很快，云計算將成為主流，就像互聯(lián)網(wǎng)和移動電話一樣，隨處可見。如果您負(fù)責(zé)將您的組織從本地IT運營過渡到某種形式的云計算，那么今天做出的重要決定將影響您的長期戰(zhàn)略。您可以選擇私有云，公共云和混合云配置。但是，很少會找到一個可以滿足組織所有需求的提供商。

從本地計算過渡到云計算時，確保云中數(shù)據(jù)的安全至關(guān)重要。由于加密是保護數(shù)據(jù)安全的首選方法，因此加密密鑰管理已成為至關(guān)重要的問題。云提供商已通過兩種選擇滿足了這一需求：硬件安全模塊（HSM）或密鑰管理服務(wù)（KMS）。每種方法都有優(yōu)點和缺點。

雖然HSM提供安全的本地加密密鑰管理，但是廣泛的云部署使得購買，安裝和維護HSM幾乎不切實際。作為替代方案，某些云提供商可能會負(fù)責(zé)在自己的數(shù)據(jù)中心中配置他們選擇的HSM。

另一方面，密鑰管理服務(wù)不依賴于硬件來管理加密密鑰，因此盡管其提供的安全性級別不如物理HSM，但可以在云提供商的環(huán)境中輕松地進行配置。

讓我們更詳細(xì)地研究這兩種方法，同時牢記多云/混合云環(huán)境的現(xiàn)實以及使用HSM保護數(shù)據(jù)的重要性。

一、密鑰管理服務(wù)-一種軟件方法

密鑰管理服務(wù)是僅軟件的方法，它允許客戶端創(chuàng)建和管理用于保護云中保存的敏感數(shù)據(jù)的加密密鑰。加密密鑰位于云提供商的基礎(chǔ)構(gòu)架中，并且只能由客戶端訪問。KMS以服務(wù)形式提供，可利用云的可靠功能：集中管理，隨著數(shù)據(jù)和處理需求的增加而具有可伸縮性，高可用性，低延遲處理以及在提供商環(huán)境中管理加密密鑰的一致方法。

但是，密鑰管理服務(wù)本身并不能提供與HSM相同的安全級別。這種缺點，加上KMS在云提供商的環(huán)境中無法正常運行的局限性，使這種方法的可行性成為問題，特別是對于需要在多個不同地區(qū)，國家或服務(wù)中管理加密密鑰的組織而言。此外，如果加密密鑰和數(shù)據(jù)都由同一個實體（云提供商）持有，在這種情況下，風(fēng)險會更高。最佳實踐建議將加密密鑰和數(shù)據(jù)分開，以減少破壞性數(shù)據(jù)泄露的可能性。

二、支持KMS的硬件安全模塊

為了增強其KMS產(chǎn)品，一些云提供商使用位于其數(shù)據(jù)中心的HSM支持其KMS。盡管此方法提供了更高級別的加密密鑰安全性，但是KMS和HSM的組合只能在云提供商的區(qū)域內(nèi)獨占工作，并且仍然具有將密鑰和數(shù)據(jù)存儲在同一環(huán)境中的缺點。

HSM由云提供商選擇，設(shè)置和物理維護。由于HSM位于提供商的數(shù)據(jù)中心內(nèi)，因此其固有的優(yōu)勢包括可伸縮性，高可用性和低延遲，這使其成為具有高增長水平的組織的靈活選擇。但是，與KMS一樣，HSM的適用性僅限于云提供商的環(huán)境，并且不支持多云操作。

三、將HSM安全性與多云靈活性相結(jié)合

考慮到KMS的潛在安全缺陷和HSM的調(diào)配挑戰(zhàn)，組織面臨艱難的選擇-更不用說它們無法在云提供商的環(huán)境之外工作?？紤]到所有這些，在多云環(huán)境中，尤其是在全球范圍內(nèi)擴展到多個不同地區(qū)和國家的多云環(huán)境中，管理加密密鑰的最佳方法是什么？

那些希望在使用主要云提供商提供的一流資源和服務(wù)的同時，維持本地HSM提供的安全級別的公司正在尋找一個包含以下標(biāo)準(zhǔn)的選項：

1、以支持多云和混合云環(huán)境，并簡化跨這些環(huán)境的加密密鑰的供應(yīng)和控制。
2、在全球范圍內(nèi)可用，與云提供商接近的連接性可最大程度地減少延遲，優(yōu)化性能以及在數(shù)字邊緣維護數(shù)據(jù)和加密密鑰的能力。
3、密鑰和數(shù)據(jù)的分離可提供更高級別的防御，以防止數(shù)據(jù)泄露并遵守數(shù)據(jù)主權(quán)法規(guī)。
4、私有和安全的HSM即服務(wù)，提供物理本地HSM的安全級別，消除了HSM設(shè)置的復(fù)雜性，并且可在分布式云環(huán)境中使用。

借助不依賴云的HSM即服務(wù)，采用多云和混合云環(huán)境或在全球范圍內(nèi)運營的組織可以找到一種簡單且可訪問的加密密鑰管理解決方案，而無需犧牲安全性。將加密密鑰與加密數(shù)據(jù)分開但保持接近可提供更高級別的保護，以防止數(shù)據(jù)泄露，同時減少延遲。HSM即服務(wù)提供了這兩種技術(shù)中的最佳選擇，在多云環(huán)境的靈活性下運行的同時，提供了HSM級安全性的好處。

通過使各種規(guī)模的組織專注于核心競爭力，同時將將對IT基礎(chǔ)構(gòu)架，連接性和管理的責(zé)任轉(zhuǎn)移給擅長開發(fā)和提供這些服務(wù)的云提供商，云已經(jīng)在經(jīng)濟上和運營上證明了自己。無論采用哪種云策略，私有，公共或混合加密密鑰管理仍然是一個關(guān)鍵問題，對于使用多個云提供商的組織而言，這是獨特的挑戰(zhàn)。

原文鏈接：http://changyoufood.cn/hangyexinwen/284.html