地  址:江苏省南京市玄武区玄武湖
电  话:4008-888-888
邮  箱:9490489@qq.com
商  务QQ:6759875247
网站建设套餐报价:BYOK是用户进入云加密王国的钥匙
作者:管理员    发布于:2020-06-04 05:54   文字:【】【】【
BYOK是用户进入云加密王国的钥匙 诸如AWS和Azure这样的公共云供给商们所提供的BYOK选项让用户可以更多地管束他们的数据加密密钥,但这样做也是需要支付一定价值的。

诸如AWS和Azure这样的公共云供给商们所提供的BYOK选项让用户可以更多地管束他们的数据加密密钥,但这样做也是需要支付一定价值的。

公共云供给商们正在推出新的效劳,这些新效劳可以让客户利用他们本人的密钥来集成加密功用。这样做将有助于包管达成适当高程度的数据平安等级,即乃至于成全最苛刻的事务与监管要求。

让大家近间隔地根究一下这个可以让用户 利用他们本人密钥 (BYOK)的公共云加密新效劳吧,固然也来分析一下其潜在的优缺点。

问题:什么是BYOK?利用它需要支付些什么?

加密技能依然是包管敏感数据丢掉、被盗或者乃至是政府窥视的最佳全体性技能。可是加密密钥的治理通常需要相关企业用户对他们的公共云供给商施行一定程度的措施 这也是被大量企业所回绝的一个要求。关于全面采用公共云的企业用户来说,加密有必要是无缝的,它需要对企业内部的密钥施行全掩盖管束。

新呈现的 利用你本人的加密 (BYOE)和BYOK能够解决上述这些问题。BYOE模式允许用户在公共云实例中利用他们本人的加密软件,加密软件将与用户的事件负载一块儿运转。这样一来,企业用户的加密东西就可以够当做一项效劳在云中运转,那么在把数据写入云供给商的存储资源之前就能对事件负载中的敏感数据利用加密效劳。

BYOK模式与之相似,可是它常常利用云供给商的本地加密效劳,例如256位高档加密规范。可是,加密密钥是基于用户自有硬件的,从而创立一个统一的密钥治理体系。利用加密效劳的用户能够自行管束密钥的创立、存储和治理。

在施行BYOE或BYOK技能之前,依然有一些潜在的评价问题。例如,密钥治理酿成了企业用户利用公共云的一个要害过程;如果本地密钥丢掉或遗忘,那么云供给商就再也不可以对已加密文件进行解密。

问题:哪些公共云供给商支撑BYOK?

亚马逊网络效劳(AWS)提供了加密功用,可是用户也能够在AWS密钥治理效劳(KMS)中生成密钥或者从一个内部布置密钥治理体系中将密钥导入KMS。一旦密钥导入KMS,企业用户就能利用密钥对应用程序数据和与别的集成AWS效劳交换的数据进行加密,可是密钥永远不会脱离KMS。

用户能够经过AWS治理管束台以及基于传输层平安协定的命令行界面和API来拜访KMS。

别的的公共云供给商们则支撑BYOK模式。例如,微软公司对存储数据提供了Azure存储效劳加密,并为.NET Nuget数据包利用Azure存储客户端库以完成客户真个加密。这些都取决于Azure的密钥效劳。

谷歌云平台还将加强密钥治理功用,以允许利用者为诸如谷歌云存储和谷歌核算引擎这样的效劳提供他们本人的密钥。思考施行多云施行的企业用户该当亲密重视差别密钥治理效劳之间的兼容性区别。

问题:是否会对BYOK蠕动进行日志记载或审计?

日志记载是加密和密钥利用效劳的重要合成局部。正如用户需要加密效劳以完成数据在公共云中的存储一样,日志记载和日志治理是包管合规性必不可少的措施。

例如,AWS会记载AWS CloudTrail日志中的所有密钥利用记载,其间包含经过API对KMS的拜访。用户能够拜访这些日志记载以定夺哪些密钥被利用了,这些日志记载将触及详细的用户以及利用这些密钥的别的AWS效劳。CloudTrail日志被保存在一个加密的亚马逊简单存储效劳实例中,用户能够依据实践需要对其进行拜访。

用户还能够利用诸如亚马逊CloudWatch这样的效劳来监控密钥利用状况并采集与KMS相关的指标以便于进行针对性评价。CloudWatch能够将所采集的指标最多保存两周,从而让用户可以得到一个对于密钥和加密利用状况的短时间前史数据汇总。用户能够经过AWS治理管束台或亚马逊CloudWatch API来查看CloudWatch的指标。

企业用户还能够完成加密监控与日志记载的主动化。可是,惟独在企业用户十分明确监控方针、观察最相关的指标和在事件利用正确东西时,加密监控和日志记载才是有利的。

问题:BYOK是否成全任何公认的合规性规范?

简单实用供给商的加密和密钥治理效劳其实不足以成全合规性要求,例如康健保险携带与职责法案(HIPAA)或PCI DSS。在用户正式利用云供给商所提供的效劳前,供给商们可能还需要证实他们服从了公认的合规性规范。在施行任何情势的公共云之前,用户都应查看供给商关于公认规范的支撑状况。

例如,AWS支撑SOC,其间包含SOC 1、SOC 2 和 SOC 3。此外, AWS还经过了ISO 9001、ISO 27017、ISO 27018 以及PCI DSS1级。 这意味着,如果用户的企业采用了信用卡办理程序并采用了PCI DSS规范,那么AWS多是一个能够承受的供给商。与此同时,AWS还在承受联邦信息办理规范140-2的评价,该规范被用作美国政府的平安规范。

相比之下,谷歌支撑SOC 2、SOC 3、ISO 27001、ISO 27017、ISO 27018 和 PCI DSS 3.1等规范;谷歌App引擎运转支撑FedRamp规范;核算引擎云存储、Cloud SQL、Genomics和BigQuery都服从HIPAA合规性规范。谷歌还支撑欧盟数据包庇指令;鉴证事务制度布告16号(SSAE16);以及鉴证事务国际规范(ISAE 3402 Type II)的保证规范。

如果云供给商无奈服从规范,或者相关规范被取消,那么用户可能不能不静止利用这些 不然相关危险也是不契合合规性要求的。关于企业来说,这就为云供给商关系治理添加了一个重要的思考方面。

Copyright © 2002-2020 网站制作系统_360免费建站官网_网站制作推广_医院网站建设_网站制作免费 版权所有 (网站地图
地址:江苏省南京市玄武区玄武湖 电话:4008-888-888
邮箱:9490489@qq.com QQ:6759875247