企业正在将比以往更多的数据移动到云中,跨越各种不同的服务模型类型。随着数据迁移到云中的敏感性和重要性增加,安全专业人员正在积极寻求使用他们多年来一直在其数据中心使用的加密技术来保护这些数据。值得信赖的技术。然而,在某些情况下,这个目标并不容易实现,或者需要一些不同的方法和工具,特别是对于加密密钥管理。在本文中,我们将探索当今云加密密钥管理的一些状态。云计算密钥管理:有何区别?企业数据中心密钥管理与云计算密钥管理的主要区别在于密钥的所有权和管理。在传统数据中心中,所有关键管理功能和工具均由内部IT运营团队配置和维护。在云计算环境中,可以使用密钥共享模型或完全由提供商管理和维护。云计算密钥管理程序在很大程度上取决于几个因素。在某些情况下,所使用的云计算服务类型将决定可用的密钥管理类型。IaaS云计算维护内部密钥管理,用于对虚拟机映像模板进行数字签名。使用公钥基础设施(PKI)签署API命令和授权访问虚拟机映像。这种结构中的私钥需要由云计算消费者维护,这些密钥可以保存在传统的密钥管理平台中。对于PaaS和SaaS云计算服务模式,大部分密钥管理功能由云计算提供商内部管理,用于访问应用程序和系统的私钥可以分发给消费者,方便访问数据、应用程序等云计算资源或数据库。在公钥部署中,密钥管理和安全是共享的,即密钥分发给消费者的控制权在消费者自己。所有其他密钥管理的责任主要由提供者承担。对于混合云计算,密钥管理也很可能是共享的,而私有云计算通常在内网环境中配备密钥管理工具和程序。云计算密钥管理:向供应商询问哪些问题对于需要供应商管理的加密密钥管理的云计算服务,业务用户应该向供应商询问有关供应商密钥管理安全程序和控制的哪些问题?首先,服务提供商应该明确他们用来存储密钥的工具和产品的类型。最重要的密钥管理基础设施包括:硬件安全模块或HSM,它允许专用存储设备通过高性能密钥访问执行加密和解密操作。其次,企业需要向云计算提供商询问密钥被访问的对象和方式。从理论上讲,密钥管理不应该完全由一个人控制,任何密钥访问都应该由内部团队中两个或更多可信任的成员共同管理,并且还应该建立深入的审计凭证。企业还应询问提供商如何恢复密钥。目前,很多提供商不允许恢复客户控制的私钥,但如果将来允许恢复,则应严格控制恢复密钥所涉及的程序以及客户恢复私钥请求的批准。***如果服务提供商数据库或应用程序访问需要多个密钥访问,那么您应该询问提供商如何维护每个密钥的控制和分发,以及他们如何确保密钥被正确创建、管理、更新或销毁。在理想的多租户环境中,每个租户都有一个共同管理的单独密钥。然而,许多供应商的架构涉及多个密钥(每个租户一个或多个),然后是特定内部资源的“访问密钥”。在这种情况下,任何主密钥或“访问密钥”的管理都应受到严格控制和记录,并提供任何访问和与这些密钥相关的详细审计凭证。任何共享密钥访问都存在高风险,尤其是当此密钥以任何方式遭到破坏时。云计算密钥管理:新兴技术近日,NIST发布了云计算密钥管理内部白皮书,主要涉及不同云计算服务模式下密钥管理的潜在风险和架构解决方案的细节。市场上出现了许多新产品和服务,以促进云计算中更安全的密钥管理。AmazonWebServices最近发布了其CloudHSM服务,该服务允许企业用户充分利用其云计算环境中的专用硬件设施。另一家密钥管理服务提供商Porticor使用拆分密钥和同态加密,允许系统对加密数据执行数学运算。目前,云加密密钥管理挑战仍然是在云提供商环境中保存敏感数据的主要障碍。然而,云计算提供商和消费者都开始着手解决这个问题。可以想象,在未来一段时间内,密钥管理将成为云计算安全的重点领域。随着权威人士的意见以及知名供应商的产品和服务不断涌现,在云中存储敏感数据势必会变得更容易实施。
