在 Very Tech Trip 期间，OVHcloud 展示了其 2023 年路线图。除了重点关注托管和数据处理外，这家法国提供商还打算加强其安全产品。尽管它声称其所谓的“可信”和 SecNumCloud 产品，但该提供商并未在公共云中为其客户提供 IAM或“统一”加密密钥管理系统(KMS)。然而，这是现代网络安全的两个基石，以及 长期以来可从Azure、AWS 和 GCP 获得的解决方案。

终于在 OVHcloud 上有了一个“统一的”IAM

OVHcloud 创始人兼董事会主席 Octave Klaba于 2021 年 6 月在 Twitter 上推出，OVHcloud 身份和访问管理器必须能够连接到公司选择的 SSO。他将能够管理对构建在 OpenStack 之上的各种服务、裸机产品以及与 VMware 开发的私有云产品（托管私有云）的访问。其中包括对 SAML 和 OIDC 协议的支持。

 OVHcloud 公共云副总裁 Laurent Berger 表示：“几周后，您将能够通过 API、客户区甚至基础设施即代码集中管理所有访问。”

2 月底将可以访问 OVHcloud IAM API。统一服务也将于 2023 年 5 月从客户空间（或管理器）提供。通过此 IAM 进行的访问控制将于 8 月在 OVHcloud 上对 VMware 进行访问。

“您将能够管理您的用户组、访问您的应用程序，甚至将此服务连接到您自己的 IAM，”他承诺道。

按需和开源 KMS

OVHcloud 表示，对于 KMS on demand，它将在夏末推出测试版。

这涉及管理存储在托管 DBMS、编排容器、对象存储服务甚至裸机和托管私有云服务中的数据的加密。结合 IAM，KMS还必须能够自动管理来自保险箱（如 Hashicorp Vault）的秘密。

对于托管私有云，OVHCloud 已在其基础架构中包含 Thales HSM (Luna 7)，以保护从CipherTrust Manager（KMS）的加密密钥。借助托管裸机产品，用户可以使用 vSphere 的 KMIP 界面从外部 KMS 管理 VM 加密密钥。

和IAM一样，未来的按需KMS也会开源。“为什么要开源？因为在安全方面，这是没有狼的唯一方法。你必须接受整个网络社区的审查”，OVHcloud 首席技术官 Thierry Souche 与 MagIT 一起评判。

该解决方案是在 BuyDRM 团队的帮助下开发的，BuyDRM 是一家于 2021 年被 OVHcloud 收购的公司。

“我们知道如何以非常安全的方式为内部团队管理我们的加密密钥，”OVHcloud 的首席技术官说。“要在不造成安全漏洞的情况下公开 [a KMS]，而不是每晚都被唤醒，你必须认真对待。我们后退了一步。我们发现这是少数几个没有能够扩展的开源解决方案的领域之一，”他补充道。“我需要为数百万具有不同轮换方式的客户管理数十亿个密钥”。

Thierry Souche 表示，如果 BuyDRM 不是 KMS 发布者，那么它在内容和媒体流保护领域的专业化使其在大规模加密方面拥有丰富的经验。“BuyDRM 具有扩展经验，了解负载峰值，知道如何管理流量的上升和下降”。

此外，OVHcloud 不想强加其 KMS 即服务。“我们将提供自带密钥和自带 KMS。解决方案必须是开放的，”他坚持说。据技术总监介绍，KMS 支持 KMIP 接口等。

“我们将提供自带密钥和自带 KMS。解决方案必须是开放的。»

蒂埃里索什OVHcloud CTO

首席技术官指出，法国云用户并非都可以控制他们的秘密。“与此同时，我们没有为他们提供解决方案，让他们可以在这方面进行改进。同样，不一定有任何第三方工具可以轻松地与我们的服务交互，”他承认道。

加密密钥管理系统的 MVP 正在验证过程中。该供应商还希望提供 FIPS 140-2 级别的认证。一旦可用，它仍然需要连接到所有云提供商的服务。CTO 保证，这种兼容性在 IAM 方面已经很先进了。

未来 ？

依靠 OVHcloud 提供的 HSM 和 KMS 来管理来自该主权云的不同提供商托管的秘密和数据的加密。“这是我们已经在一项我不愿透露其名称的服务上进行测试的东西。在展示更具体的东西之前，我们必须确保它是稳健的，”Thierry Souche 说。“这种安全范式及其要求的互操作性水平并非微不足道。”

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• 勒索软件制裁：有什么影响？

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 经验教训：2023年全球网络安全的五个要点