■ 浙江 王勇

編者按：如今越來越多的企業(yè)用戶選擇多云環(huán)境，而在管理云上數(shù)據(jù)安全時陷入困境，在加密云上數(shù)據(jù)后，又該如何安全的管理加密密鑰呢？

隨著云計(jì)算技術(shù)的發(fā)展，云服務(wù)提供商為用戶提供的云服務(wù)也更加成熟。像AWS、Azure以及國內(nèi)的阿里云等云服務(wù)商依靠自身優(yōu)勢，為用戶打造不同功能、各有特色的云平臺解決方案。這些功能通?？梢詾槟承┬袠I(yè)和應(yīng)用賦予實(shí)際的價值，并且有助于使各自的平臺更加具有競爭優(yōu)勢。

同時，在不同云平臺的使用上，對于跨不同公有云服務(wù)也給企業(yè)用戶造成了一個障礙，使用戶無法輕松地從一個云服務(wù)商轉(zhuǎn)移到另一云服務(wù)商，或在多云環(huán)境中有效地管理應(yīng)用。

此外，公有云服務(wù)提供商都有自己完善的加密密鑰管理解決方案，可以將其擴(kuò)展到特定應(yīng)用以增強(qiáng)對用戶的數(shù)據(jù)保護(hù)能力。雖然這種模式給用戶提供了高度的安全性，但另一方面也使企業(yè)用戶失去了對密鑰的控制，同時也失去了能夠輕松遷移到不同云平臺的能力。

許多組織在一開始都傾向于使用單一的云服務(wù)商。但是隨著時間的流逝與業(yè)務(wù)的發(fā)展，他們可能需要托管某些應(yīng)用或訪問僅在某些云上可用的某些服務(wù)。出現(xiàn)這種情況時，往往會選擇遷移到多云環(huán)境，尤其對于業(yè)務(wù)快速拓展的中小企業(yè)而言更是如此。而且從冗余的角度來看，如果在發(fā)生某些突發(fā)狀況時能夠?qū)I(yè)務(wù)從一個云遷移到另一個云，無疑對企業(yè)業(yè)務(wù)損失具有較小影響，因此，多云對于大型企業(yè)非常有吸引力。另外，企業(yè)如果有涉及備份或冗余功能的審核要求的話，也是不能僅考慮由一家供應(yīng)商提供服務(wù)。

此外，如果是云服務(wù)商直接管理用戶的加密密鑰，那么如果沒有適當(dāng)?shù)谋O(jiān)督和控制的話，無疑對用戶的敏感數(shù)據(jù)造成極大安全隱患。而且云服務(wù)商提供的密鑰管理方案是否符合相關(guān)標(biāo)準(zhǔn)規(guī)范，也是用戶需要考慮的重要因素。

使用“自己的”密鑰

為了應(yīng)對這些安全挑戰(zhàn)，云服務(wù)商已經(jīng)引入了對“BYOK”（自帶密鑰）的支持，該功能使企業(yè)用戶可以使用自己的密鑰對云服務(wù)中的數(shù)據(jù)進(jìn)行加密，同時仍可繼續(xù)利用云服務(wù)商提供的加密服務(wù)來保護(hù)其數(shù)據(jù)。

即使使用BYOK，密鑰仍然會存在于云服務(wù)商的密鑰管理服務(wù)中。但由于密鑰現(xiàn)在是在用戶本地硬件安全模塊（HSM）中生成、托管、轉(zhuǎn)換和失效的，因此BYOK可以幫助企業(yè)更充分地滿足合規(guī)性要求。而BYOK的另一個好處是，企業(yè)可以使用足夠的熵源隨機(jī)數(shù)生成加密密鑰，因此可以確保密鑰不被泄露。

盡管BYOK增強(qiáng)了用戶對密鑰的管控能力，但在多云環(huán)境中它也帶來了其他密鑰管理責(zé)任。每個云服務(wù)商都提供自己的API集和用于傳輸密鑰的加密方法。例如AWS是通過AWS管理控制臺（命令行界面）導(dǎo)入密鑰，并通過TLS協(xié)議使用API導(dǎo)入密鑰。Microsoft具有用于存儲靜態(tài)數(shù)據(jù)的Azure存儲服務(wù)加密，以及Azure存儲客戶端庫，并且規(guī)定密鑰必須存儲在Azure密鑰保管庫中。

從根本上說，跨云管理密鑰的過程和方法是完全不同的，不僅是從API的角度來看，而且從體系結(jié)構(gòu)和過程的角度來看，每種方法都需要不同的密鑰管理技術(shù)。而所有這些復(fù)雜性和可變性隨時都會帶來新的風(fēng)險(xiǎn)，任何失誤都可能使用戶關(guān)鍵數(shù)據(jù)被破壞。

挺諷刺的是，我們一開始為數(shù)據(jù)的安全加密問題頭疼，因此采用了密鑰對云中的應(yīng)用數(shù)據(jù)進(jìn)行加密，到頭來卻又要為密鑰的安全問題而頭疼。不過這也有好處，畢竟我們在對龐大的數(shù)據(jù)進(jìn)行安全加密后，不再需要擔(dān)心這些數(shù)據(jù)本身的安全，只需要考慮密鑰管理這一個目標(biāo)而努力，管理成本相對降低了，管理效率得到了提高，所以許多企業(yè)都轉(zhuǎn)向集中式密鑰管理來管理云密鑰的整個生命周期。

BYOK方案

在BYOK方案中，集中式密鑰管理通過用戶管控密鑰，減少了密鑰被暴露的風(fēng)險(xiǎn)，在密鑰管理中具有顯著的優(yōu)勢。

如上所述，即使使用BYOK，企業(yè)仍會將加密密鑰的副本存儲在云服務(wù)商。為了解決這個問題，云服務(wù)商采用開發(fā)特定接口的方式，以允許用戶充分利用外部密鑰管理系統(tǒng)。這不僅使企業(yè)能夠完全管控其密鑰，而且還表明了集中化是在多云環(huán)境中管理加密密鑰的最佳實(shí)踐。

隨著用戶對多云需求的增加，以及在多云環(huán)境中密鑰管理的挑戰(zhàn)，云服務(wù)商也在增強(qiáng)對外部密鑰管理的支持。這些趨勢將允許用戶保留對數(shù)據(jù)和加密密鑰的管控，使跨多云的密鑰管理變得越來越容易。