如果你花几分钟时间与技术专家谈论公有云服务，你很快会得出这样的结论：从安全角度来看，云服务是一个挑战。这在一定程度上是因为云本身的性质，让云计算如此强大的原因之一是其技术基础的商品化，这意味着所有事物都是在一定水平的技术堆栈下面，而这种技术堆栈对客户来说是黑盒子。但同时云计算也很强大，企业可重定向其资源，而不需要自己在技术管理方面花费时间和精力，让企业可专注于更有利可图的业务领域。

从安全角度来看，云计算带来一些影响。首先，云计算意味着将技术安全控制操作的责任交给服务提供商，对于受到严格监管的大型企业，这可能是可怕的事情。同时，云计算还可能影响某些控件的操作以及安全性。例如在加密方面，密钥所有权的问题变得非常重要。当企业将密钥管理和操作交给服务提供商时，服务提供商即可访问该密钥，即也可访问密钥保护的数据。

服务提供商可在需要的情况下访问加密数据。例如，当服务提供商收到执法部门访问数据的请求时，他们对访问数据并没有技术屏障，尽管数据被加密。同样地，服务提供商在技术或管理保护（密钥管理、过期或密钥访问）方面的缺陷可能会使数据处于风险之中。

自行加密的优势

因此，现在服务提供商会提供自行加密（BYOE）的选项，有时被称为自带密钥（BYOK）。在此模式下，客户会成为加密密钥的所有者和管理着，而不交给云服务提供商。这让客户可结合服务提供商利用现有密钥管理、加密、存储或其他软件及硬件，以实现加密功能，但限制服务提供商对密钥材料的访问。

根据具体部署，自带加密可允许使用硬件安全模块、第三方密钥管理工具、访问管理及日志记录或其他密钥代理功能。这为客户提供了很多潜在好处，首先最明显的是，数据的任何访问都需要客户参与，包括执法机构请求访问数据的情况。同时，这创建了一个技术屏障，在授予他人访问数据前，都需要客户参与。

除此之外，自带加密还给客户带来其他好处。例如，当企业考虑更换服务提供商时，它可帮助企业取回自己的数据。当服务提供商需要解除云计算合同时，如果他们知道客户是唯一可访问密钥的人，这可确保在合同终止后他们不能再访问数据。同时，对于那些希望确保对数据进行地理限制的企业，自行加密可帮助实现这一点，即使数据可能会在客户意料之外的其他地区，但客户可通过密钥所有权来控制数据可访问程度。

部署注意事项

基于BYOE的优势，对于云服务客户来说，下一个逻辑问题是部署的相对复杂性，即部署BYOE的难易程度以及在何种情况下可用。

请注意，并非所有云服务提供商都为其每项服务提供自带加密选项。亚马逊在AWS密钥管理服务中提供该选项，而微软在Azure Key Vault中提供，此外，Salesforce最近在其Shield产品中提供该功能。在存储领域，Box和Tresorit等提供商为客户提供此功能以利用自己的密钥。然而，并非所有云服务提供商（特别是小型提供商）都已经部署此功能。对于需要该功能的企业来说，他们需要认识到的是，提供该功能的服务提供商选择可能有限。

此外，在企业尝试自带加密部署之前，企业需要了解自己的准备情况。对于加密方面（例如密钥管理程序、密钥到期和其他部署），很多企业并不是非常严格。如果你的企业已经在内部部署密钥管理时面临挑战，则应该更加谨慎对待BYOE功能，因为这可能会制造混乱。并且，企业还需要了解其环境中影子使用情况，因为这可能会影响自带加密功能的部署。

最后，企业必须确定自己准备好处理与支持BYOE相关的可用性和后续问题。如果云服务提供商请求密钥来完成特定操作，则企业需要准备好支持这一点。企业是否有人员来创建服务密钥？企业是否适当限制其内部访问，确保只有受允许的人员可创建以及访问密钥？这在BYOE的情况下也同样重要，因为BYOE位于内部密钥管理中。

自带加密可带来巨大的价值和灵活性，但发挥它的最大价值需要一些准备工作。