對(duì)企業(yè)來(lái)說(shuō),云端自行加密是可行之道嗎?
如果你花幾分鐘時(shí)間與技術(shù)專家談?wù)摴性品?wù),你很快會(huì)得出這樣的結(jié)論:從安全角度來(lái)看,云服務(wù)是一個(gè)挑戰(zhàn)。這在一定程度上是因?yàn)樵票旧淼男再|(zhì),讓云計(jì)算如此強(qiáng)大的原因之一是其技術(shù)基礎(chǔ)的商品化,這意味著所有事物都是在一定水平的技術(shù)堆棧下面,而這種技術(shù)堆棧對(duì)客戶來(lái)說(shuō)是黑盒子。但同時(shí)云計(jì)算也很強(qiáng)大,企業(yè)可重定向其資源,而不需要自己在技術(shù)管理方面花費(fèi)時(shí)間和精力,讓企業(yè)可專注于更有利可圖的業(yè)務(wù)領(lǐng)域。
從安全角度來(lái)看,云計(jì)算帶來(lái)一些影響。首先,云計(jì)算意味著將技術(shù)安全控制操作的責(zé)任交給服務(wù)提供商,對(duì)于受到嚴(yán)格監(jiān)管的大型企業(yè),這可能是可怕的事情。同時(shí),云計(jì)算還可能影響某些控件的操作以及安全性。例如在加密方面,密鑰所有權(quán)的問(wèn)題變得非常重要。當(dāng)企業(yè)將密鑰管理和操作交給服務(wù)提供商時(shí),服務(wù)提供商即可訪問(wèn)該密鑰,即也可訪問(wèn)密鑰保護(hù)的數(shù)據(jù)。
服務(wù)提供商可在需要的情況下訪問(wèn)加密數(shù)據(jù)。例如,當(dāng)服務(wù)提供商收到執(zhí)法部門(mén)訪問(wèn)數(shù)據(jù)的請(qǐng)求時(shí),他們對(duì)訪問(wèn)數(shù)據(jù)并沒(méi)有技術(shù)屏障,盡管數(shù)據(jù)被加密。同樣地,服務(wù)提供商在技術(shù)或管理保護(hù)(密鑰管理、過(guò)期或密鑰訪問(wèn))方面的缺陷可能會(huì)使數(shù)據(jù)處于風(fēng)險(xiǎn)之中。
自行加密的優(yōu)勢(shì)
因此,現(xiàn)在服務(wù)提供商會(huì)提供自行加密(BYOE)的選項(xiàng),有時(shí)被稱為自帶密鑰(BYOK)。在此模式下,客戶會(huì)成為加密密鑰的所有者和管理著,而不交給云服務(wù)提供商。這讓客戶可結(jié)合服務(wù)提供商利用現(xiàn)有密鑰管理、加密、存儲(chǔ)或其他軟件及硬件,以實(shí)現(xiàn)加密功能,但限制服務(wù)提供商對(duì)密鑰材料的訪問(wèn)。
根據(jù)具體部署,自帶加密可允許使用硬件安全模塊、第三方密鑰管理工具、訪問(wèn)管理及日志記錄或其他密鑰代理功能。這為客戶提供了很多潛在好處,首先最明顯的是,數(shù)據(jù)的任何訪問(wèn)都需要客戶參與,包括執(zhí)法機(jī)構(gòu)請(qǐng)求訪問(wèn)數(shù)據(jù)的情況。同時(shí),這創(chuàng)建了一個(gè)技術(shù)屏障,在授予他人訪問(wèn)數(shù)據(jù)前,都需要客戶參與。
除此之外,自帶加密還給客戶帶來(lái)其他好處。例如,當(dāng)企業(yè)考慮更換服務(wù)提供商時(shí),它可幫助企業(yè)取回自己的數(shù)據(jù)。當(dāng)服務(wù)提供商需要解除云計(jì)算合同時(shí),如果他們知道客戶是唯一可訪問(wèn)密鑰的人,這可確保在合同終止后他們不能再訪問(wèn)數(shù)據(jù)。同時(shí),對(duì)于那些希望確保對(duì)數(shù)據(jù)進(jìn)行地理限制的企業(yè),自行加密可幫助實(shí)現(xiàn)這一點(diǎn),即使數(shù)據(jù)可能會(huì)在客戶意料之外的其他地區(qū),但客戶可通過(guò)密鑰所有權(quán)來(lái)控制數(shù)據(jù)可訪問(wèn)程度。
部署注意事項(xiàng)
基于BYOE的優(yōu)勢(shì),對(duì)于云服務(wù)客戶來(lái)說(shuō),下一個(gè)邏輯問(wèn)題是部署的相對(duì)復(fù)雜性,即部署B(yǎng)YOE的難易程度以及在何種情況下可用。
請(qǐng)注意,并非所有云服務(wù)提供商都為其每項(xiàng)服務(wù)提供自帶加密選項(xiàng)。亞馬遜在AWS密鑰管理服務(wù)中提供該選項(xiàng),而微軟在Azure Key Vault中提供,此外,Salesforce最近在其Shield產(chǎn)品中提供該功能。在存儲(chǔ)領(lǐng)域,Box和Tresorit等提供商為客戶提供此功能以利用自己的密鑰。然而,并非所有云服務(wù)提供商(特別是小型提供商)都已經(jīng)部署此功能。對(duì)于需要該功能的企業(yè)來(lái)說(shuō),他們需要認(rèn)識(shí)到的是,提供該功能的服務(wù)提供商選擇可能有限。
此外,在企業(yè)嘗試自帶加密部署之前,企業(yè)需要了解自己的準(zhǔn)備情況。對(duì)于加密方面(例如密鑰管理程序、密鑰到期和其他部署),很多企業(yè)并不是非常嚴(yán)格。如果你的企業(yè)已經(jīng)在內(nèi)部部署密鑰管理時(shí)面臨挑戰(zhàn),則應(yīng)該更加謹(jǐn)慎對(duì)待BYOE功能,因?yàn)檫@可能會(huì)制造混亂。并且,企業(yè)還需要了解其環(huán)境中影子使用情況,因?yàn)檫@可能會(huì)影響自帶加密功能的部署。
***,企業(yè)必須確定自己準(zhǔn)備好處理與支持BYOE相關(guān)的可用性和后續(xù)問(wèn)題。如果云服務(wù)提供商請(qǐng)求密鑰來(lái)完成特定操作,則企業(yè)需要準(zhǔn)備好支持這一點(diǎn)。企業(yè)是否有人員來(lái)創(chuàng)建服務(wù)密鑰?企業(yè)是否適當(dāng)限制其內(nèi)部訪問(wèn),確保只有受允許的人員可創(chuàng)建以及訪問(wèn)密鑰?這在BYOE的情況下也同樣重要,因?yàn)锽YOE位于內(nèi)部密鑰管理中。
自帶加密可帶來(lái)巨大的價(jià)值和靈活性,但發(fā)揮它的***價(jià)值需要一些準(zhǔn)備工作。
