BYOK是客户进到云数据加密王国的钥匙

2021-03-02 19:07


BYOK是客户进到云数据加密王国的钥匙


BYOK是客户进到云数据加密王国的钥匙 诸如AWS和Azure这样的公共性云供货商们所出示的BYOK选项让客户可以更多地操纵她们的数据信息数据加密密匙,但这样做也是必须努力1定成本的。

诸如AWS和Azure这样的公共性云供货商们所出示的BYOK选项让客户可以更多地操纵她们的数据信息数据加密密匙,但这样做也是必须努力1定成本的。

公共性云供货商们正在推出新的服务,这些新服务可以让顾客应用她们自身的密匙来集成化数据加密作用。这样做将有助于保证做到非常高水平的数据信息安全性级别,即乃至于考虑最刻薄的业务流程与管控规定。

让大家近间距地研究1下这个可以让客户 应用她们自身密匙 (BYOK)的公共性云数据加密新服务吧,自然也来剖析1下其潜伏的优缺陷。

难题:甚么是BYOK?应用它必须努力些甚么?

数据加密技术性依然是保证比较敏感数据信息遗失、被盗或乃至是政府部门窥视的最好总体性技术性。可是数据加密密匙的管理方法一般必须有关公司客户对她们的公共性云供货商执行1定水平的对策 这也是被许多公司所回绝的1个规定。针对全面选用公共性云的公司客户来讲,数据加密务必是无缝拼接的,它必须对公司內部的密匙执行全遮盖操纵。

新出現的 应用你自身的数据加密 (BYOE)和BYOK能够处理上述这些难题。BYOE方式容许客户在公共性云案例中应用她们自身的数据加密手机软件,数据加密手机软件将与客户的工作中负载1起运作。这样1来,公司客户的数据加密专用工具就可以够做为1项服务在云中运作,那末在把数据信息写入云供货商的储存資源以前便可以对工作中负载中的比较敏感数据信息应用数据加密服务。

BYOK方式与之相近,可是它常常应用云供货商的当地数据加密服务,比如256位高級数据加密规范。可是,数据加密密匙是根据客户自有硬件配置的,从而建立1个统1的密匙管理方法系统软件。应用数据加密服务的客户能够自主操纵密匙的建立、储存和管理方法。

在执行BYOE或BYOK技术性以前,依然有1些潜伏的评定难题。比如,密匙管理方法变为了公司客户应用公共性云的1个重要全过程;假如当地密匙遗失或忘却,那末云供货商就已不可以对已数据加密文档开展解密。

难题:哪些公共性云供货商适用BYOK?

亚马逊互联网服务(AWS)出示了数据加密作用,可是客户还可以在AWS密匙管理方法服务(KMS)中转化成密匙或从1个內部布署密匙管理方法系统软件中将密匙导入KMS。1旦密匙导入KMS,公司客户便可以应用密匙对运用程序流程数据信息和与别的集成化AWS服务互换的数据信息开展数据加密,可是密匙始终不容易离去KMS。

客户能够根据AWS管理方法操纵台和根据传送层安全性协议书的指令行页面和API来浏览KMS。

别的的公共性云供货商们则适用BYOK方式。比如,微软企业对储存数据信息出示了Azure储存服务数据加密,并为.NET Nuget数据信息包应用Azure储存顾客端库以完成顾客端数据加密。这些都取决于Azure的密匙服务。

谷歌云服务平台还将提升密匙管理方法作用,以容许应用者为诸如谷歌云储存和谷歌测算模块这样的服务出示她们自身的密匙。考虑到执行多云执行的公司客户理应紧密关心不一样密匙管理方法服务之间的适配性差别。

难题:是不是会对BYOK主题活动开展系统日志纪录或财务审计?

系统日志纪录是数据加密和密匙应用服务的关键构成一部分。正如客户必须数据加密服务以完成数据信息在公共性云中的储存1样,系统日志纪录和系统日志管理方法是保证合规性必不能少的对策。

比如,AWS会纪录AWS CloudTrail系统日志中的全部密匙应用纪录,在其中包含根据API对KMS的浏览。客户能够浏览这些系统日志纪录以明确哪些密匙被应用了,这些系统日志纪录将涉及到实际的客户和应用这些密匙的别的AWS服务。CloudTrail系统日志被储存在1个数据加密的亚马逊简易储存服实干例中,客户能够依据具体必须对其开展浏览。

客户还能够应用诸如亚马逊CloudWatch这样的服务来监管密匙应用状况并收集与KMS有关的指标值便于于开展对于性评定。CloudWatch能够将所收集的指标值数最多储存两周,从而让客户可以获得1个有关密匙和数据加密应用状况的短期内历史时间数据信息汇总。客户能够根据AWS管理方法操纵台或亚马逊CloudWatch API来查询CloudWatch的指标值。

公司客户还能够完成数据加密监管与系统日志纪录的全自动化。可是,仅有在公司客户十分确立监管总体目标、观查最有关的指标值和在工作中应用正确专用工具时,数据加密监管和系统日志纪录才是有利的。

难题:BYOK是不是考虑任何公认的合规性规范?

简易好用供货商的数据加密和密匙管理方法服务其实不足以考虑合规性规定,比如身心健康商业保险携带与义务法令(HIPAA)或PCI DSS。在客户宣布应用云供货商所出示的服务前,供货商们将会还必须证实她们遵循了公认的合规性规范。在执行任何方式的公共性云以前,客户都应查询供货商针对公认规范的适用状况。

比如,AWS适用SOC,在其中包含SOC 1、SOC 2 和 SOC 3。另外, AWS还根据了ISO 9001、ISO 27017、ISO 27018 和PCI DSS1级。 这代表着,假如客户的公司选用了个人信用卡解决程序流程并选用了PCI DSS规范,那末AWS将会是1个能够接纳的供货商。与此另外,AWS还在接纳联邦信息内容解决规范140⑵的评定,该规范被用做美国政府部门的安全性规范。

相比之下,谷歌适用SOC 2、SOC 3、ISO 27001、ISO 27017、ISO 27018 和 PCI DSS 3.1等规范;谷歌App模块运作适用FedRamp规范;测算模块云储存、Cloud SQL、Genomics和BigQuery都遵循HIPAA合规性规范。谷歌还适用欧盟数据信息维护命令;鉴证业务流程规则公示16号(SSAE16);和鉴证业务流程国际性规范(ISAE 3402 Type II)的确保规范。

假如云供货商没法遵循规范,或有关规范被撤消,那末客户将会迫不得已终止应用这些 不然有关风险性也是不符合规性规定的。针对公司来讲,这就为云供货商关联管理方法提升了1个关键的考虑到层面。



扫描二维码分享到微信

在线咨询
联系电话

020-66889888