对企业来说,云端自行加密是可行之道吗?

日期:2016-11-22作者:Ed Moyle

【TechTarget中国原创】

如果您花几分钟时间与技术专家谈论公共云服务,您很快会得出这样的结论:从安全角度来看,云服务是一个挑战。这在一定程度上是因为云本身的性质,让云计算如此强大的原因之一是其技术基础的商品化,这意味着所有事物都是在一定水平的技术堆栈下面,而这种技术堆栈对客户来说是黑盒子。但同时云计算也很强大,企业可重定向其资源,而不需要自己在技术管理方面花费时间和精力,让企业可专注于更有利可图的业务领域。

从安全角度来看,云计算带来一些影响。首先,云计算意味着将技术安全控制操作的责任交给服务提供商,对于受到严格监管的大型企业,这可能是可怕的事情。同时,云计算还可能影响某些控件的操作以及安全性。例如在加密方面,密钥所有权的问题变得非常重要。当企业将密钥管理和操作交给服务提供商时,服务提供商即可访问该密钥,即也可访问密钥保护的数据。

服务提供商可在需要的情况下访问加密数据。例如,当服务提供商收到执法部门访问数据的请求时,他们对访问数据并没有技术屏障,尽管数据被加密。同样地,服务提供商在技术或管理保护(密钥管理、过期或密钥访问)方面的缺陷可能会使数据处于风险之中。

自行加密的优势

因此,现在服务提供商会提供自行加密(BYOE)的选项,有时被称为自带密钥(BYOK)。在此模式下,客户会成为加密密钥的所有者和管理着,而不交给云服务提供商。这让客户可结合服务提供商利用现有密钥管理、加密、存储或其他软件及硬件,以实现加密功能,但限制服务提供商对密钥材料的访问。

根据具体部署,自带加密可允许使用硬件安全模块、第三方密钥管理工具、访问管理及日志记录或其他密钥代理功能。这为客户提供了很多潜在好处,首先最明显的是,数据的任何访问都需要客户参与,包括执法机构请求访问数据的情况。同时,这创建了一个技术屏障,在授予他人访问数据前,都需要客户参与。

除此之外,自带加密还给客户带来其他好处。例如,当企业考虑更换服务提供商时,它可帮助企业取回自己的数据。当服务提供商需要解除云计算合同时,如果他们知道客户是唯一可访问密钥的人,这可确保在合同终止后他们不能再访问数据。同时,对于那些希望确保对数据进行地理限制的企业,自行加密可帮助实现这一点,即使数据可能会在客户意料之外的其他地区,但客户可通过密钥所有权来控制数据可访问程度。

部署注意事项

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Ed Moyle
Ed Moyle

Director of emerging business and technology at ISACA

安全市场趋势>更多

技术手册>更多

  • VPN应用指南

    虚拟专用网络 VPN(Virtual Private Network )能通过公用网络Internet建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。许多公司使用VPN向公司外部的员工提供企业网络接入。本手册将围绕VPN进行全方位的讲解。

  • PCI DSS法规指南

    PCI DSS的所有要求的说明都相当明确,不像萨班斯法案(SOX)的规定。SOX没有提供如何保护信息资产的任何详细指导,而且可以由企业和法规审计单位自由做出不同的解释。然而,企业仍然觉得遵守PCI DSS很难。

  • Nessus指南手册

    假如你正在寻找一个漏洞扫描器,你可能已经遇到了大量的非常昂贵的商业解决方案,这些方案都有一长串的性能和优点。不幸的是,如果你和我们之中大部分人的情况一样的话,你一般根本没有运行这些奇特的系统的预算。你可能已经退而求其次,转向考虑使用像SATAN或Saint的免费工具。然而,你可能觉得使用这些工具是一种折衷的办法,因为它们的性能设置不能与商业解决方案相比。这时候你就应该学会使用Nessus! 2005年12月Nessus背后的公司Tenable Network Security Inc.发布了Nessus 3,引进了对该产品的全面检查。在写这篇文章时候的最近版本,Nessus 3.2是在2008年3月发布的。Nessus现在可以在多种平台上使用,包括Windows、各种版本的Linux、FreeBSD、Solaris和Mac OS X。以下是这次Nessus3中的重大变化: 下面将介绍如何使用Nessus工具以及Nessus工具的更新。

  • 构建安全无线架构

    在本专题中,通过无线网络的转移、如何分割WlAN信息流、VPN的作用、接入点的布置等内容,你可以学到如何构建安全的无线架构,理解Wi-Fi产品的功能,以及如何把传统的有线网络设备和配置应用到无线局域网中。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

如果你花几分钟时间与技术专家谈论公有云服务,你很快会得出这样的结论:从安全角度来看,云服务是一个挑战。这在一定程度上是因为云本身的性质,让云计算如此强大的原因之一是其技术基础的商品化,这意味着所有事物都是在一定水平的技术堆栈下面,而这种技术堆栈对客户来说是黑盒子。但同时云计算也很强大,企业可重定向其资源,而不需要自己在技术管理方面花费时间和精力,让企业可专注于更有利可图的业务领域。

从安全角度来看,云计算带来一些影响。首先,云计算意味着将技术安全控制操作的责任交给服务提供商,对于受到严格监管的大型企业,这可能是可怕的事情。同时,云计算还可能影响某些控件的操作以及安全性。例如在加密方面,密钥所有权的问题变得非常重要。当企业将密钥管理和操作交给服务提供商时,服务提供商即可访问该密钥,即也可访问密钥保护的数据。

服务提供商可在需要的情况下访问加密数据。例如,当服务提供商收到执法部门访问数据的请求时,他们对访问数据并没有技术屏障,尽管数据被加密。同样地,服务提供商在技术或管理保护(密钥管理、过期或密钥访问)方面的缺陷可能会使数据处于风险之中。

自行加密的优势

因此,现在服务提供商会提供自行加密(BYOE)的选项,有时被称为自带密钥(BYOK)。在此模式下,客户会成为加密密钥的所有者和管理着,而不交给云服务提供商。这让客户可结合服务提供商利用现有密钥管理、加密、存储或其他软件及硬件,以实现加密功能,但限制服务提供商对密钥材料的访问。

根据具体部署,自带加密可允许使用硬件安全模块、第三方密钥管理工具、访问管理及日志记录或其他密钥代理功能。这为客户提供了很多潜在好处,首先最明显的是,数据的任何访问都需要客户参与,包括执法机构请求访问数据的情况。同时,这创建了一个技术屏障,在授予他人访问数据前,都需要客户参与。

除此之外,自带加密还给客户带来其他好处。例如,当企业考虑更换服务提供商时,它可帮助企业取回自己的数据。当服务提供商需要解除云计算合同时,如果他们知道客户是唯一可访问密钥的人,这可确保在合同终止后他们不能再访问数据。同时,对于那些希望确保对数据进行地理限制的企业,自行加密可帮助实现这一点,即使数据可能会在客户意料之外的其他地区,但客户可通过密钥所有权来控制数据可访问程度。

部署注意事项

基于BYOE的优势,对于云服务客户来说,下一个逻辑问题是部署的相对复杂性,即部署BYOE的难易程度以及在何种情况下可用。

请注意,并非所有云服务提供商都为其每项服务提供自带加密选项。亚马逊在AWS密钥管理服务中提供该选项,而微软在Azure Key Vault中提供,此外,Salesforce最近在其Shield产品中提供该功能。在存储领域,Box和Tresorit等提供商为客户提供此功能以利用自己的密钥。然而,并非所有云服务提供商(特别是小型提供商)都已经部署此功能。对于需要该功能的企业来说,他们需要认识到的是,提供该功能的服务提供商选择可能有限。

此外,在企业尝试自带加密部署之前,企业需要了解自己的准备情况。对于加密方面(例如密钥管理程序、密钥到期和其他部署),很多企业并不是非常严格。如果你的企业已经在内部部署密钥管理时面临挑战,则应该更加谨慎对待BYOE功能,因为这可能会制造混乱。并且,企业还需要了解其环境中影子使用情况,因为这可能会影响自带加密功能的部署。

最后,企业必须确定自己准备好处理与支持BYOE相关的可用性和后续问题。如果云服务提供商请求密钥来完成特定操作,则企业需要准备好支持这一点。企业是否有人员来创建服务密钥?企业是否适当限制其内部访问,确保只有受允许的人员可创建以及访问密钥?这在BYOE的情况下也同样重要,因为BYOE位于内部密钥管理中。

自带加密可带来巨大的价值和灵活性,但发挥它的最大价值需要一些准备工作。