最近聯(lián)邦調(diào)查局與蘋果公司之間有關(guān)數(shù)據(jù)隱私的論戰(zhàn)再次將這個(gè)備受爭(zhēng)議的問題擺在了公眾意識(shí)的面前。事實(shí)上,數(shù)據(jù)隱私和網(wǎng)絡(luò)安全問題也是美國總統(tǒng)選舉中的重點(diǎn)討論問題,尤其是在指控一些國家決策者密謀影響選舉結(jié)果的時(shí)候。

雖然公眾可以借此讓自己在數(shù)據(jù)隱私問題上接受強(qiáng)化教育,但是要知道技術(shù)提供商們實(shí)際上在過去已在這個(gè)問題上已經(jīng)多次“犯規(guī)”過了。事實(shí)上,隨著企業(yè)客戶的市場(chǎng)需求增加,多個(gè)云提供者包括亞馬遜、谷歌,Salesforce已經(jīng)擴(kuò)展他們的加密功能到了客戶持有的加密密鑰或稱Bring-Your-Own-Keys(BYOK)領(lǐng)域。

以前,這些云提供商不但進(jìn)行數(shù)據(jù)加密而且對(duì)加密密鑰保留控制權(quán)。如今，通過允許企業(yè)自行管理密鑰,云服務(wù)提供商正在向客戶引入另一種保證數(shù)據(jù)安全和隱私的方式。

1. 控制政府對(duì)公司數(shù)據(jù)的訪問

為了應(yīng)對(duì)政府可能數(shù)據(jù)請(qǐng)求，企業(yè)選擇對(duì)云中的數(shù)據(jù)用其自行管控的密鑰進(jìn)行加密。而云服務(wù)提供商則為了定期回應(yīng)政府機(jī)構(gòu)的抽查,他們依法被迫在客戶不知情的情況下提供出用戶數(shù)據(jù)。

在2016年上半年,谷歌報(bào)告顯示收到過近45000個(gè)請(qǐng)求以尋求超過76000的帳戶信息。在Twitter的透明度報(bào)告中,也提及他們已收到過2871次請(qǐng)求,該請(qǐng)求的數(shù)量較去年增加了40%。云服務(wù)提供商若持有加密密鑰則可以完全的訪問所有客戶的數(shù)據(jù)平臺(tái)。而由企業(yè)自行管理的密鑰時(shí),他們能獲悉政府的數(shù)據(jù)請(qǐng)求,并且可以選擇他們自己的方式來應(yīng)對(duì)。

2. 規(guī)范密鑰管理的過程

通過自行管理他們的鑰匙,企業(yè)可以更好地保護(hù)他們的數(shù)據(jù)并提高合規(guī)性。通過制定和執(zhí)行內(nèi)部的密鑰流轉(zhuǎn)使用策略,企業(yè)可以通過模擬密鑰丟失、被損壞或是持有主密鑰的員工離開公司等場(chǎng)景，以確保他們的數(shù)據(jù)安全性。選擇適當(dāng)?shù)拿荑€管理策略也能讓企業(yè)更好的遵守行業(yè)規(guī)范。例如,PCI規(guī)范就建議公司至少一年要流轉(zhuǎn)使用其密鑰一次。

3. 預(yù)防云服務(wù)管理員的瀆職行為

認(rèn)識(shí)到云提供商可能出現(xiàn)的類似“斯諾登”的風(fēng)險(xiǎn)后,企業(yè)正在尋找方法來提高對(duì)“流氓”管理員的防御。當(dāng)云服務(wù)提供商用他們自己的密鑰加密數(shù)據(jù)時(shí),就潛在著管理員濫用特權(quán)進(jìn)行未經(jīng)授權(quán)的訪問的可能性。而客戶用自己的密鑰加密數(shù)據(jù)時(shí),這種風(fēng)險(xiǎn)會(huì)隨著云服務(wù)員工只有訪問到已被加密數(shù)據(jù)而降低了許多。

在過去,云服務(wù)提供商禁用了諸如搜索和排序等功能，因此客戶自行加密和服務(wù)方案能力都受到了限制。但是密碼學(xué)的進(jìn)步，提供了在保留最終用戶各項(xiàng)功能的同時(shí)的多種加密數(shù)據(jù)的方式。這使得像Salesforce，Box和亞馬遜之類的公司能為他們客戶提供BYOK的選項(xiàng)。

4. 維護(hù)客戶數(shù)據(jù)的保密性

像律師事務(wù)所和咨詢公司，他們受嚴(yán)格的客戶保密協(xié)議的制約,對(duì)采用云服務(wù)往往是天生抵觸的。因?yàn)槿绻@樣做，他們可能會(huì)暴露其數(shù)據(jù)而任由第三方所訪問。但是如果他們通過用自己的密鑰去加密他們的云端數(shù)據(jù),這些公司便可以限制只有經(jīng)過授權(quán)的用戶才能訪問。如此，他們?cè)谯`行其保密承諾的同時(shí)，又能享受到利用云服務(wù)所帶來的好處。

5. 符合數(shù)據(jù)保護(hù)的法律和法規(guī)

有許多法律和法規(guī)涉及到個(gè)人數(shù)據(jù)保護(hù)和健康數(shù)據(jù)，它們都提及了各組織應(yīng)該實(shí)施適當(dāng)?shù)陌踩胧﹣斫档惋L(fēng)險(xiǎn)。部分甚至認(rèn)為加密是一種積極的部署防御方式。例如,新的歐盟通用數(shù)據(jù)保護(hù)規(guī)則就具體建議到：加密可以降低風(fēng)險(xiǎn)。它還指出,當(dāng)被加密的個(gè)人信息暴露時(shí),因?yàn)閿?shù)據(jù)不能被第三方所訪問到，所以并不觸發(fā)事件通知的要求。

隨著云的使用正以指數(shù)級(jí)在增長著,企業(yè)越來越多地使用云訪問安全代理(CASBs)來加固云中的數(shù)據(jù)及其使用。CASBs作為用戶和云服務(wù)之間的控制點(diǎn)提供了云端活動(dòng)的可見性、踐行了合規(guī)性、檢測(cè)來自內(nèi)部的威脅和賬戶被盜，并且使用訪問控制和加密來保護(hù)數(shù)據(jù)。

對(duì)于使用自己的密鑰來加密云端數(shù)據(jù)的公司來說,CASBs充當(dāng)?shù)氖敲荑€的代理,它能和公司的密鑰管理服務(wù)器集成，促進(jìn)密鑰向云服務(wù)提供商的安全傳輸，而無需人工干預(yù)。最近的一個(gè)例子就是Skyhigh與Salesforce協(xié)作，并將‘Bring Your Own Key’的能力引入其提供的保護(hù)范疇。作為密鑰代理，Skyhigh可使客戶能在跨多個(gè)Salesforce的組織域內(nèi)流轉(zhuǎn)使用密鑰。此功能減少了管理的開銷,降低了人為錯(cuò)誤,并確保在Salesforce云中的公司數(shù)據(jù)得以保護(hù)。

原文標(biāo)題：5 Reasons to Maintain Control of Your Keys When Encrypting Data in the Cloud，作者：Suhaas Kodagali