[[177640]]

如果你花幾分鐘時間與技術專家談論公有云服務，你很快會得出這樣的結論：從安全角度來看，云服務是一個挑戰(zhàn)。這在一定程度上是因為云本身的性質，讓云計算如此強大的原因之一是其技術基礎的商品化，這意味著所有事物都是在一定水平的技術堆棧下面，而這種技術堆棧對客戶來說是黑盒子。但同時云計算也很強大，企業(yè)可重定向其資源，而不需要自己在技術管理方面花費時間和精力，讓企業(yè)可專注于更有利可圖的業(yè)務領域。

從安全角度來看，云計算帶來一些影響。首先，云計算意味著將技術安全控制操作的責任交給服務提供商，對于受到嚴格監(jiān)管的大型企業(yè)，這可能是可怕的事情。同時，云計算還可能影響某些控件的操作以及安全性。例如在加密方面，密鑰所有權的問題變得非常重要。當企業(yè)將密鑰管理和操作交給服務提供商時，服務提供商即可訪問該密鑰，即也可訪問密鑰保護的數據。

服務提供商可在需要的情況下訪問加密數據。例如，當服務提供商收到執(zhí)法部門訪問數據的請求時，他們對訪問數據并沒有技術屏障，盡管數據被加密。同樣地，服務提供商在技術或管理保護(密鑰管理、過期或密鑰訪問)方面的缺陷可能會使數據處于風險之中。

自行加密的優(yōu)勢

因此，現在服務提供商會提供自行加密(BYOE)的選項，有時被稱為自帶密鑰(BYOK)。在此模式下，客戶會成為加密密鑰的所有者和管理著，而不交給云服務提供商。這讓客戶可結合服務提供商利用現有密鑰管理、加密、存儲或其他軟件及硬件，以實現加密功能，但限制服務提供商對密鑰材料的訪問。

根據具體部署，自帶加密可允許使用硬件安全模塊、第三方密鑰管理工具、訪問管理及日志記錄或其他密鑰代理功能。這為客戶提供了很多潛在好處，首先最明顯的是，數據的任何訪問都需要客戶參與，包括執(zhí)法機構請求訪問數據的情況。同時，這創(chuàng)建了一個技術屏障，在授予他人訪問數據前，都需要客戶參與。

除此之外，自帶加密還給客戶帶來其他好處。例如，當企業(yè)考慮更換服務提供商時，它可幫助企業(yè)取回自己的數據。當服務提供商需要解除云計算合同時，如果他們知道客戶是唯一可訪問密鑰的人，這可確保在合同終止后他們不能再訪問數據。同時，對于那些希望確保對數據進行地理限制的企業(yè)，自行加密可幫助實現這一點，即使數據可能會在客戶意料之外的其他地區(qū)，但客戶可通過密鑰所有權來控制數據可訪問程度。

部署注意事項

基于BYOE的優(yōu)勢，對于云服務客戶來說，下一個邏輯問題是部署的相對復雜性，即部署B(yǎng)YOE的難易程度以及在何種情況下可用。

請注意，并非所有云服務提供商都為其每項服務提供自帶加密選項。亞馬遜在AWS密鑰管理服務中提供該選項，而微軟在Azure Key Vault中提供，此外，Salesforce最近在其Shield產品中提供該功能。在存儲領域，Box和Tresorit等提供商為客戶提供此功能以利用自己的密鑰。然而，并非所有云服務提供商(特別是小型提供商)都已經部署此功能。對于需要該功能的企業(yè)來說，他們需要認識到的是，提供該功能的服務提供商選擇可能有限。

此外，在企業(yè)嘗試自帶加密部署之前，企業(yè)需要了解自己的準備情況。對于加密方面(例如密鑰管理程序、密鑰到期和其他部署)，很多企業(yè)并不是非常嚴格。如果你的企業(yè)已經在內部部署密鑰管理時面臨挑戰(zhàn)，則應該更加謹慎對待BYOE功能，因為這可能會制造混亂。并且，企業(yè)還需要了解其環(huán)境中影子使用情況，因為這可能會影響自帶加密功能的部署。

***，企業(yè)必須確定自己準備好處理與支持BYOE相關的可用性和后續(xù)問題。如果云服務提供商請求密鑰來完成特定操作，則企業(yè)需要準備好支持這一點。企業(yè)是否有人員來創(chuàng)建服務密鑰?企業(yè)是否適當限制其內部訪問，確保只有受允許的人員可創(chuàng)建以及訪問密鑰?這在BYOE的情況下也同樣重要，因為BYOE位于內部密鑰管理中。

自帶加密可帶來巨大的價值和靈活性，但發(fā)揮它的***價值需要一些準備工作。