商推出了允许客户为基于云的工作负载存储自己的密钥的服务，从而在云服务提供商和客户之间建立了明确的职责分离。Google Cloud 的外部密钥管理器 (EKM) 就是一个很好的例子。

Thales 一直与 Google Cloud 合作，帮助客户管理对其数据、运营和软件的控制，同时仍然享受云计算的好处。2020 年 12 月，他们致力于将 Thales 的 CipherTrust Key Broker 服务与 Google Cloud 的 EKM 集成。这使客户能够为谷歌的云服务生成加密密钥，同时将密钥保存在谷歌云环境之外。

从那时起，两家公司将合作伙伴关系扩大到其他服务领域。2021 年 6 月，CipherTrust Manager 和 Thales 的 SafeNet Trusted Access 产品集成，以支持例如 Google 的 Workspace 服务的客户端加密。这让组织可以使用自己的密钥加密 Google Drive 数据。

去年，他们还在基于云的平台上进行了合作，该平台符合法国政府的可信云标签。这要求云服务提供商将他们的服务器托管在法国，并只允许欧洲公司运营它们，同时限制向其他国家的数据传输。此外，他们正在开发一项符合可信云标准的服务，计划于 2024 年发布。与此同时，Thales 与 Google Cloud 的多数股权合资企业 S3NS 已经使法国的 Google Cloud 客户能够限制对欧盟位置的访问，借助其自身的密钥管理服务。

统一云操作和密钥管理，同时将密钥置于客户控制之下，解决了云安全中最大的问题之一：密钥管理的复杂性。Thales 调查发现，57% 的公司使用至少五个独立的密钥管理解决方案，这增加了管理数据加密的复杂性和成本。随着公司在日益分散的环境中管理敏感数据，聚合和简化此密钥管理将变得越来越重要。

随着时间的推移监控数字主权

随着公司继续在复杂的多云和混合环境中扩展其数字资产，他们需要一种方法来保持可见性。这就是 Thales 数字主权过程的最后一部分发挥作用的地方：监控。该公司的 CipherTrust 平台目前作为内部部署产品提供，但很快将作为服务推出，它在多云和混合云环境中的所有工具和流程中提供单一的数字主权视图。该系统提供对一系列第三方产品以及 Thales 的 DDC 的访问。

菲普斯说，随着时间的推移，数字主权原则和实践只会变得更加复杂。这就是为什么他强调通过设计将隐私构建到混合多云架构中的好处。Phipps 还主张需要在寻求最大化客户体验的信任和同理心的基础上建立人际关系。

“如果在咨询和供应商层面没有正确的合作伙伴关系，技术本身可能不会让客户更容易理解如何前进，”他总结道。这是一个难以解开的谜题，需要第三方专业知识和合作方式才能正确解决。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 勒索软件制裁：有什么影响？

• 关于“欧盟-美国数据隐私框架”的问与答

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规

• Thales提前完成收购Imperva交易