如何讓BYOE在云中為企業(yè)工作

責(zé)任編輯:jackye

作者:Ed Moyle

2016-12-27 09:23:36

摘自:TechTarget中國(guó)

目前,在云中使用用戶自己的加密產(chǎn)品已變得更為普遍。根據(jù)具體實(shí)施情況不同,BYOE可以允許用戶使用硬件安全模塊、第三方密鑰管理工具、訪問(wèn)管理與日志記錄工具以及其他的密鑰代理功能。

目前,在云中使用用戶自己的加密產(chǎn)品已變得更為普遍。專家Ed Moyle在本文中討論了BYOE的優(yōu)缺點(diǎn),以及用戶在正式實(shí)施前所需了解的內(nèi)容。

花幾分鐘時(shí)間與大多數(shù)技術(shù)人員討論下公共云服務(wù),你很快就會(huì)得到一個(gè)肯定的結(jié)論:從安全性的角度來(lái)看,云應(yīng)用具有較大的挑戰(zhàn)性。在一定程度上,這是云本身的固有特性決定的。讓云變得有價(jià)值和強(qiáng)大的原因之一就是先進(jìn)技術(shù)基礎(chǔ)的商品化,這就意味著技術(shù)堆棧一定層面以下的一切(具體層面高低因云模式不同而不同)在客戶眼中就是一個(gè)黑盒。這是非常強(qiáng)大的,因?yàn)樗馕吨蛻艨梢灾囟ㄏ蛸Y源,否則它將在技術(shù)管理上花費(fèi)更多而使用其他更直接可用的方法。

從安全性的角度來(lái)看,這是有一些含義的。首先,它意味著潛在地放棄了對(duì)服務(wù)供應(yīng)商技術(shù)安全控制操作的責(zé)任部分,這可能是更厭惡風(fēng)險(xiǎn)的大型用戶或?qū)?yán)格監(jiān)管企業(yè)所最不愿意出現(xiàn)的情況。它還可能影響某些控件的操作和安全性。例如在加密的情況下,密鑰所有權(quán)的問(wèn)題成為了一個(gè)重要點(diǎn)。當(dāng)企業(yè)用戶放棄對(duì)密鑰管理的控制與控制而交給服務(wù)供應(yīng)商時(shí),服務(wù)供應(yīng)商的必要性就變?yōu)樵L問(wèn)密鑰,以及擴(kuò)展至密鑰所保護(hù)的數(shù)據(jù)。

這意味著服務(wù)供應(yīng)商在實(shí)際應(yīng)用有需要時(shí)擁有訪問(wèn)加密數(shù)據(jù)的能力。例如,當(dāng)服務(wù)供應(yīng)商收到來(lái)自于執(zhí)法部門訪問(wèn)數(shù)據(jù)請(qǐng)求的情況下,盡管數(shù)據(jù)是被加密的,但也不存在任何訪問(wèn)數(shù)據(jù)的技術(shù)障礙。同樣,服務(wù)供應(yīng)商的技術(shù)或管理安全體系中的漏洞(例如密鑰管理、過(guò)期或密鑰訪問(wèn))都可能將存儲(chǔ)數(shù)據(jù)置于風(fēng)險(xiǎn)之中。

實(shí)施BYOE的好處

正因如此,目前更常見(jiàn)的是服務(wù)供應(yīng)商在這種應(yīng)用中推崇BYOE(自己帶加密工具)的概念——有時(shí)被稱為BYOK(使用你自己的密鑰)。在此模式下,客戶而不是CSP成為了密鑰的所有者和管理者。從而讓客戶擁有使用現(xiàn)有密鑰管理、加密、存儲(chǔ)或軟硬件組合的能力,與服務(wù)供應(yīng)商一起實(shí)現(xiàn)加密功能但限制服務(wù)供應(yīng)商對(duì)密鑰的訪問(wèn)。

根據(jù)具體實(shí)施情況不同,BYOE可以允許用戶使用硬件安全模塊、第三方密鑰管理工具、訪問(wèn)管理與日志記錄工具以及其他的密鑰代理功能。這種方法為客戶提供了許多潛在的好處。首先也是最明顯的是,這意味著要求云客戶處于數(shù)據(jù)共享循環(huán)之中,其中也包括了接收方是執(zhí)法部門的情況。也就是說(shuō),這種方式創(chuàng)造了一個(gè)技術(shù)壁壘,必須有客戶首肯才能訪問(wèn)數(shù)據(jù)。

確保云客戶身處循環(huán)之中是非常有價(jià)值的,但是BYOE有其他方法可以讓客戶受益。例如,它可以在企業(yè)用戶尋求變更服務(wù)供應(yīng)商時(shí)有所裨益。如果一家服務(wù)供應(yīng)商需要退出云業(yè)務(wù),客戶是唯一可以訪問(wèn)密鑰的人這一事實(shí)可以提供一定水平的保證,即當(dāng)合作關(guān)系終止時(shí),服務(wù)供應(yīng)商將不再能夠訪問(wèn)數(shù)據(jù)。同樣,對(duì)于那些希望確保數(shù)據(jù)存儲(chǔ)地理限制的企業(yè)用戶來(lái)說(shuō),BYOE將可以有助于實(shí)現(xiàn)這一點(diǎn)——即使數(shù)據(jù)被存儲(chǔ)在非客戶所期望的其他區(qū)域,客戶也可以通過(guò)保留密鑰所有權(quán)來(lái)控制數(shù)據(jù)的訪問(wèn)程度。

實(shí)施中的注意事項(xiàng)

考慮到BYOE的優(yōu)勢(shì),云客戶的下一個(gè)合乎邏輯的問(wèn)題就是實(shí)施的相對(duì)復(fù)雜性——即,在任何BYOE方法可用的情況下,具體實(shí)施的難易程度。

需要重點(diǎn)指出的是,并不是每一家云供應(yīng)商都為他們所提供的每一個(gè)服務(wù)提供了BYOE選項(xiàng)。亞馬遜在它的AWS密鑰管理服務(wù)中提供了BYOE選項(xiàng),而微軟在Azure Key Vault中提供了這一選項(xiàng),此外Salesforce則在最近推出的Shield產(chǎn)品中提供了這個(gè)功能。在存儲(chǔ)領(lǐng)域,諸如Box和Tresorit這樣的供應(yīng)商也為客戶提供了使用他們自己密鑰的功能。但是,并不是所有的CSP(尤其是規(guī)模較小的供應(yīng)商)都已經(jīng)實(shí)現(xiàn)了這個(gè)功能。所以,對(duì)于認(rèn)為這個(gè)功能非常重要的企業(yè)用戶,他們需要認(rèn)識(shí)到,能夠提供這項(xiàng)功能的服務(wù)供應(yīng)商選擇范圍可能是比較有限的。

此外,企業(yè)用戶在他們?cè)噲D實(shí)施BYOE之前對(duì)自身準(zhǔn)備情況具有一定程度的自我認(rèn)知也是非常重要的。很多企業(yè)加密實(shí)施方面并不是非常嚴(yán)格或認(rèn)真的,如密鑰管理程序、密鑰到期以及其他具體實(shí)施細(xì)節(jié)等。如果用戶企業(yè)已經(jīng)在企業(yè)內(nèi)部實(shí)施中遇到了密鑰管理方面的挑戰(zhàn),那么他們所要做的并不僅限于將其擴(kuò)展至BYOE——他們可能需要考慮它與其邊界外的混亂情況。此外,企業(yè)還需了解其環(huán)境中的影子IT使用情況,這一點(diǎn)也很重要,因?yàn)槿绻麄儾涣私庠茟?yīng)用情況就有可能不會(huì)使用BYOE功能,直到用戶有意識(shí)地使用。

最后重要的一點(diǎn)是企業(yè)用戶已經(jīng)做好了處理與支持BYOE功能相關(guān)的可用性和物流支撐事項(xiàng)的準(zhǔn)備。如果云供應(yīng)商請(qǐng)求密鑰來(lái)完成一個(gè)特定操作,那么環(huán)境需要做好支持它的準(zhǔn)備。企業(yè)用戶是否安排了工作人員來(lái)服務(wù)密鑰創(chuàng)建?企業(yè)用戶是否已經(jīng)適當(dāng)?shù)卦O(shè)置了其內(nèi)部訪問(wèn)權(quán)限以便只有那些獲授權(quán)的工作人員才能創(chuàng)建和訪問(wèn)密鑰?這些BYOE應(yīng)用與在內(nèi)部部署密鑰管理應(yīng)用是同等重要的。

BYOE能夠?yàn)橛脩魩?lái)巨大的價(jià)值和靈活性,但是能否最大限度發(fā)揮其作用將取決于實(shí)施者在前期的準(zhǔn)備工作和思考是否周密完備。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)