【51CTO.com快譯】

最近聯邦調查局與蘋果公司之間有關數據隱私的論戰再次將這個備受爭議的問題擺在了公眾意識的面前。事實上,數據隱私和網絡安全問題也是美國總統選舉中的重點討論問題,尤其是在指控一些國家決策者密謀影響選舉結果的時候。

雖然公眾可以借此讓自己在數據隱私問題上接受強化教育,但是要知道技術提供商們實際上在過去已在這個問題上已經多次“犯規”過了。事實上,隨著企業客戶的市場需求增加,多個云提供者包括亞馬遜、谷歌,Salesforce已經擴展他們的加密功能到了客戶持有的加密密鑰或稱Bring-Your-Own-Keys(BYOK)領域。

以前,這些云提供商不但進行數據加密而且對加密密鑰保留控制權。如今，通過允許企業自行管理密鑰,云服務提供商正在向客戶引入另一種保證數據安全和隱私的方式。

1. 控制政府對公司數據的訪問

為了應對政府可能數據請求，企業選擇對云中的數據用其自行管控的密鑰進行加密。而云服務提供商則為了定期回應政府機構的抽查,他們依法被迫在客戶不知情的情況下提供出用戶數據。

在2016年上半年,谷歌報告顯示收到過近45000個請求以尋求超過76000的帳戶信息。在Twitter的透明度報告中,也提及他們已收到過2871次請求,該請求的數量較去年增加了40%。云服務提供商若持有加密密鑰則可以完全的訪問所有客戶的數據平臺。而由企業自行管理的密鑰時,他們能獲悉政府的數據請求,并且可以選擇他們自己的方式來應對。

2. 規范密鑰管理的過程

通過自行管理他們的鑰匙,企業可以更好地保護他們的數據并提高合規性。通過制定和執行內部的密鑰流轉使用策略,企業可以通過模擬密鑰丟失、被損壞或是持有主密鑰的員工離開公司等場景，以確保他們的數據安全性。選擇適當的密鑰管理策略也能讓企業更好的遵守行業規范。例如,PCI規范就建議公司至少一年要流轉使用其密鑰一次。

3. 預防云服務管理員的瀆職行為

認識到云提供商可能出現的類似“斯諾登”的風險后,企業正在尋找方法來提高對“流氓”管理員的防御。當云服務提供商用他們自己的密鑰加密數據時,就潛在著管理員濫用特權進行未經授權的訪問的可能性。而客戶用自己的密鑰加密數據時,這種風險會隨著云服務員工只有訪問到已被加密數據而降低了許多。

在過去,云服務提供商禁用了諸如搜索和排序等功能，因此客戶自行加密和服務方案能力都受到了限制。但是密碼學的進步，提供了在保留最終用戶各項功能的同時的多種加密數據的方式。這使得像Salesforce，Box和亞馬遜之類的公司能為他們客戶提供BYOK的選項。

4. 維護客戶數據的保密性

像律師事務所和咨詢公司，他們受嚴格的客戶保密協議的制約,對采用云服務往往是天生抵觸的。因為如果這樣做，他們可能會暴露其數據而任由第三方所訪問。但是如果他們通過用自己的密鑰去加密他們的云端數據,這些公司便可以限制只有經過授權的用戶才能訪問。如此，他們在踐行其保密承諾的同時，又能享受到利用云服務所帶來的好處。

5. 符合數據保護的法律和法規

有許多法律和法規涉及到個人數據保護和健康數據，它們都提及了各組織應該實施適當的安全措施來降低風險。部分甚至認為加密是一種積極的部署防御方式。例如,新的歐盟通用數據保護規則就具體建議到：加密可以降低風險。它還指出,當被加密的個人信息暴露時,因為數據不能被第三方所訪問到，所以并不觸發事件通知的要求。

隨著云的使用正以指數級在增長著,企業越來越多地使用云訪問安全代理(CASBs)來加固云中的數據及其使用。CASBs作為用戶和云服務之間的控制點提供了云端活動的可見性、踐行了合規性、檢測來自內部的威脅和賬戶被盜，并且使用訪問控制和加密來保護數據。

對于使用自己的密鑰來加密云端數據的公司來說,CASBs充當的是密鑰的代理,它能和公司的密鑰管理服務器集成，促進密鑰向云服務提供商的安全傳輸，而無需人工干預。最近的一個例子就是Skyhigh與Salesforce協作，并將‘Bring Your Own Key’的能力引入其提供的保護范疇。作為密鑰代理，Skyhigh可使客戶能在跨多個Salesforce的組織域內流轉使用密鑰。此功能減少了管理的開銷,降低了人為錯誤,并確保在Salesforce云中的公司數據得以保護。

原文標題：5 Reasons to Maintain Control of Your Keys When Encrypting Data in the Cloud，作者：Suhaas Kodagali

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】