企业安全性的基本原则是健壮的密钥管理,并确保无论数据驻留在哪里,关键数据都通过管理良好的加密过程得到保护。
企业必须始终对端到端的安全基础架构承担责任和控制,这一要求随着云的出现而变得越来越复杂。由于使用加密密钥来解锁数据,因此企业必须保持对密钥的控制,并具有不透气的保护措施,以防止它们受到任何形式的破坏。
多云使用趋势
在过去的一年中,我们看到越来越多的组织,尤其是金融服务组织,将其数据迁移到云中。向更广泛接受基于云的加密和密钥管理的趋势将继续加速。
企业通常利用来自应用程序和组织单位的多个云来实现多样化并满足要求和法规。
随着企业将更多的计算工作负载移至公共云,加密密钥管理的重要性日益提高。企业希望云提供商能够维护包括加密API在内的强大的密钥管理服务。
每个云提供商都拥有自己的API集和用于传输密钥的加密方法,这增加了管理的复杂性。结果,用于管理密钥的过程,过程和方法在整个云中是不同的,不仅是从API的角度来看,还是从体系结构和过程的角度来看。
公共云供应商(包括AWS,Google Cloud Platform和Microsoft Azure)在数据访问,密钥管理和数据保留策略方面取得了长足的进步,但是目前还没有“万能的”。
对于组织而言,保持对密钥的控制为什么很重要?
监管问题。通常,组织需要维护所有应用程序使用的所有密钥的托管,特别是在某些高风险环境(包括PCI,FDIC和HIPAA)范围内的应用程序
跨多个云提供商的多个位置。应用程序和数据可能会散布
同步。通过维护密钥的所有权和托管,组织可以确保多个云提供商之间的同步
一种流行的方法是自带密钥(BYOK),它使组织可以使用自己的密钥(在云提供商的保险库中维护)对云服务内的数据进行加密,同时仍继续利用云提供商的本机加密服务来保护其数据。
密钥是在本地或云硬件安全模块(HSM)中生成,托管,旋转和淘汰的。最佳实践是使用FIPS 140-2 3级HSM来更全面地解决合规性和报告要求。
BYOK提供了增强的控制能力,同时还具有在多云环境中放大的其他密钥管理职责:每个组织都应维护直接在企业或云中使用的所有密钥的清单。为了促进这项工作,与云提供商基础架构本地集成的最新企业密钥管理系统变得可用,可以节省时间和金钱,同时确保一致的密钥管理实践。
在探索密钥管理解决方案的使用时,请确保您遵循最佳实践,以通过多云生态系统集中和简化密钥管理功能:
整体的。使用密钥管理系统,该系统可以管理企业密钥和云密钥。将此管理集中在一个高度可用的冗余系统中,该系统可以满足组织中密钥管理的所有用例。这将减少密钥泄露的风险,并允许组织对密钥清单有一个整体的了解。
验证。将密钥存储在经过FIPS 140-2 3级认证的设备中;如果管理任何类型的PCI数据,PCI HSM均已验证。
集中。确保您使用的是与所有需要的云提供商集成的集中式系统。
组织应向其云提供商提出的问题:
您是否使用BYOK技术提供外部密钥管理?
您是否提供一种使云密钥管理系统直接与外部密钥管理系统联系以进行加密操作的方法?
如何保持对密钥的完全控制?
流程和策略是否一致,以便我们可以最小化对IT组织的影响?
随着我们进入2021年,信息安全行业正朝着更多的选择和灵活性发展。当涉及到云时,组织越来越多地获得对其密钥的更多控制,甚至可以从一个云提供商转移到另一个云提供商。
无论是管理工作负载,处理突发事件,提供灾难恢复,保持数据静止还是满足审计要求,拥有强大的密钥管理系统作为您的安全基础架构的一部分都是至关重要的,尤其是在多云的世界中。
