BYOK是用戶進(jìn)入云加密王國的鑰匙

責(zé)任編輯:editor005

作者:Stephen J. Bigelow

2016-10-19 14:46:07

摘自:TechTarget中國

諸如AWS和Azure這樣的公共云供應(yīng)商們所提供的BYOK選項讓用戶能夠更多地控制他們的數(shù)據(jù)加密密鑰,但這樣做也是需要付出一定代價的。

諸如AWS和Azure這樣的公共云供應(yīng)商們所提供的BYOK選項讓用戶能夠更多地控制他們的數(shù)據(jù)加密密鑰,但這樣做也是需要付出一定代價的。

公共云供應(yīng)商們正在推出新的服務(wù),這些新服務(wù)能夠讓客戶使用他們自己的密鑰來集成加密功能。這樣做將有助于確保達(dá)到相當(dāng)高程度的數(shù)據(jù)安全等級,即甚至于滿足最苛刻的業(yè)務(wù)與監(jiān)管要求。

讓我們近距離地探究一下這個能夠讓用戶“使用他們自己密鑰”(BYOK)的公共云加密新服務(wù)吧,當(dāng)然也來分析一下其潛在的優(yōu)缺點。

問題:什么是BYOK?使用它需要付出些什么?

加密技術(shù)仍然是確保敏感數(shù)據(jù)丟失、被盜或者甚至是政府窺探的最佳整體性技術(shù)。但是加密密鑰的管理通常需要相關(guān)企業(yè)用戶對他們的公共云供應(yīng)商實施一定程度的措施——這也是被很多企業(yè)所拒絕的一個要求。對于全面采用公共云的企業(yè)用戶來說,加密必須是無縫的,它需要對企業(yè)內(nèi)部的密鑰實施全覆蓋控制。

新出現(xiàn)的“使用你自己的加密”(BYOE)和BYOK可以解決上述這些問題。BYOE模式允許用戶在公共云實例中使用他們自己的加密軟件,加密軟件將與用戶的工作負(fù)載一起運行。這樣一來,企業(yè)用戶的加密工具就能夠作為一項服務(wù)在云中運行,那么在把數(shù)據(jù)寫入云供應(yīng)商的存儲資源之前就可以對工作負(fù)載中的敏感數(shù)據(jù)使用加密服務(wù)。

BYOK模式與之類似,但是它經(jīng)常使用云供應(yīng)商的本地加密服務(wù),例如256位高級加密標(biāo)準(zhǔn)。但是,加密密鑰是基于用戶自有硬件的,從而創(chuàng)建一個統(tǒng)一的密鑰管理系統(tǒng)。使用加密服務(wù)的用戶可以自行控制密鑰的創(chuàng)建、存儲和管理。

在實施BYOE或BYOK技術(shù)之前,仍然有一些潛在的評估問題。例如,密鑰管理變成了企業(yè)用戶使用公共云的一個關(guān)鍵過程;如果本地密鑰丟失或遺忘,那么云供應(yīng)商就不再能夠?qū)σ鸭用芪募M(jìn)行解密。

問題:哪些公共云供應(yīng)商支持BYOK?

亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)提供了加密功能,但是用戶也可以在AWS密鑰管理服務(wù)(KMS)中生成密鑰或者從一個內(nèi)部部署密鑰管理系統(tǒng)中將密鑰導(dǎo)入KMS。一旦密鑰導(dǎo)入KMS,企業(yè)用戶就可以使用密鑰對應(yīng)用程序數(shù)據(jù)和與其他集成AWS服務(wù)交換的數(shù)據(jù)進(jìn)行加密,但是密鑰永遠(yuǎn)不會離開KMS。

用戶可以通過AWS管理控制臺以及基于傳輸層安全協(xié)議的命令行界面和API來訪問KMS。

其他的公共云供應(yīng)商們則支持BYOK模式。例如,微軟公司對存儲數(shù)據(jù)提供了Azure存儲服務(wù)加密,并為.NET Nuget數(shù)據(jù)包使用Azure存儲客戶端庫以實現(xiàn)客戶端的加密。這些都取決于Azure的密鑰服務(wù)。

谷歌云平臺還將加強(qiáng)密鑰管理功能,以允許使用者為諸如谷歌云存儲和谷歌計算引擎這樣的服務(wù)提供他們自己的密鑰??紤]實施多云實施的企業(yè)用戶應(yīng)當(dāng)密切關(guān)注不同密鑰管理服務(wù)之間的兼容性差異。

問題:是否會對BYOK活動進(jìn)行日志記錄或?qū)徲?

日志記錄是加密和密鑰使用服務(wù)的重要組成部分。正如用戶需要加密服務(wù)以實現(xiàn)數(shù)據(jù)在公共云中的存儲一樣,日志記錄和日志管理是確保合規(guī)性必不可少的措施。

例如,AWS會記錄AWS CloudTrail日志中的所有密鑰使用記錄,其中包括通過API對KMS的訪問。用戶可以訪問這些日志記錄以確定哪些密鑰被使用了,這些日志記錄將涉及具體的用戶以及使用這些密鑰的其他AWS服務(wù)。CloudTrail日志被保存在一個加密的亞馬遜簡單存儲服務(wù)實例中,用戶可以根據(jù)實際需要對其進(jìn)行訪問。

用戶還可以使用諸如亞馬遜CloudWatch這樣的服務(wù)來監(jiān)控密鑰使用情況并采集與KMS相關(guān)的指標(biāo)以便于進(jìn)行針對性評估。CloudWatch可以將所采集的指標(biāo)最多保存兩周,從而讓用戶能夠得到一個關(guān)于密鑰和加密使用情況的短期歷史數(shù)據(jù)匯總。用戶可以通過AWS管理控制臺或亞馬遜CloudWatch API來查看CloudWatch的指標(biāo)。

企業(yè)用戶還可以實現(xiàn)加密監(jiān)控與日志記錄的自動化。但是,只有在企業(yè)用戶非常明確監(jiān)控目標(biāo)、觀察最相關(guān)的指標(biāo)和在工作使用正確工具時,加密監(jiān)控和日志記錄才是有益的。

問題:BYOK是否滿足任何公認(rèn)的合規(guī)性標(biāo)準(zhǔn)?

簡單實用供應(yīng)商的加密和密鑰管理服務(wù)并不足以滿足合規(guī)性要求,例如健康保險攜帶與責(zé)任法案(HIPAA)或PCI DSS。在用戶正式使用云供應(yīng)商所提供的服務(wù)前,供應(yīng)商們可能還需要證明他們遵守了公認(rèn)的合規(guī)性標(biāo)準(zhǔn)。在實施任何形式的公共云之前,用戶都應(yīng)查看供應(yīng)商對于公認(rèn)標(biāo)準(zhǔn)的支持情況。

例如,AWS支持SOC,其中包括SOC 1、SOC 2 和 SOC 3。此外, AWS還通過了ISO 9001、ISO 27017、ISO 27018 以及PCI DSS1級。 這意味著,如果用戶的企業(yè)采用了信用卡處理程序并采用了PCI DSS標(biāo)準(zhǔn),那么AWS可能是一個可以接受的供應(yīng)商。與此同時,AWS還在接受聯(lián)邦信息處理標(biāo)準(zhǔn)140-2的評估,該標(biāo)準(zhǔn)被用作美國政府的安全標(biāo)準(zhǔn)。

相比之下,谷歌支持SOC 2、SOC 3、ISO 27001、ISO 27017、ISO 27018 和 PCI DSS 3.1等標(biāo)準(zhǔn);谷歌App引擎運行支持FedRamp標(biāo)準(zhǔn);計算引擎云存儲、Cloud SQL、Genomics和BigQuery都遵守HIPAA合規(guī)性標(biāo)準(zhǔn)。谷歌還支持歐盟數(shù)據(jù)保護(hù)指令;鑒證業(yè)務(wù)準(zhǔn)則公告16號(SSAE16);以及鑒證業(yè)務(wù)國際標(biāo)準(zhǔn)(ISAE 3402 Type II)的保證標(biāo)準(zhǔn)。

如果云供應(yīng)商無法遵守標(biāo)準(zhǔn),或者相關(guān)標(biāo)準(zhǔn)被撤銷,那么用戶可能不得不停止使用這些云服務(wù)——否則相關(guān)風(fēng)險也是不符合合規(guī)性要求的。對于企業(yè)來說,這就為云供應(yīng)商關(guān)系管理增加了一個重要的考慮方面。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號