第六章：风险管理 | 17. 风险管理框架

（e）“…RE 应努力确保服务提供商保管或拥有的客户信息的安全性和保密性…”

（f）“ RE 仍有责任了解和监控所有有权访问 RE 数据、系统、记录或资源的服务提供商的控制环境…”

CipherTrust 数据安全平台是一套以数据为中心的安全产品和解决方案，将数据发现、保护和控制统一到一个平台中。CipherTrust 平台提供多种功能来保护文件、卷和数据库中的静态数据。其中包括：

• CipherTrust 透明加密集中密钥管理、特权用户访问控制和详细的数据审计日志来保护数据。

数据安全结构提供跨各种平台的统一数据视图，支持跨关系、NoSQL、大型机、大数据和数据仓库的审计。

（i）“……审查并监控服务提供商的控制流程和安全实践，以披露安全漏洞……”

CipherTrust 透明加密勒索软件防护 (CTE-RWP)可检测异常 I/O 活动、警报或阻止恶意活动，并防止勒索软件控制端点和服务器。

Imperva Data Security Fabric 威胁检测可监控数据访问和活动，提供可见性以识别所有用户（包括特权用户）的危险数据访问。它提供实时警报、策略违规阻止和经济高效的数据保留以供审计。

第十章：退出策略

b）“……安全删除/销毁数据、硬件和所有记录（数字和物理），如适用……”

CipherTrust 企业密钥管理简化并加强了云和企业环境中的密钥管理，使 RE 能够有效地删除由 CSP 管理的加密信息。

附录 – I | 云计算服务的使用

3.“…云安全是 RE 和云服务提供商 (CSP) 的共同责任。RE 可以参考一些云安全最佳实践来实施必要的控制…”

RE 可以使用 Thales CipherTrust 云密钥管理(CCKM)控制其云安全并提高可见性。CCKM 为云原生用户提供单一窗口视图，确保时间和数据的安全。它支持跨多个云基础设施和 SaaS 应用程序的自带密钥 (BYOK) 用例。

持有自己的密钥 (HYOK) 增强了 RE 对加密密钥的控制，允许明确划分职责并明确划分与 CSP 的云服务活动的责任。

6.云服务管理和安全注意事项

服务与技术架构

• “……支持基于云的应用程序的服务和技术架构是遵循全球公认的架构原则和标准构建的……”

Thales提供集成加密和密钥管理解决方案，以使用 BYOE 和 BYOK 保护 RE 的基于云的应用程序。

• 自带加密 (BYOE) 方法在 RE 和 CSP 之间实现了职责分离，允许客户使用自己的加密和密钥管理工具。Thales CipherTrust 透明加密(CTE) 和CipherTrust Tokenization为数据移动性和集中加密密钥管理提供了先进的多云 BYOE 解决方案。
• CipherTrust 云密钥管理(CCKM) 通过提供云密钥管理自动化、密钥使用情况日志记录和报告，支持跨多个云基础设施和 SaaS 应用程序的自带密钥 (BYOK) 用例，确保对加密密钥生命周期进行强有力的控制。

• “…基于安全容器的数据管理，其中加密密钥和硬件安全模块由 RE 控制。”

Thales Luna HSM（硬件安全模块/加密机）为组织提供用于加密密钥控制的专用硬件，为安全加密处理、密钥生成和加密提供防篡改环境。

• “…一套用于管理容器、图像和发布的标准工具和流程...”

CipherTrust 透明加密容器安全提供容器内加密、访问控制和数据访问日志记录功能，因此组织可以在动态容器环境中为数据建立强有力的保护措施。

• “应该保护多租户环境...”
• “…架构应该具有弹性，并能够实现跨云架构的平稳恢复…”

CipherTrust Enterprise Key Management是一款高可用性设备，可集中管理 Thales Data Security Portfolio 和第三方加密解决方案的加密密钥。它管理密钥生命周期任务、证书和机密，并提供多租户域以增强安全性。

身份和访问管理 (IAM)

Thales OneWelcome身份和访问管理解决方案根据内部和外部用户的角色和环境限制其访问。

• SafeNet Trusted Access是一种基于云的访问管理解决方案，它提供商业的、现成的多因素身份验证，以及最广泛的硬件和软件身份验证方法和形式因素。
• Thales融合徽章解决方案将所有企业安全应用程序整合到单个用户的徽章中，简化了物理和逻辑访问的管理。
• 支持的身份验证方法范围广泛，可满足各种用户的需求，并使组织能够保护所有用户和敏感数字资源。