如何让BYOE在云中为企业工作

日期:2016-12-27作者:Ed Moyle翻译:滕晓龙 来源:TechTarget中国 英文

BYOE   自己带加密   

【TechTarget中国原创】

目前,在云中使用用户自己的加密产品已变得更为普遍。专家Ed Moyle在本文中讨论了BYOE的优缺点,以及用户在正式实施前所需了解的内容。

花几分钟时间与大多数技术人员讨论下公共云服务,你很快就会得到一个肯定的结论:从安全性的角度来看,云应用具有较大的挑战性。在一定程度上,这是云本身的固有特性决定的。让云变得有价值和强大的原因之一就是先进技术基础的商品化,这就意味着技术堆栈一定层面以下的一切(具体层面高低因云模式不同而不同)在客户眼中就是一个黑盒。这是非常强大的,因为它意味着客户可以重定向资源,否则它将在技术管理上花费更多而使用其他更直接可用的方法。

从安全性的角度来看,这是有一些含义的。首先,它意味着潜在地放弃了对服务供应商技术安全控制操作的责任部分,这可能是更厌恶风险的大型用户或对严格监管企业所最不愿意出现的情况。它还可能影响某些控件的操作和安全性。例如在加密的情况下,密钥所有权的问题成为了一个重要点。当企业用户放弃对密钥管理的控制与控制而交给服务供应商时,服务供应商的必要性就变为访问密钥,以及扩展至密钥所保护的数据。

这意味着服务供应商在实际应用有需要时拥有访问加密数据的能力。例如,当服务供应商收到来自于执法部门访问数据请求的情况下,尽管数据是被加密的,但也不存在任何访问数据的技术障碍。同样,服务供应商的技术或管理安全体系中的漏洞(例如密钥管理、过期或密钥访问)都可能将存储数据置于风险之中。

实施BYOE的好处

正因如此,目前更常见的是服务供应商在这种应用中推崇BYOE(自己带加密工具)的概念——有时被称为BYOK(使用你自己的密钥)。在此模式下,客户而不是CSP成为了密钥的所有者和管理者。从而让客户拥有使用现有密钥管理、加密、存储或软硬件组合的能力,与服务供应商一起实现加密功能但限制服务供应商对密钥的访问。

根据具体实施情况不同,BYOE可以允许用户使用硬件安全模块、第三方密钥管理工具、访问管理与日志记录工具以及其他的密钥代理功能。这种方法为客户提供了许多潜在的好处。首先也是最明显的是,这意味着要求云客户处于数据共享循环之中,其中也包括了接收方是执法部门的情况。也就是说,这种方式创造了一个技术壁垒,必须有客户首肯才能访问数据。

确保云客户身处循环之中是非常有价值的,但是BYOE有其他方法可以让客户受益。例如,它可以在企业用户寻求变更服务供应商时有所裨益。如果一家服务供应商需要退出云业务,客户是唯一可以访问密钥的人这一事实可以提供一定水平的保证,即当合作关系终止时,服务供应商将不再能够访问数据。同样,对于那些希望确保数据存储地理限制的企业用户来说,BYOE将可以有助于实现这一点——即使数据被存储在非客户所期望的其他区域,客户也可以通过保留密钥所有权来控制数据的访问程度。

实施中的注意事项

考虑到BYOE的优势,云客户的下一个合乎逻辑的问题就是实施的相对复杂性——即,在任何BYOE方法可用的情况下,具体实施的难易程度。

需要重点指出的是,并不是每一家云供应商都为他们所提供的每一个服务提供了BYOE选项。亚马逊在它的AWS密钥管理服务中提供了BYOE选项,而微软在Azure Key Vault中提供了这一选项,此外Salesforce则在最近推出的Shield产品中提供了这个功能。在存储领域,诸如Box和Tresorit这样的供应商也为客户提供了使用他们自己密钥的功能。但是,并不是所有的CSP(尤其是规模较小的供应商)都已经实现了这个功能。所以,对于认为这个功能非常重要的企业用户,他们需要认识到,能够提供这项功能的服务供应商选择范围可能是比较有限的。

此外,企业用户在他们试图实施BYOE之前对自身准备情况具有一定程度的自我认知也是非常重要的。很多企业加密实施方面并不是非常严格或认真的,如密钥管理程序、密钥到期以及其他具体实施细节等。如果用户企业已经在企业内部实施中遇到了密钥管理方面的挑战,那么他们所要做的并不仅限于将其扩展至BYOE——他们可能需要考虑它与其边界外的混乱情况。此外,企业还需了解其环境中的影子IT使用情况,这一点也很重要,因为如果他们不了解云应用情况就有可能不会使用BYOE功能,直到用户有意识地使用。

最后重要的一点是企业用户已经做好了处理与支持BYOE功能相关的可用性和物流支撑事项的准备。如果云供应商请求密钥来完成一个特定操作,那么环境需要做好支持它的准备。企业用户是否安排了工作人员来服务密钥创建?企业用户是否已经适当地设置了其内部访问权限以便只有那些获授权的工作人员才能创建和访问密钥?这些BYOE应用与在内部部署密钥管理应用是同等重要的。

BYOE能够为用户带来巨大的价值和灵活性,但是能否最大限度发挥其作用将取决于实施者在前期的准备工作和思考是否周密完备。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Ed Moyle
Ed Moyle

Director of emerging business and technology at ISACA

云的数据保护>更多

  • Cisco CloudCenter Orchestrator漏洞如何工作?

    业界有一个关键的安全公告,是 针对Cisco CloudCenter Orchestrator中的一个漏洞,该漏洞导致Docker Engine管理端口可以在Cloud Orchestrator系统之外访问。

  • 如何发现和预防man-in-the-cloud攻击

    多年来,越来越多的信息已经转移到并存储在许多云平台中。Dropbox,Microsoft OneDrive和Google Drive等服务让这样的过程变得很容易。

  • 云日志安全事件如何高效管理?

    随着开发和运营团队不断把资源迁移向云端,企业对于基于云的服务也使用越来越多,致使安全团队不得不时刻准备应用对不预期的问题——大量新的预警和事件。

  • 企业须知:虚拟机隔离技术

    Joseph Lister是现代外科之父,他防腐手术方法方面做出的开创性贡献,使他为人们所熟知。自1865年开始,Lister开始将苯酚和石炭酸实践应用到伤口、器械以及外科医生的穿戴上。

技术手册>更多

  • 解密后端即服务(BaaS)

    后端即服务(BaaS)作为通向后端的一个不同方法已经兴起—它包含服务器、应用程序和支持应用程序面向用户的前端数据库—通过引入云服务架构通向后端流程。虽然是新的,但它已经有了许多的厂商,随着BaaS商场的不断增长,越来越多的开发团队开始注意到移动应用领域的这个新生儿。

  • 电子书:十步构建私有云

    构建私有云并不是一项快速工程。始于理解企业环境对于云的期望和定义,继而在已经创建的模型上进行构架。要确保涵盖整个组织、其所有的流程以及构建云计算的技术。下面是构思、搭建和维护私有云的十大步骤。

  • 混合云管理实战技术手册

    虽然有关云计算的探讨大部分是关于隐私、成本和安全问题,但是很多IT专家认为混合云模式给出了云计算的优势和风险之间的最佳平衡点。近期的TechTarget Cloud Pulse调查中我们发现39%的企业使用云计算,但是部署的是混合云,相比较而言,目前有22%的企业部署私有云,40%使用公有云。但是现在很多企业还是处于一种迷糊状态,如何才能实现更好的混合云部署,如何能够管理混合云?在这本技术手册中很多业界的专家针对混合云给出了一些建议,供参考。

  • 容器技术应用浅析

    如今,容器市场可说是三分天下:cloudfoundry、kubernetes、mesos,在这三种容器技术之上,衍生出不少容器技术,使得容器市场变得更加复杂,各大服务提供商纷纷出兵亮器,彰显自己在容器领域的实力。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心