如果你花几分钟与技术专家讨论公共云服务,你很快就会得出结论,从安全的角度来看,云服务是一个挑战。这部分是由于云本身的性质,云计算如此强大的原因之一是其技术基础的商品化,这意味着一切都在一定水平的技术堆栈之下,这对云计算至关重要。给客户端的黑匣子。但与此同时,云计算也非常强大。企业无需在技术管理上花费时间和精力,就可以重新引导资源,使企业能够专注于更有利可图的业务领域。从安全的角度来看,云计算有一些影响。首先,云计算意味着将技术安全控制操作的责任移交给服务提供商,这对于监管严格的大型企业来说可能是一件可怕的事情。同时,云计算也可能影响某些控件的运行和安全。例如,在加密中,密钥所有权问题变得非常重要。当企业将密钥管理和操作卸载给服务提供商时,服务提供商可以访问该密钥,因此也可以访问它保护的数据。如果需要,服务提供商可以访问加密数据。例如,当服务提供商收到执法部门要求访问数据的请求时,即使数据已加密,他们也没有访问数据的技术障碍。同样,服务提供商的技术或管理保护(密钥管理、过期或密钥访问)方面的缺陷可能会使数据面临风险。自己加密的优势因此,服务提供商现在提供加密自己的选项(BYOE),有时也称为自带密钥(BYOK)。在此模型中,客户成为加密密钥的所有者和管理者,而无需将其交给云服务提供商。这允许客户与服务提供商一起利用现有的密钥管理、加密、存储或其他软件和硬件来实现加密功能,但限制服务提供商对密钥材料的访问。根据部署情况,本机加密可以允许使用硬件安全模块、第三方密钥管理工具、访问管理和日志记录,或其他密钥代理功能。这为客户提供了许多潜在的好处,首先也是最明显的是,对数据的任何访问都需要客户参与,包括执法机构请求访问数据的地方。同时,这造成了技术障碍,需要客户参与才能授予其他人访问数据的权限。除此之外,客户还有其他好处。例如,它可以帮助企业在考虑更换服务提供商时取回数据。当服务提供商需要终止云计算合同时,如果他们知道客户是唯一有权访问密钥的人,这将确保他们在合同结束后无法再访问数据。同时,对于那些希望确保数据受地域限制的企业,自加密可以帮助实现这一点,即使数据可能位于客户预期之外的其他地区,但客户可以通过密钥所有权来控制数据可访问性的程度.部署考虑基于BYOE的优势,云服务客户的下一个逻辑问题是部署的相对复杂性,即部署BYOE的难易程度以及在什么情况下可用。请注意,并非所有云服务提供商都为其每项服务提供自带加密选项。亚马逊在其AWS密钥管理服务中提供此选项,微软在AzureKeyVault中提供此选项,而Salesforce最近在其Shield产品中提供此选项。在存储空间中,Box和Tresorit等提供商为客户提供了使用自己的密钥的能力。但是,并非所有云服务提供商(尤其是较小的云服务提供商)都部署了此功能。对于需要此功能的企业,他们需要意识到提供此功能的服务提供商的选择可能有限。此外,组织在尝试引入自己的加密部署之前需要了解他们的准备情况。许多企业在加密方面不是很严格,例如密钥管理程序、密钥过期和其他部署。如果您的企业已经面临本地密钥管理方面的挑战,您应该更加谨慎地使用BYOE功能,因为它会造成混乱。此外,组织需要了解其环境中的影子使用情况,因为这会影响本机加密的部署。最后,企业必须确定他们已准备好处理与支持BYOE相关的可用性和后续问题。如果云服务提供商请求密钥来完成特定操作,则企业需要准备支持这一点。企业是否有人员创建服务密钥?企业是否适当限制其内部访问以确保只有授权人员才能创建和访问密钥?这在BYOE的情况下同样重要,因为BYOE驻留在内部密钥管理中。拥有自己的加密有很多价值和灵活性,但需要一些准备才能充分利用它。
