曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        您需要了解的有關在云中“自帶密鑰”(BYOK)的知識
        發布時間:2020-05-19 14:53:14   閱讀次數:

        您需要了解的有關在云中“自帶密鑰”(BYOK)的知識(圖1)

        跨行業部門的企業正在將IT工作負載和功能轉移到云上,這通常比任何保護敏感數據的策略或一致的功能都要領先。云遷移的優勢(例如規模,敏捷性和基于消耗的定價)令人信服,并且在短期內似乎超過了風險。


        如今,大多數企業IT都是混合的,其中一些工作負載在云中,而某些則托管在企業數據中心中。許多企業正在為所有新的IT功能和業務采用云優先或僅云的方法。借助分散的IT功能,頻繁的并購和影子IT,大多數企業都是多云的,并利用了多個云服務提供商(CSP)。


        數據安全性很少是選擇云服務提供商(CSP)的首要考慮因素。諸如GDPRCCPA之類的嚴格的新數據隱私法規的出現,推動了CISO在更復雜的跨地區混合IT生態系統中更有效地解決數據保護和數據治理的需求。


        CISO正尋求其CSP尋求數據安全解決方案,但正在為所提供的一系列混亂的安全模型和服務而苦苦掙扎。


        好消息是,即使CSP都意識到了對以數據為中心的安全性的日益增長的需求,并開始在此領域提供新功能。三大CSP(Amazon Web服務(AWS),Google Cloud Platform(GCP)和Microsoft Azure)提供密鑰代理/密鑰管理服務(KMS),AWS KMS、GCP KMS和Cloud HSM服務。


        這是您的團隊需要了解的以數據為中心的新安全功能,包括在云時代使用自己的密鑰(BYOK)。


        CSP的密鑰管理服務

        CSP提供本機密鑰管理、加密和硬件安全模塊(HSM)服務。這些安全服務通常是作為現有堆棧之上的一層添加的。由于對客戶日益關注的數據安全性問題的最新認識,他們之所以進行事后補救,并不是企業級的。


        有了多云,CSP安全產品固有的挑戰包括一致性、同質性、覆蓋范圍、客戶控制和所有權、功能、可伸縮性、性能、可見性等方面的缺陷。最重要的是,密鑰管理和供應商鎖定存在更大的挑戰。


        隨著企業從僅遵從法規過渡到安全的過渡,他們將專注于以數據為中心的安全服務,這些安全服務可在休息,運輸和使用中持續保護其敏感數據。他們將選擇這種方法,而不是跨存儲和數據庫的服務器端或透明加密服務,因為這些服務幾乎沒有提供實際的安全性。


        KMS通常公開用于管理密鑰和機密的API 。所有三大CSP的密鑰管理或中介的前提是使用主密鑰和工作密鑰模型。主密鑰通常稱為客戶主密鑰(CMK),從不離開KMS應用程序,也不用于批量保護敏感數據。


        相反,CMK通常用于生成工作密鑰和/或加密工作密鑰或其他機密,并因此用作密鑰加密密鑰(KEK)。工作密鑰是數據加密密鑰(DEK),應用程序使用它們來加密/解密實際的敏感數據。


        AWS和GCP使用對稱(AES-256)CMK,但是Azure僅使用非對稱(RSA-2048,-3072,-4096)密鑰對,并將私鑰存儲在其KMS中。


        CMK可以由軟件管理,也可以存儲在CSP控制的FIPS兼容HSM中。就客戶控制和可見性而言,主密鑰管理有不同的模型:

        • 客戶管理的主密鑰:客戶可以查看密鑰元數據并管理密鑰

        • CSP管理的主密鑰:客戶可以查看密鑰元數據,但不能管理密鑰

        • CSP擁有的主密鑰:客戶既不能查看密鑰元數據,也不能管理密鑰


        Cloud HSM是一項服務,通過該服務,密鑰可以由CSP托管和管理的FIPS 140-2兼容HSM生成并存儲在其中。與基于KMS的加密模型相比,此模型可提供更高的吞吐量。這些HSM提供了PKCS#11標準API規范的子集,這些子集可以直接公開,也可以通過KMS接口公開,以利用KMS現有的其他云服務集成。


        一個重要的警告是,這些CSP加密服務在特定的物理位置(稱為區域)中可用。即使這些服務可用,也不能保證跨區域集成和跨CSP區域的密鑰的可用性。另外,某些CSP并未指定其FIPS 140-2符合性級別。


        帶上自己的密鑰(Bring Your Own Key)

        CSP還允許客戶選擇導入他們自己的密鑰材料。通過BYOK模型,客戶可以自己生成密鑰(通常使用本地HSM)并將其上載到CSP的KMS。通常,客戶需要從CSP下載證書以及導入令牌。


        客戶生成的對稱密鑰使用綁定到下載證書的公共密鑰進行加密。然后將加密的對稱密鑰以及CSP令牌或密鑰材料的哈希值上載到CSP KMS。令牌/哈希用于身份驗證和完整性目的。在某些BYOK實施中,CSP在上載之前要求填充和Base64編碼的加密密鑰。

        您需要了解的有關在云中“自帶密鑰”(BYOK)的知識(圖2)

        BYOK真正給您帶來什么

        當CSP提供BYOK選項時,它將帶來增強的安全性和控制力的感覺。但是更深入地了解BYOK模型表明,該模型僅應用于跨CSP的密鑰層次結構的不同層,客戶不必控制實際保護數據的密鑰。換句話說,BYOK應用于主密鑰或KEK,而客戶幾乎永遠不會導入實際用于數據加密的DEK。


        一些CSP具有關鍵層次結構,其中DEK位于最低層,一個或多個KEK位于上面。其中一個CSP甚至僅在此層次結構的第四層提供BYOK,這意味著其他三個密鑰(第二級KEK,第一級KEK和DEK)由CSP擁有。


        不管提供BYOK的密鑰層次結構如何,CSP仍然可以控制下面的所有密鑰。由CSP創建并出售給企業的看法是,引入加密密鑰的選項可以提供控制,而實際上卻沒有。 


        BYOK可以解決有關密鑰類型和強度(AES?256與AES-128或3DES),密鑰生成源(HSM與軟件)的問題,并且可以方便地用于企業審核過程。但是,當將密鑰上傳到CSP KMS時,不應認為客戶完全控制和獨占了那些密鑰。


        從密鑰輪換的角度來看,BYOK解決了企業策略要求。由于企業不能輪換擁有CSP的DEK和KEK,因此可以輪換BYOK-KEK,這滿足了審核和合規性要求。對于Office 365之類的SaaS產品,Microsoft在其中利用了基于Azure Key Vault的密鑰,將BYOK選項應用于Vault密鑰層次結構中的最高密鑰,這就是輪換的方法。


        一個例子:


        DEK最佳做法和關注點

        對于跨CSP的基礎架構和平臺即服務產品部署的客戶開發的應用程序,CSP提供了有關DEK使用的一些常見最佳實踐。例如,他們鼓勵為每個數據元素使用唯一密鑰,無論它是由KMS還是由云HSM生成的。無論是針對DEK的每個應用程序請求(GenerateDataKey)都會生成一個新的/唯一的密鑰(對于AWS而言)還是該密鑰是由應用程序本地生成(例如在Azure和GCP中),都是這種情況。


        在這兩種情況下,建議使用安全存儲在KMS或云HSM中的KEK加密DEK,并在寫操作期間將加密的DEK與加密的數據一起存儲。這稱為信封加密模型,并且此最佳實踐的前提是,這意味著不需要旋轉DEK。 


        但是,即使為特定的數據類型為每個數據元素生成唯一的密鑰,也可能導致大量的密鑰。每次生成密鑰以加密數據也會增加該過程的開銷,從而影響性能。


        讓開發人員經常在應用程序層生成和管理DEK(這本身就是一種風險),這意味著他們在數據類型和環境之間使用相同或共享的密鑰。在這種情況下,DEK傾向于持久存在,因此容易受到損害,因此需要旋轉。


        通過對稱加密服務的典型實現,每n年進行一次DEK輪換可能會導致重新加密所有數據的繁重需求。在KEK級別上定期旋轉可避免這種情況,并且易于執行。但是,這種方法無法為DEK受損的企業提供幫助。


        為了在DEK級別處理密鑰輪換,企業應考慮使用可用的替代加密和密鑰管理解決方案,這些解決方案可簡化DEK輪換而不涉及對數據進行批量重新加密。


        何時考慮CSP加密服務和BYOK 

        當企業使用SaaS來存儲或處理敏感數據時,他們將面臨獨特的挑戰。SaaS提供商為定制開發提供的替代方案很少或沒有替代方案,因此企業通常在數據安全性上只能使用很少的選擇。


        一種選擇是利用加密網關,該網關充當Web代理,以在將敏感數據存儲到SaaS云之前對其進行攔截和保護。另一個選擇是利用SaaS提供商的加密功能(如果可用)。


        一些SaaS提供商也提供BYOK。在這些情況下,采用BYOK模型是有意義的。大多數SaaS提供程序默認情況下都實現平臺級加密(數據庫,存儲),并且通常還提供額外費用的字段級加密服務。這些允許您選擇要保護的字段,加密算法和要使用的密鑰強度,以及是否使用提供商生成的密鑰或BYOK。


        選擇此類SaaS提供商的以數據為中心的加密服務無疑會增加安全性。在密鑰管理空間中進行某些控制的一種方法是將BYOK添加到組合中,即使上述挑戰繼續存在,這也有助于滿足某些合規性和審核要求。


        簡而言之,如果您不能將自己的加密帶到云中,至少要帶上自己的密鑰。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精