现代数据安全形势比以往任何时候都更加复杂，因为企业使用数据的方式多种多样。数据分析已将数据从必须存储和保护的东西转变为能够产生市场差异化洞察的资产。但是，我们都知道，数据仍然需要保护。事实上，行业和政府的隐私法规都明确规定了更严格的数据安全要求。

两种新兴的数据安全方法反映了数据使用方式的不断演变，分别是自带密钥 (Bring Your Own Key/BYOK) 和持有自有密钥 (Hold Your Own Key/HYOK)。这两种方法都确保使用密钥管理系统对数据进行加密和解密。通过使用密钥，组织可以确信只有拥有加密密钥的人员才能访问数据。

虽然 BYOK 和 HYOK 有相似之处，但这两种方法的应用场景截然不同。了解 BYOK 和 HYOK 之间的区别，有助于组织根据自身具体需求，确定哪种方法最为合适。

BYOK 和 HYOK 的细微差别

了解 BYOK

在自带密钥 (BYOK) 模式下，将云数据存储在多租户环境中的公司（这种情况最为常见）会在多租户的云端密钥管理系统 (KMS) 中生成和管理其加密密钥。用户可以创建、加密和轮换密钥，然后将这些密钥提供给云服务提供商 (CSP)。以下是 BYOK 模式的优势和挑战分析。

好处：

• 监管合规性：  BYOK 可以帮助组织遵守数据保护法规，这些法规要求组织保持对加密密钥的控制权并证明对密钥的独占访问权限。

• 数据主权：在多个全球地区运营的公司可以使用 BYOK 来遵守数据主权法律。

• 关键控制： BYOK 提供更严格的数据控制，并确保数据保持在规定的地理范围内。

• 与 CSP 隔离： BYOK 将加密密钥与 CSP 隔离，从而降低 CSP 未经授权访问敏感数据的风险。

• 灵活性： 组织可以使用他们偏好的加密算法和密钥管理实践，从而可以根据自身独特的需求定制安全措施。

挑战：

• 复杂性： 自带密钥可能需要额外的基础设施和密钥管理流程。

• 密钥管理开销： 管理加密密钥可能需要额外的资源来解决长期规划和维护问题。使用HSM是管理密钥的最佳实践。

• 潜在数据丢失： 如果公司丢失密钥，则可能面临永久性数据丢失的风险。这将需要制定全面的备份和恢复计划，而这也会耗费大量成本。

• 密钥分发挑战： 鉴于严格的安全要求，在多云或混合环境中安全地分发加密密钥可能很困难。

对于医疗保健和金融服务等高度监管行业的跨国大型企业而言，BYOK 是一个合理的选择。这类企业拥有足够的资源来投资必要的安全措施，以避免可能损害声誉和削弱信任的巨额罚款。

值得注意的是，KYOK (Keep Your Own Key) 的出现与 BYOK 类似。不过，KYOK 并非使用多租户的云端密钥管理系统 (KMS)，而是用户通过专用的硬件安全模块 (HSM) 来管理密钥，该模块由用户自身而非云服务提供商 (CSP) 控制。

了解HYOK

当组织拥有未用于数据分析计算的云端数据集时，HYOK 更合适。HYOK 是一种客户在云基础设施之外拥有和管理加密密钥的模型。加密在云迁移之前完成，并在整个生命周期内保持加密状态。解密仅在数据返回本地后进行。以下是 HYOK 的优势和挑战分析。

好处：

• 最高安全性： HYOK 提供最高级别的安全性和对加密密钥的控制，因为云服务提供商 (CSP) 永远无法访问这些密钥。这最大限度地降低了未经授权的访问风险。

• 数据隔离： HYOK 确保数据保持隔离状态，从而大幅降低潜在的云泄露事件的影响。

• 合规性： HYOK 提供对密钥的完全控制，满足组织机构必须证明其对加密密钥拥有完全控制权的严格监管要求。这在数据主权法规适用的领域尤为重要。

• 密钥管理灵活性： 组织可以根据自身需求确定最合适的加密算法、密钥长度和密钥管理实践。

挑战：

• 复杂性/开销： HYOK 可能需要 HSM 或其他安全密钥存储解决方案。

• 数据丢失： 与 BYOK 类似，如果加密密钥丢失，数据可能会永久丢失。

• 对物理硬件的依赖： 由于密钥不存储在云端，HYOK 可能需要物理硬件来存储密钥。除了成本和复杂性之外，硬件还可能带来额外的安全漏洞（例如被盗、损坏等）。

• 成本： HYOK 的部署和维护成本通常很高。成本可能包括硬件安全模块 (HSM) 或安全密钥存储设备。

HYOK 非常适合那些对数据隐私和保护要求比 BYOK 更高的组织，例如国防和金融服务行业。当内部威胁是一个严重问题时，HYOK 可以提供额外的保护层。

对于安全要求最为严格的组织而言，HYOK 可能是最佳选择，因为它能确保云服务提供商 (CSP) 永远不会持有或访问加密密钥。例如，政府或军事信息等需要绝对数据访问控制的领域，HYOK 尤为重要。此外，HYOK 还能帮助组织将数据与潜在的 CSP 相关漏洞或安全漏洞隔离开来。

关于 BYOK 和 HYOK 的最后思考

企业从数据中获取的价值必须平衡，因此企业需要时刻警惕，保护数据安全。通过采用诸如 BYOK 和 HYOK 等前瞻性安全措施，并了解哪种方法适用于每种使用场景，企业可以确保数据始终受到保护，并降低违规风险。

揽阁信息是Thales的重要合作伙伴，长期提供支持 BYOK 和 HYOK 的 HSM 和 KMS 产品，欢迎联系我们，了解更多相关产品和技术的资料。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• Luna HSM实现 BYOK（自带密钥） 的优势与流程
• AI时代的数据安全革命：Thales CipherTrust 如何筑牢智能转型的信任基石
• BYOK与HYOK的安全基石，Thales HSM赋能企业密钥自主权
• 云端数据安全的相关知识
• 密钥（Key）和机密（Secrets）管理的相关知识
• 帮助印度最大的私人银行之一简化跨多种云服务的密钥管理 - 案例分析