多云密鑰管理與BYOK

■ 浙江 王勇

編者按：如今越來越多的企業用戶選擇多云環境，而在管理云上數據安全時陷入困境，在加密云上數據后，又該如何安全的管理加密密鑰呢？

隨著云計算技術的發展，云服務提供商為用戶提供的云服務也更加成熟。像AWS、Azure以及國內的阿里云等云服務商依靠自身優勢，為用戶打造不同功能、各有特色的云平臺解決方案。這些功能通常可以為某些行業和應用賦予實際的價值，并且有助于使各自的平臺更加具有競爭優勢。

同時，在不同云平臺的使用上，對于跨不同公有云服務也給企業用戶造成了一個障礙，使用戶無法輕松地從一個云服務商轉移到另一云服務商，或在多云環境中有效地管理應用。

此外，公有云服務提供商都有自己完善的加密密鑰管理解決方案，可以將其擴展到特定應用以增強對用戶的數據保護能力。雖然這種模式給用戶提供了高度的安全性，但另一方面也使企業用戶失去了對密鑰的控制，同時也失去了能夠輕松遷移到不同云平臺的能力。

許多組織在一開始都傾向于使用單一的云服務商。但是隨著時間的流逝與業務的發展，他們可能需要托管某些應用或訪問僅在某些云上可用的某些服務。出現這種情況時，往往會選擇遷移到多云環境，尤其對于業務快速拓展的中小企業而言更是如此。而且從冗余的角度來看，如果在發生某些突發狀況時能夠將業務從一個云遷移到另一個云，無疑對企業業務損失具有較小影響，因此，多云對于大型企業非常有吸引力。另外，企業如果有涉及備份或冗余功能的審核要求的話，也是不能僅考慮由一家供應商提供服務。

此外，如果是云服務商直接管理用戶的加密密鑰，那么如果沒有適當的監督和控制的話，無疑對用戶的敏感數據造成極大安全隱患。而且云服務商提供的密鑰管理方案是否符合相關標準規范，也是用戶需要考慮的重要因素。

使用“自己的”密鑰

為了應對這些安全挑戰，云服務商已經引入了對“BYOK”（自帶密鑰）的支持，該功能使企業用戶可以使用自己的密鑰對云服務中的數據進行加密，同時仍可繼續利用云服務商提供的加密服務來保護其數據。

即使使用BYOK，密鑰仍然會存在于云服務商的密鑰管理服務中。但由于密鑰現在是在用戶本地硬件安全模塊（HSM）中生成、托管、轉換和失效的，因此BYOK可以幫助企業更充分地滿足合規性要求。而BYOK的另一個好處是，企業可以使用足夠的熵源隨機數生成加密密鑰，因此可以確保密鑰不被泄露。

盡管BYOK增強了用戶對密鑰的管控能力，但在多云環境中它也帶來了其他密鑰管理責任。每個云服務商都提供自己的API集和用于傳輸密鑰的加密方法。例如AWS是通過AWS管理控制臺（命令行界面）導入密鑰，并通過TLS協議使用API導入密鑰。Microsoft具有用于存儲靜態數據的Azure存儲服務加密，以及Azure存儲客戶端庫，并且規定密鑰必須存儲在Azure密鑰保管庫中。

從根本上說，跨云管理密鑰的過程和方法是完全不同的，不僅是從API的角度來看，而且從體系結構和過程的角度來看，每種方法都需要不同的密鑰管理技術。而所有這些復雜性和可變性隨時都會帶來新的風險，任何失誤都可能使用戶關鍵數據被破壞。

挺諷刺的是，我們一開始為數據的安全加密問題頭疼，因此采用了密鑰對云中的應用數據進行加密，到頭來卻又要為密鑰的安全問題而頭疼。不過這也有好處，畢竟我們在對龐大的數據進行安全加密后，不再需要擔心這些數據本身的安全，只需要考慮密鑰管理這一個目標而努力，管理成本相對降低了，管理效率得到了提高，所以許多企業都轉向集中式密鑰管理來管理云密鑰的整個生命周期。

BYOK方案

在BYOK方案中，集中式密鑰管理通過用戶管控密鑰，減少了密鑰被暴露的風險，在密鑰管理中具有顯著的優勢。

如上所述，即使使用BYOK，企業仍會將加密密鑰的副本存儲在云服務商。為了解決這個問題，云服務商采用開發特定接口的方式，以允許用戶充分利用外部密鑰管理系統。這不僅使企業能夠完全管控其密鑰，而且還表明了集中化是在多云環境中管理加密密鑰的最佳實踐。

隨著用戶對多云需求的增加，以及在多云環境中密鑰管理的挑戰，云服務商也在增強對外部密鑰管理的支持。這些趨勢將允許用戶保留對數據和加密密鑰的管控，使跨多云的密鑰管理變得越來越容易。