如果你花幾分鐘時間與技術(shù)專家談?wù)摴性品?wù),你很快會得出這樣的結(jié)論:從安全角度來看,云服務(wù)是一個挑戰(zhàn)。這在一定程度上是因為云本身的性質(zhì),讓云計算如此強大的原因之一是其技術(shù)基礎(chǔ)的商品化,這意味著所有事物都是在一定水平的技術(shù)堆棧下面,而這種技術(shù)堆棧對客戶來說是黑盒子。但同時云計算也很強大,企業(yè)可重定向其資源,而不需要自己在技術(shù)管理方面花費時間和精力,讓企業(yè)可專注于更有利可圖的業(yè)務(wù)領(lǐng)域。
從安全角度來看,云計算帶來一些影響。首先,云計算意味著將技術(shù)安全控制操作的責(zé)任交給服務(wù)提供商,對于受到嚴(yán)格監(jiān)管的大型企業(yè),這可能是可怕的事情。同時,云計算還可能影響某些控件的操作以及安全性。例如在加密方面,密鑰所有權(quán)的問題變得非常重要。當(dāng)企業(yè)將密鑰管理和操作交給服務(wù)提供商時,服務(wù)提供商即可訪問該密鑰,即也可訪問密鑰保護的數(shù)據(jù)。
服務(wù)提供商可在需要的情況下訪問加密數(shù)據(jù)。例如,當(dāng)服務(wù)提供商收到執(zhí)法部門訪問數(shù)據(jù)的請求時,他們對訪問數(shù)據(jù)并沒有技術(shù)屏障,盡管數(shù)據(jù)被加密。同樣地,服務(wù)提供商在技術(shù)或管理保護(密鑰管理、過期或密鑰訪問)方面的缺陷可能會使數(shù)據(jù)處于風(fēng)險之中。
自行加密的優(yōu)勢
因此,現(xiàn)在服務(wù)提供商會提供自行加密(BYOE)的選項,有時被稱為自帶密鑰(BYOK)。在此模式下,客戶會成為加密密鑰的所有者和管理著,而不交給云服務(wù)提供商。這讓客戶可結(jié)合服務(wù)提供商利用現(xiàn)有密鑰管理、加密、存儲或其他軟件及硬件,以實現(xiàn)加密功能,但限制服務(wù)提供商對密鑰材料的訪問。
根據(jù)具體部署,自帶加密可允許使用硬件安全模塊、第三方密鑰管理工具、訪問管理及日志記錄或其他密鑰代理功能。這為客戶提供了很多潛在好處,首先最明顯的是,數(shù)據(jù)的任何訪問都需要客戶參與,包括執(zhí)法機構(gòu)請求訪問數(shù)據(jù)的情況。同時,這創(chuàng)建了一個技術(shù)屏障,在授予他人訪問數(shù)據(jù)前,都需要客戶參與。
除此之外,自帶加密還給客戶帶來其他好處。例如,當(dāng)企業(yè)考慮更換服務(wù)提供商時,它可幫助企業(yè)取回自己的數(shù)據(jù)。當(dāng)服務(wù)提供商需要解除云計算合同時,如果他們知道客戶是唯一可訪問密鑰的人,這可確保在合同終止后他們不能再訪問數(shù)據(jù)。同時,對于那些希望確保對數(shù)據(jù)進行地理限制的企業(yè),自行加密可幫助實現(xiàn)這一點,即使數(shù)據(jù)可能會在客戶意料之外的其他地區(qū),但客戶可通過密鑰所有權(quán)來控制數(shù)據(jù)可訪問程度。
部署注意事項
基于BYOE的優(yōu)勢,對于云服務(wù)客戶來說,下一個邏輯問題是部署的相對復(fù)雜性,即部署B(yǎng)YOE的難易程度以及在何種情況下可用。
請注意,并非所有云服務(wù)提供商都為其每項服務(wù)提供自帶加密選項。亞馬遜在AWS密鑰管理服務(wù)中提供該選項,而微軟在Azure Key Vault中提供,此外,Salesforce最近在其Shield產(chǎn)品中提供該功能。在存儲領(lǐng)域,Box和Tresorit等提供商為客戶提供此功能以利用自己的密鑰。然而,并非所有云服務(wù)提供商(特別是小型提供商)都已經(jīng)部署此功能。對于需要該功能的企業(yè)來說,他們需要認識到的是,提供該功能的服務(wù)提供商選擇可能有限。
此外,在企業(yè)嘗試自帶加密部署之前,企業(yè)需要了解自己的準(zhǔn)備情況。對于加密方面(例如密鑰管理程序、密鑰到期和其他部署),很多企業(yè)并不是非常嚴(yán)格。如果你的企業(yè)已經(jīng)在內(nèi)部部署密鑰管理時面臨挑戰(zhàn),則應(yīng)該更加謹(jǐn)慎對待BYOE功能,因為這可能會制造混亂。并且,企業(yè)還需要了解其環(huán)境中影子使用情況,因為這可能會影響自帶加密功能的部署。
最后,企業(yè)必須確定自己準(zhǔn)備好處理與支持BYOE相關(guān)的可用性和后續(xù)問題。如果云服務(wù)提供商請求密鑰來完成特定操作,則企業(yè)需要準(zhǔn)備好支持這一點。企業(yè)是否有人員來創(chuàng)建服務(wù)密鑰?企業(yè)是否適當(dāng)限制其內(nèi)部訪問,確保只有受允許的人員可創(chuàng)建以及訪問密鑰?這在BYOE的情況下也同樣重要,因為BYOE位于內(nèi)部密鑰管理中。
自帶加密可帶來巨大的價值和靈活性,但發(fā)揮它的最大價值需要一些準(zhǔn)備工作。
京公網(wǎng)安備 11010502049343號