国产欧美视频在线,国产中文字幕视频,欧美日韩综合在线视频免费看

BYOK是用戶進入云加密王國的鑰匙

責任編輯：editor005

作者：Stephen J. Bigelow

2016-10-19 14:46:07

摘自：TechTarget中國

諸如AWS和Azure這樣的公共云供應商們所提供的BYOK選項讓用戶能夠更多地控制他們的數據加密密鑰，但這樣做也是需要付出一定代價的。

公共云供應商們正在推出新的服務，這些新服務能夠讓客戶使用他們自己的密鑰來集成加密功能。這樣做將有助于確保達到相當高程度的數據安全等級，即甚至于滿足最苛刻的業務與監管要求。

讓我們近距離地探究一下這個能夠讓用戶“使用他們自己密鑰”（BYOK）的公共云加密新服務吧，當然也來分析一下其潛在的優缺點。

問題：什么是BYOK？使用它需要付出些什么？

加密技術仍然是確保敏感數據丟失、被盜或者甚至是政府窺探的最佳整體性技術。但是加密密鑰的管理通常需要相關企業用戶對他們的公共云供應商實施一定程度的措施——這也是被很多企業所拒絕的一個要求。對于全面采用公共云的企業用戶來說，加密必須是無縫的，它需要對企業內部的密鑰實施全覆蓋控制。

新出現的“使用你自己的加密”(BYOE)和BYOK可以解決上述這些問題。BYOE模式允許用戶在公共云實例中使用他們自己的加密軟件，加密軟件將與用戶的工作負載一起運行。這樣一來，企業用戶的加密工具就能夠作為一項服務在云中運行，那么在把數據寫入云供應商的存儲資源之前就可以對工作負載中的敏感數據使用加密服務。

BYOK模式與之類似，但是它經常使用云供應商的本地加密服務，例如256位高級加密標準。但是，加密密鑰是基于用戶自有硬件的，從而創建一個統一的密鑰管理系統。使用加密服務的用戶可以自行控制密鑰的創建、存儲和管理。

在實施BYOE或BYOK技術之前，仍然有一些潛在的評估問題。例如，密鑰管理變成了企業用戶使用公共云的一個關鍵過程;如果本地密鑰丟失或遺忘，那么云供應商就不再能夠對已加密文件進行解密。

問題：哪些公共云供應商支持BYOK?

亞馬遜網絡服務(AWS)提供了加密功能，但是用戶也可以在AWS密鑰管理服務(KMS)中生成密鑰或者從一個內部部署密鑰管理系統中將密鑰導入KMS。一旦密鑰導入KMS，企業用戶就可以使用密鑰對應用程序數據和與其他集成AWS服務交換的數據進行加密，但是密鑰永遠不會離開KMS。

用戶可以通過AWS管理控制臺以及基于傳輸層安全協議的命令行界面和API來訪問KMS。

其他的公共云供應商們則支持BYOK模式。例如，微軟公司對存儲數據提供了Azure存儲服務加密，并為.NET Nuget數據包使用Azure存儲客戶端庫以實現客戶端的加密。這些都取決于Azure的密鑰服務。

谷歌云平臺還將加強密鑰管理功能，以允許使用者為諸如谷歌云存儲和谷歌計算引擎這樣的服務提供他們自己的密鑰。考慮實施多云實施的企業用戶應當密切關注不同密鑰管理服務之間的兼容性差異。

問題：是否會對BYOK活動進行日志記錄或審計?

日志記錄是加密和密鑰使用服務的重要組成部分。正如用戶需要加密服務以實現數據在公共云中的存儲一樣，日志記錄和日志管理是確保合規性必不可少的措施。

例如，AWS會記錄AWS CloudTrail日志中的所有密鑰使用記錄，其中包括通過API對KMS的訪問。用戶可以訪問這些日志記錄以確定哪些密鑰被使用了，這些日志記錄將涉及具體的用戶以及使用這些密鑰的其他AWS服務。CloudTrail日志被保存在一個加密的亞馬遜簡單存儲服務實例中，用戶可以根據實際需要對其進行訪問。

用戶還可以使用諸如亞馬遜CloudWatch這樣的服務來監控密鑰使用情況并采集與KMS相關的指標以便于進行針對性評估。CloudWatch可以將所采集的指標最多保存兩周，從而讓用戶能夠得到一個關于密鑰和加密使用情況的短期歷史數據匯總。用戶可以通過AWS管理控制臺或亞馬遜CloudWatch API來查看CloudWatch的指標。

企業用戶還可以實現加密監控與日志記錄的自動化。但是，只有在企業用戶非常明確監控目標、觀察最相關的指標和在工作使用正確工具時，加密監控和日志記錄才是有益的。

問題：BYOK是否滿足任何公認的合規性標準?

簡單實用供應商的加密和密鑰管理服務并不足以滿足合規性要求，例如健康保險攜帶與責任法案(HIPAA)或PCI DSS。在用戶正式使用云供應商所提供的服務前，供應商們可能還需要證明他們遵守了公認的合規性標準。在實施任何形式的公共云之前，用戶都應查看供應商對于公認標準的支持情況。

例如，AWS支持SOC，其中包括SOC 1、SOC 2 和 SOC 3。此外， AWS還通過了ISO 9001、ISO 27017、ISO 27018 以及PCI DSS1級。這意味著，如果用戶的企業采用了信用卡處理程序并采用了PCI DSS標準，那么AWS可能是一個可以接受的供應商。與此同時，AWS還在接受聯邦信息處理標準140-2的評估，該標準被用作美國政府的安全標準。

相比之下，谷歌支持SOC 2、SOC 3、ISO 27001、ISO 27017、ISO 27018 和 PCI DSS 3.1等標準;谷歌App引擎運行支持FedRamp標準;計算引擎云存儲、Cloud SQL、Genomics和BigQuery都遵守HIPAA合規性標準。谷歌還支持歐盟數據保護指令;鑒證業務準則公告16號(SSAE16);以及鑒證業務國際標準(ISAE 3402 Type II)的保證標準。

如果云供應商無法遵守標準，或者相關標準被撤銷，那么用戶可能不得不停止使用這些云服務——否則相關風險也是不符合合規性要求的。對于企業來說，這就為云供應商關系管理增加了一個重要的考慮方面。

BYOK AWS