最近聯(lián)邦調(diào)查局與蘋(píng)果公司之間有關(guān)數(shù)據(jù)隱私的論戰(zhàn)再次將這個(gè)備受爭(zhēng)議的問(wèn)題擺在了公眾意識(shí)的面前。事實(shí)上,數(shù)據(jù)隱私和網(wǎng)絡(luò)安全問(wèn)題也是美國(guó)總統(tǒng)選舉中的重點(diǎn)討論問(wèn)題,尤其是在指控一些國(guó)家決策者密謀影響選舉結(jié)果的時(shí)候。
雖然公眾可以借此讓自己在數(shù)據(jù)隱私問(wèn)題上接受強(qiáng)化教育,但是要知道技術(shù)提供商們實(shí)際上在過(guò)去已在這個(gè)問(wèn)題上已經(jīng)多次“犯規(guī)”過(guò)了。事實(shí)上,隨著企業(yè)客戶的市場(chǎng)需求增加,多個(gè)云提供者包括亞馬遜、谷歌,Salesforce已經(jīng)擴(kuò)展他們的加密功能到了客戶持有的加密密鑰或稱Bring-Your-Own-Keys(BYOK)領(lǐng)域。
以前,這些云提供商不但進(jìn)行數(shù)據(jù)加密而且對(duì)加密密鑰保留控制權(quán)。如今,通過(guò)允許企業(yè)自行管理密鑰,云服務(wù)提供商正在向客戶引入另一種保證數(shù)據(jù)安全和隱私的方式。
1. 控制政府對(duì)公司數(shù)據(jù)的訪問(wèn)
為了應(yīng)對(duì)政府可能數(shù)據(jù)請(qǐng)求,企業(yè)選擇對(duì)云中的數(shù)據(jù)用其自行管控的密鑰進(jìn)行加密。而云服務(wù)提供商則為了定期回應(yīng)政府機(jī)構(gòu)的抽查,他們依法被迫在客戶不知情的情況下提供出用戶數(shù)據(jù)。
在2016年上半年,谷歌報(bào)告顯示收到過(guò)近45000個(gè)請(qǐng)求以尋求超過(guò)76000的帳戶信息。在Twitter的透明度報(bào)告中,也提及他們已收到過(guò)2871次請(qǐng)求,該請(qǐng)求的數(shù)量較去年增加了40%。云服務(wù)提供商若持有加密密鑰則可以完全的訪問(wèn)所有客戶的數(shù)據(jù)平臺(tái)。而由企業(yè)自行管理的密鑰時(shí),他們能獲悉政府的數(shù)據(jù)請(qǐng)求,并且可以選擇他們自己的方式來(lái)應(yīng)對(duì)。
2. 規(guī)范密鑰管理的過(guò)程
通過(guò)自行管理他們的鑰匙,企業(yè)可以更好地保護(hù)他們的數(shù)據(jù)并提高合規(guī)性。通過(guò)制定和執(zhí)行內(nèi)部的密鑰流轉(zhuǎn)使用策略,企業(yè)可以通過(guò)模擬密鑰丟失、被損壞或是持有主密鑰的員工離開(kāi)公司等場(chǎng)景,以確保他們的數(shù)據(jù)安全性。選擇適當(dāng)?shù)拿荑€管理策略也能讓企業(yè)更好的遵守行業(yè)規(guī)范。例如,PCI規(guī)范就建議公司至少一年要流轉(zhuǎn)使用其密鑰一次。
3. 預(yù)防云服務(wù)管理員的瀆職行為
認(rèn)識(shí)到云提供商可能出現(xiàn)的類似“斯諾登”的風(fēng)險(xiǎn)后,企業(yè)正在尋找方法來(lái)提高對(duì)“流氓”管理員的防御。當(dāng)云服務(wù)提供商用他們自己的密鑰加密數(shù)據(jù)時(shí),就潛在著管理員濫用特權(quán)進(jìn)行未經(jīng)授權(quán)的訪問(wèn)的可能性。而客戶用自己的密鑰加密數(shù)據(jù)時(shí),這種風(fēng)險(xiǎn)會(huì)隨著云服務(wù)員工只有訪問(wèn)到已被加密數(shù)據(jù)而降低了許多。
在過(guò)去,云服務(wù)提供商禁用了諸如搜索和排序等功能,因此客戶自行加密和服務(wù)方案能力都受到了限制。但是密碼學(xué)的進(jìn)步,提供了在保留最終用戶各項(xiàng)功能的同時(shí)的多種加密數(shù)據(jù)的方式。這使得像Salesforce,Box和亞馬遜之類的公司能為他們客戶提供BYOK的選項(xiàng)。
4. 維護(hù)客戶數(shù)據(jù)的保密性
像律師事務(wù)所和咨詢公司,他們受嚴(yán)格的客戶保密協(xié)議的制約,對(duì)采用云服務(wù)往往是天生抵觸的。因?yàn)槿绻@樣做,他們可能會(huì)暴露其數(shù)據(jù)而任由第三方所訪問(wèn)。但是如果他們通過(guò)用自己的密鑰去加密他們的云端數(shù)據(jù),這些公司便可以限制只有經(jīng)過(guò)授權(quán)的用戶才能訪問(wèn)。如此,他們?cè)谯`行其保密承諾的同時(shí),又能享受到利用云服務(wù)所帶來(lái)的好處。
5. 符合數(shù)據(jù)保護(hù)的法律和法規(guī)
有許多法律和法規(guī)涉及到個(gè)人數(shù)據(jù)保護(hù)和健康數(shù)據(jù),它們都提及了各組織應(yīng)該實(shí)施適當(dāng)?shù)陌踩胧﹣?lái)降低風(fēng)險(xiǎn)。部分甚至認(rèn)為加密是一種積極的部署防御方式。例如,新的歐盟通用數(shù)據(jù)保護(hù)規(guī)則就具體建議到:加密可以降低風(fēng)險(xiǎn)。它還指出,當(dāng)被加密的個(gè)人信息暴露時(shí),因?yàn)閿?shù)據(jù)不能被第三方所訪問(wèn)到,所以并不觸發(fā)事件通知的要求。
隨著云的使用正以指數(shù)級(jí)在增長(zhǎng)著,企業(yè)越來(lái)越多地使用云訪問(wèn)安全代理(CASBs)來(lái)加固云中的數(shù)據(jù)及其使用。CASBs作為用戶和云服務(wù)之間的控制點(diǎn)提供了云端活動(dòng)的可見(jiàn)性、踐行了合規(guī)性、檢測(cè)來(lái)自內(nèi)部的威脅和賬戶被盜,并且使用訪問(wèn)控制和加密來(lái)保護(hù)數(shù)據(jù)。
對(duì)于使用自己的密鑰來(lái)加密云端數(shù)據(jù)的公司來(lái)說(shuō),CASBs充當(dāng)?shù)氖敲荑€的代理,它能和公司的密鑰管理服務(wù)器集成,促進(jìn)密鑰向云服務(wù)提供商的安全傳輸,而無(wú)需人工干預(yù)。最近的一個(gè)例子就是Skyhigh與Salesforce協(xié)作,并將‘Bring Your Own Key’的能力引入其提供的保護(hù)范疇。作為密鑰代理,Skyhigh可使客戶能在跨多個(gè)Salesforce的組織域內(nèi)流轉(zhuǎn)使用密鑰。此功能減少了管理的開(kāi)銷,降低了人為錯(cuò)誤,并確保在Salesforce云中的公司數(shù)據(jù)得以保護(hù)。
原文標(biāo)題:5 Reasons to Maintain Control of Your Keys When Encrypting Data in the Cloud,作者:Suhaas Kodagali
京公網(wǎng)安備 11010502049343號(hào)