BYOK是用户进入云加密王国的钥匙

日期: 2016-10-18 作者:Stephen J. Bigelow翻译:滕晓龙 来源:TechTarget中国 英文

诸如AWS和Azure这样的公共云供应商们所提供的BYOK选项让用户能够更多地控制他们的数据加密密钥,但这样做也是需要付出一定代价的。 公共云供应商们正在推出新的服务,这些新服务能够让客户使用他们自己的密钥来集成加密功能。这样做将有助于确保达到相当高程度的数据安全等级,即甚至于满足最苛刻的业务与监管要求。 让我们近距离地探究一下这个能够让用户“使用他们自己密钥”(BYOK)的公共云加密新服务吧,当然也来分析一下其潜在的优缺点。

问题:什么是BYOK?使用它需要付出些什么? 加密技术仍然是确保敏感数据丢失、被盗或者甚至是政府窥探的最佳整体性技术。但是加密密钥的管理通常需要相关企业用户对他们的公共……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

诸如AWS和Azure这样的公共云供应商们所提供的BYOK选项让用户能够更多地控制他们的数据加密密钥,但这样做也是需要付出一定代价的。

公共云供应商们正在推出新的服务,这些新服务能够让客户使用他们自己的密钥来集成加密功能。这样做将有助于确保达到相当高程度的数据安全等级,即甚至于满足最苛刻的业务与监管要求。

让我们近距离地探究一下这个能够让用户“使用他们自己密钥”(BYOK)的公共云加密新服务吧,当然也来分析一下其潜在的优缺点。

问题:什么是BYOK?使用它需要付出些什么?

加密技术仍然是确保敏感数据丢失、被盗或者甚至是政府窥探的最佳整体性技术。但是加密密钥的管理通常需要相关企业用户对他们的公共云供应商实施一定程度的措施——这也是被很多企业所拒绝的一个要求。对于全面采用公共云的企业用户来说,加密必须是无缝的,它需要对企业内部的密钥实施全覆盖控制。

新出现的“使用你自己的加密”(BYOE)和BYOK可以解决上述这些问题。BYOE模式允许用户在公共云实例中使用他们自己的加密软件,加密软件将与用户的工作负载一起运行。这样一来,企业用户的加密工具就能够作为一项服务在云中运行,那么在把数据写入云供应商的存储资源之前就可以对工作负载中的敏感数据使用加密服务。

BYOK模式与之类似,但是它经常使用云供应商的本地加密服务,例如256位高级加密标准。但是,加密密钥是基于用户自有硬件的,从而创建一个统一的密钥管理系统。使用加密服务的用户可以自行控制密钥的创建、存储和管理。

在实施BYOE或BYOK技术之前,仍然有一些潜在的评估问题。例如,密钥管理变成了企业用户使用公共云的一个关键过程;如果本地密钥丢失或遗忘,那么云供应商就不再能够对已加密文件进行解密。

问题:哪些公共云供应商支持BYOK?

亚马逊网络服务(AWS)提供了加密功能,但是用户也可以在AWS密钥管理服务(KMS)中生成密钥或者从一个内部部署密钥管理系统中将密钥导入KMS。一旦密钥导入KMS,企业用户就可以使用密钥对应用程序数据和与其他集成AWS服务交换的数据进行加密,但是密钥永远不会离开KMS。

用户可以通过AWS管理控制台以及基于传输层安全协议的命令行界面和API来访问KMS。

其他的公共云供应商们则支持BYOK模式。例如,微软公司对存储数据提供了Azure存储服务加密,并为.NET Nuget数据包使用Azure存储客户端库以实现客户端的加密。这些都取决于Azure的密钥服务。

谷歌云平台还将加强密钥管理功能,以允许使用者为诸如谷歌云存储和谷歌计算引擎这样的服务提供他们自己的密钥。考虑实施多云实施的企业用户应当密切关注不同密钥管理服务之间的兼容性差异。

问题:是否会对BYOK活动进行日志记录或审计?

日志记录是加密和密钥使用服务的重要组成部分。正如用户需要加密服务以实现数据在公共云中的存储一样,日志记录和日志管理是确保合规性必不可少的措施。

例如,AWS会记录AWS CloudTrail日志中的所有密钥使用记录,其中包括通过API对KMS的访问。用户可以访问这些日志记录以确定哪些密钥被使用了,这些日志记录将涉及具体的用户以及使用这些密钥的其他AWS服务。CloudTrail日志被保存在一个加密的亚马逊简单存储服务实例中,用户可以根据实际需要对其进行访问。

用户还可以使用诸如亚马逊CloudWatch这样的服务来监控密钥使用情况并采集与KMS相关的指标以便于进行针对性评估。CloudWatch可以将所采集的指标最多保存两周,从而让用户能够得到一个关于密钥和加密使用情况的短期历史数据汇总。用户可以通过AWS管理控制台或亚马逊CloudWatch API来查看CloudWatch的指标。

企业用户还可以实现加密监控与日志记录的自动化。但是,只有在企业用户非常明确监控目标、观察最相关的指标和在工作使用正确工具时,加密监控和日志记录才是有益的。

问题:BYOK是否满足任何公认的合规性标准?

简单实用供应商的加密和密钥管理服务并不足以满足合规性要求,例如健康保险携带与责任法案(HIPAA)或PCI DSS。在用户正式使用云供应商所提供的服务前,供应商们可能还需要证明他们遵守了公认的合规性标准。在实施任何形式的公共云之前,用户都应查看供应商对于公认标准的支持情况。

例如,AWS支持SOC,其中包括SOC 1、SOC 2 和 SOC 3。此外, AWS还通过了ISO 9001、ISO 27017、ISO 27018 以及PCI DSS1级。 这意味着,如果用户的企业采用了信用卡处理程序并采用了PCI DSS标准,那么AWS可能是一个可以接受的供应商。与此同时,AWS还在接受联邦信息处理标准140-2的评估,该标准被用作美国政府的安全标准。

相比之下,谷歌支持SOC 2、SOC 3、ISO 27001、ISO 27017、ISO 27018 和 PCI DSS 3.1等标准;谷歌App引擎运行支持FedRamp标准;计算引擎云存储、Cloud SQL、Genomics和BigQuery都遵守HIPAA合规性标准。谷歌还支持欧盟数据保护指令;鉴证业务准则公告16号(SSAE16);以及鉴证业务国际标准(ISAE 3402 Type II)的保证标准。

如果云供应商无法遵守标准,或者相关标准被撤销,那么用户可能不得不停止使用这些云服务——否则相关风险也是不符合合规性要求的。对于企业来说,这就为云供应商关系管理增加了一个重要的考虑方面。

作者

Stephen J. Bigelow
Stephen J. Bigelow

数据中心和虚拟化网站的高级技术编辑,拥有20年的PC和技术写作经验。

相关推荐

  • 云安全战略缺陷要及早发现

    公有云的一些优势是不可否认的。使用云平台的企业经常获得许多优势,无论是从业务,还是技术角度来看。

  • 不可不知的云加密

    对很多组织来说,适当的在云中加密数据,安全的创建并保留加密密钥,还有在理论上,防止任何云供应商的管理人员访问这些密钥等需求,在任何的云计算环境里,尤其是基础架构即服务(IaaS)领域方面,都是一些最抢手最重要的安全机制。

  • 云计算加密密钥管理的最佳实践

    随着迁入云计算数据的敏感性和重要性日益增加,安全专家们正在积极地寻求使用加密技术保护这类数据,而他们所采用的技术正是他们多年来在他们数据中心内一直使用并信任的技术。

  • 我的安全我做主:公有云隐私五大注意事项

    虽然云计算已经得到到普遍的承认,并且也展现出它自己的一些价值。但谈到公有云时还会涉及到一些隐私和安全问题。