云技術(shù)的廣泛采用使得一些企業(yè)重新考慮其加密密鑰和密鑰管理方法。云架構(gòu)師通常是有關(guān)數(shù)據(jù)，應(yīng)用程序，服務(wù)和安全性的關(guān)鍵決策的聯(lián)系者，需要與任何云項(xiàng)目的參與者緊密合作，以確定最佳的密鑰管理策略。隨著企業(yè)將其IT資源從本地模型演變?yōu)閺V泛分布的多云模型，這一決定將特別重要。簡(jiǎn)要回顧了云的演進(jìn)以及可能采用的加密密鑰策略，這些策略可用來突出各種方法的優(yōu)缺點(diǎn)。

1、從本地部署到混合云模型

絕大多數(shù)企業(yè)逐漸向云遷移。第一步可能涉及將標(biāo)明的數(shù)據(jù)和應(yīng)用程序移至云提供商，以提高性能，降低資本支出和運(yùn)營(yíng)支出或擴(kuò)展到新的地理位置。通常，托管在云中的應(yīng)用程序需要使用虛擬網(wǎng)絡(luò)或?qū)Ｓ眠B接訪問公司數(shù)據(jù)中心中的數(shù)據(jù)或服務(wù)。

在混合云環(huán)境中，可以通過兩種方式解決密鑰管理。首先，通過硬件安全模塊（HSM）加密與云提供商在其數(shù)據(jù)中心中提供的HSM配對(duì)的本地?cái)?shù)據(jù)。其次，通過HSM加密與由云提供商提供的密鑰管理服務(wù)（KMS，不需要硬件）配對(duì)的本地?cái)?shù)據(jù)，以加密存儲(chǔ)在云中的數(shù)據(jù)。

對(duì)于本地和云提供商，使用相同品牌/型號(hào)的HSM可以簡(jiǎn)化加密密鑰管理。但是，當(dāng)云提供商的HSM品牌/模型不同于企業(yè)的標(biāo)準(zhǔn)HSM或企業(yè)選擇KMS方法時(shí)，數(shù)據(jù)安全團(tuán)隊(duì)將承擔(dān)學(xué)習(xí)和管理兩個(gè)不同加密密鑰系統(tǒng)的額外責(zé)任。

2、從本地到單個(gè)云提供商

許多中小企業(yè)選擇完全遷移到云。經(jīng)濟(jì)利益是如此具有說服力，以至于這些業(yè)務(wù)取得了巨大飛躍，與云提供商簽訂了IT硬件，服務(wù)和支持合同。許多創(chuàng)業(yè)公司將云視為快速建立所需IT基礎(chǔ)構(gòu)架的最簡(jiǎn)單方法，而又不會(huì)產(chǎn)生大量的資本支出和運(yùn)營(yíng)支出。

當(dāng)所有數(shù)據(jù)和應(yīng)用程序都托管在單個(gè)云提供商的環(huán)境中時(shí)，加密密鑰管理可能會(huì)非常簡(jiǎn)單。企業(yè)可以在HSM或云提供商提供的密鑰管理服務(wù)之間進(jìn)行選擇。無論云架構(gòu)師推薦哪種選擇，企業(yè)的數(shù)據(jù)安全團(tuán)隊(duì)都可以輕松地配置這些資源。

3、演變?yōu)槎嘣骗h(huán)境

對(duì)于大多數(shù)采用云策略的企業(yè)來說，多云環(huán)境是現(xiàn)實(shí)。盡管企業(yè)可能始于單個(gè)云提供商，但是托管特定軟件，在遠(yuǎn)程位置存在或使用現(xiàn)有云提供商無法提供的服務(wù)的需求迫使大多數(shù)企業(yè)與多個(gè)云提供商合作以實(shí)現(xiàn)其目標(biāo)。

多云環(huán)境中的密鑰管理可能給云架構(gòu)師和數(shù)據(jù)安全團(tuán)隊(duì)帶來巨大挑戰(zhàn)。如果企業(yè)已從混合云模型演變?yōu)槎嘣颇Ｐ停瑒t可以使用多種關(guān)鍵管理產(chǎn)品-本地HSM，位于云提供商數(shù)據(jù)中心的不同HSM，或者針對(duì)每個(gè)云使用不同的KMS提供者。隨著業(yè)務(wù)的增長(zhǎng)和云資源的分布越來越廣泛，加密密鑰管理的復(fù)雜性也隨之增加。

4、多云環(huán)境的加密密鑰策略

在許多企業(yè)發(fā)展為多云環(huán)境的過程中，流行的密鑰管理思維方式可能只是“完成”。也就是說，使用最便捷的方法來建立和管理密鑰（無論是HSM還是KMS），即使決策導(dǎo)致增加了密鑰管理的復(fù)雜性。

隨著企業(yè)從本地環(huán)境發(fā)展到多云環(huán)境，面對(duì)設(shè)計(jì)和實(shí)施（或改裝）加密密鑰策略的挑戰(zhàn)，云架構(gòu)師有機(jī)會(huì)實(shí)施提供部署靈活性和管理簡(jiǎn)便性的密鑰管理策略。

原文鏈接：http://changyoufood.cn/hangyexinwen/281.html