优势

• 满足 PCI DSS、GDPR、Schrems II 和 CCPA 等合规性要求

• 通过无缝密钥轮换简化数据加密管理

• 实现职责分离，让客户更好地控制自己的数据

• 通过集中密钥和策略管理降低管理成本

• 可选的 FIPS 140-2 Level 3硬件安全性

问题

Oracle 云基础设施 (OCI) 的采用继续呈指数级增长。要从传统的本地实施成功迁移到 OCI，组织必须首先解决敏感数据的安全性问题。虽然 OCI 的本机加密允许组织安全地将敏感数据移动到 OCI，但它也具有新的管理和合规性影响。为了充分利用 OCI 的价值，组织需要找到一种方法来保持对敏感数据的控制并简化安全管理。幸运的是，Thales 与 Oracle 一起缓解了迁移到 OCI 时管理敏感数据的数据保护的挑战。

解决方案

Thales 的 CipherTrust 云密钥管理 (CCKM) 提供可见性和简化的安全管理。OCI 外部密钥管理服务 (EKMS) 与 CCKM 的集成使组织能够将其密钥物理存储在 OCI 之外，并使用单一管理平台无缝管理 OCI 服务和其他云加密解决方案的加密密钥生命周期。OCI 提供具有集成可见性和安全性的密钥管理，以保护云中的数据。OCI 加密与 CCKM 相结合，为组织提供无缝的端到端安全性。为了使客户能够控制加密密钥，Thales 解决方案包括 Oracle 原生密钥管理、自带密钥 (BYOK) 和自持密钥 (HYOK) 服务。

原生密钥

原生密钥可通过 OCI 的 Vaults 获得。CCKM 可自动执行密钥清点和轮换，以简化合规性并确保 OCI 密钥操作可从 Thales 集中密钥管理器中看到 - 即使您已经创建了数千个原生云密钥。

自带密钥 (BYOK)

客户密钥控制允许分离、创建、拥有和控制加密密钥，包括撤销。利用云提供商 BYOK API，CCKM 通过为客户提供集中管理和可见性的云加密密钥生命周期控制，降低了密钥管理的复杂性和运营成本。

持有自己的密钥 (HYOK)

OCI EKMS 允许 OCI 客户以 HYOK 模型将其加密密钥物理存储在云之外，从而实现职责分离，并让客户更好地控制自己的数据保护。Thales 与 OCI 共同创新开发了 EKMS 产品，从而为 OCI 客户提供了首个可用的 HYOK 解决方案。借助 CCKM，组织可以将 OCI 加密密钥存储和生命周期管理整合到用于非 OCI 加密的同一集中密钥管理器中。

CCKM 支持将密钥存储在 CipherTrust Manager 或 Luna Network HSM 上。管理员必须明确授权共享，然后外部存储的密钥才可供 OCI 使用。尽管客户可以使用带有 CCKM 的 OCI 加密服务，但客户仍然可以牢牢控制他们的加密密钥，进而控制他们的数据。

图 1. 部署架构示例 - CCKM 托管于 OCI 外部

支持的 Oracle 云服务

外部密钥管理设计对 OCI 服务或客户应用程序是透明的。

因此，如果您的服务（例如：对象存储、块卷、数据库）已集成到 OCI 密钥管理中，则您可以利用外部密钥管理功能。

集中定义和管理策略以分离职责

管理员可以使用 CCKM 设置身份验证和授权策略，定义哪些用户和流程可以访问明文加密数据。组织通过这些控制加强对敏感数据的治理。适当调整的基于策略的访问控制为受要求 IT 和安全管理员之间明确职责分离的授权约束的组织提供了重要的安全层。

满足审计和报告要求的详细日志记录功能

CCKM 在集中日志中记录有关密钥状态和访问的详细数据，从而简化向审计员和监管机构的报告。集中跟踪密钥使用情况和访问请求可减少盲点并提高数据安全性。 CCKM 的报告有助于简化合规性报告流程，同时加强 OCI 本机加密密钥的安全性。

简化、精简的加密管理

如果管理不善，供应商提供的加密很容易变成安全孤岛的集合。CCKM 将 OCI 的加密密钥整合到一个易于使用的平台中，组织可以在该平台上管理 OCI 密钥以及来自各种加密解决方案的密钥，包括：透明加密、应用程序数据保护、数据库保护以及支持 OASIS 密钥管理互操作性协议 (KMIP) 标准的不断增长的供应商列表。

灵活的部署选项可满足任何需求

CCKM 可作为虚拟机、物理设备和服务使用。虚拟 CCKM 是一种全软件产品，可在 OCI、本地以及一系列第三方公共云、私有云、混合云和多云、物理设备和基于云的订阅服务中轻松部署和运行。希望从本地位置存储或管理加密密钥的组织可以选择物理设备来满足最严格的要求。

总结

OCI 的原生加密功能为客户提供了将敏感数据迁移到云所需的安全性。借助 Thales 的加密密钥管理，可以为客户提供额外的控制权来保护他们的数据，为组织提供所需的工具，以证明他们自己可以控制自己的数据 - 即使这些数据位于他们自己的数据中心之外。当 Thales 和 Oracle 合并时，客户就可以获得强大的解决方案来应对广泛采用云所带来的安全性、合规性和主权挑战。

您可以直接联系我们获取更多资料，也可以与揽阁信息的安全专家一起交流和讨论您的定制化解决方案。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• 您存在网络安全问题的首要指标以及解决方法
• 黑客选择太多：是时候关注以数据为中心的安全了
• 字段级加密：确保数据隐私和安全
• 被忽视的增长战略：投资数据安全
• Nextsense和Ascertia结合Luna HSM和签名激活模块(SAM)实现合格的远程签名
• 使用Luna HSM+Digicert TLM组合方案轻松应对 SSL证书缩短至47天带来的潜在风险