诸如AWS和Azure这样的公共云供应商们所提供的BYOK选项让用户能够更多地控制他们的数据加密密钥,但这样做也是需要付出一定代价的。
公共云供应商们正在推出新的服务,这些新服务能够让客户使用他们自己的密钥来集成加密功能。这样做将有助于确保达到相当高程度的数据安全等级,即甚至于满足最苛刻的业务与监管要求。
让我们近距离地探究一下这个能够让用户“使用他们自己密钥”(BYOK)的公共云加密新服务吧,当然也来分析一下其潜在的优缺点。
问题:什么是BYOK?使用它需要付出些什么?
加密技术仍然是确保敏感数据丢失、被盗或者甚至是政府窥探的最佳整体性技术。但是加密密钥的管理通常需要相关企业用户对他们的公共云供应商实施一定程度的措施——这也是被很多企业所拒绝的一个要求。对于全面采用公共云的企业用户来说,加密必须是无缝的,它需要对企业内部的密钥实施全覆盖控制。
新出现的“使用你自己的加密”(BYOE)和BYOK可以解决上述这些问题。BYOE模式允许用户在公共云实例中使用他们自己的加密软件,加密软件将与用户的工作负载一起运行。这样一来,企业用户的加密工具就能够作为一项服务在云中运行,那么在把数据写入云供应商的存储资源之前就可以对工作负载中的敏感数据使用加密服务。
BYOK模式与之类似,但是它经常使用云供应商的本地加密服务,例如256位高级加密标准。但是,加密密钥是基于用户自有硬件的,从而创建一个统一的密钥管理系统。使用加密服务的用户可以自行控制密钥的创建、存储和管理。
在实施BYOE或BYOK技术之前,仍然有一些潜在的评估问题。例如,密钥管理变成了企业用户使用公共云的一个关键过程;如果本地密钥丢失或遗忘,那么云供应商就不再能够对已加密文件进行解密。
问题:哪些公共云供应商支持BYOK?
亚马逊网络服务(AWS)提供了加密功能,但是用户也可以在AWS密钥管理服务(KMS)中生成密钥或者从一个内部部署密钥管理系统中将密钥导入KMS。一旦密钥导入KMS,企业用户就可以使用密钥对应用程序数据和与其他集成AWS服务交换的数据进行加密,但是密钥永远不会离开KMS。
用户可以通过AWS管理控制台以及基于传输层安全协议的命令行界面和API来访问KMS。
其他的公共云供应商们则支持BYOK模式。例如,微软公司对存储数据提供了Azure存储服务加密,并为.NET Nuget数据包使用Azure存储客户端库以实现客户端的加密。这些都取决于Azure的密钥服务。
谷歌云平台还将加强密钥管理功能,以允许使用者为诸如谷歌云存储和谷歌计算引擎这样的服务提供他们自己的密钥。考虑实施多云实施的企业用户应当密切关注不同密钥管理服务之间的兼容性差异。
问题:是否会对BYOK活动进行日志记录或审计?
日志记录是加密和密钥使用服务的重要组成部分。正如用户需要加密服务以实现数据在公共云中的存储一样,日志记录和日志管理是确保合规性必不可少的措施。
例如,AWS会记录AWS CloudTrail日志中的所有密钥使用记录,其中包括通过API对KMS的访问。用户可以访问这些日志记录以确定哪些密钥被使用了,这些日志记录将涉及具体的用户以及使用这些密钥的其他AWS服务。CloudTrail日志被保存在一个加密的亚马逊简单存储服务实例中,用户可以根据实际需要对其进行访问。
用户还可以使用诸如亚马逊CloudWatch这样的服务来监控密钥使用情况并采集与KMS相关的指标以便于进行针对性评估。CloudWatch可以将所采集的指标最多保存两周,从而让用户能够得到一个关于密钥和加密使用情况的短期历史数据汇总。用户可以通过AWS管理控制台或亚马逊CloudWatch API来查看CloudWatch的指标。
企业用户还可以实现加密监控与日志记录的自动化。但是,只有在企业用户非常明确监控目标、观察最相关的指标和在工作使用正确工具时,加密监控和日志记录才是有益的。
问题:BYOK是否满足任何公认的合规性标准?
简单实用供应商的加密和密钥管理服务并不足以满足合规性要求,例如健康保险携带与责任法案(HIPAA)或PCI DSS。在用户正式使用云供应商所提供的服务前,供应商们可能还需要证明他们遵守了公认的合规性标准。在实施任何形式的公共云之前,用户都应查看供应商对于公认标准的支持情况。
例如,AWS支持SOC,其中包括SOC 1、SOC 2 和 SOC 3。此外, AWS还通过了ISO 9001、ISO 27017、ISO 27018 以及PCI DSS1级。 这意味着,如果用户的企业采用了信用卡处理程序并采用了PCI DSS标准,那么AWS可能是一个可以接受的供应商。与此同时,AWS还在接受联邦信息处理标准140-2的评估,该标准被用作美国政府的安全标准。
相比之下,谷歌支持SOC 2、SOC 3、ISO 27001、ISO 27017、ISO 27018 和 PCI DSS 3.1等标准;谷歌App引擎运行支持FedRamp标准;计算引擎云存储、Cloud SQL、Genomics和BigQuery都遵守HIPAA合规性标准。谷歌还支持欧盟数据保护指令;鉴证业务准则公告16号(SSAE16);以及鉴证业务国际标准(ISAE 3402 Type II)的保证标准。
如果云供应商无法遵守标准,或者相关标准被撤销,那么用户可能不得不停止使用这些云服务——否则相关风险也是不符合合规性要求的。对于企业来说,这就为云供应商关系管理增加了一个重要的考虑方面。