最佳企业密钥管理策略是什么?
加密是保护数据的最佳实践,在许多情况下,加密是保护特别敏感的数据(例如财务、健康和消费者数据)的强制性方法。 作为一种加密机制,加密通过算法和密钥来保护数据。 当密钥丢失时,数据就会丢失。 因此,保护密钥至关重要。此外,秘钥还需要随时可供授权实体使用,这样需要使用数据的业务流程才能顺利运行。
随着组织出于安全目的对越来越多的数据进行加密,密钥的管理和保护愈发困难。 分散密钥通常没有明确的所有权或可扩展的管理策略。 如果没有强大的密钥管理,强大的算法提供的安全性可能会受到威胁。
企业密钥管理策略对于防止数据泄露、节省效率、简化监管合规和实现数字化转型而言至关重要。
什么是密钥管理系统?
美国 美国国家标准与技术研究所 (NIST) 在其特别出版物 800-57中定义了“密钥管理系统”,并提供了关于加密密钥管理的最佳实践建议。
NIST SP 800-57 将密钥管理系统 (KMS) 定义为: “管理加密密钥及其元数据(例如,生成、分发、存储、备份、存档、恢复、使用、撤销和销毁)的系统。 自动密钥管理系统可用于监督、自动化和保护密钥管理流程。”
尽管加密现在已内置于许多应用程序中,但加密通常仅符合创建和存储密钥的基本功能要求,并且无法满足 NIST SP 800-57 中详述的密钥管理最佳实践指南。
随着使用加密的应用程序数量的增加,密钥管理系统对于确保关键加密密钥及其保护的数据的安全性而言至关重要。
什么是加密密钥管理?
加密密钥管理涵盖了加密密钥的整个生命周期,从生成到存储,再到保护、分发、刷新乃至最终销毁密钥。由于密钥是整个加密机制安全的基础,因此它们必须具有最高级别的保护,即经过认证的硬件安全模块 (HSM)。
什么是硬件安全模块 (HSM) 密钥管理?
安全管理加密密钥生命周期的最佳方法是使用硬件安全模块。 HSM 密钥管理是指使用经过认证的防篡改设备(被称为硬件安全模块 (HSM))来安全地管理加密密钥的整个生命周期。
无论是在本地还是在云端部署,HSM 都能提供专用的加密功能,并允许建立和执行管理密钥管理流程的安全策略。 网络安全专业人员和监管机构认为,使用 HSM 是有效管理加密密钥的最佳实践。
什么是密钥管理服务器 (KMS)?
因为商业应用广泛采用加密技术,加密密钥不断激增。 在组织努力保持对关键密钥的控制时,人们还创建了密钥管理互操作协议 (KMIP),以提供一种用于管理不同应用程序的加密密钥的统一方法。 为了管理符合 KMIP 的应用程序中的密钥,KMS 提供了一种大规模管理这些密钥的机制。
Entrust KeyControl 是一种虚拟设备,可为各种兼容 KMIP 的客户端应用程序提供 KMS。 在与 HSM 结合使用时,KMS 使组织能够大规模管理加密密钥。
HSM 和 KMS 有什么区别?
HSM 为安全生成、保护和使用加密密钥提供了硬件信任根。 KMS 用于根据合规性标准大规模高效管理密钥的整个生命周期。
Entrust KeyControl 使企业能够轻松管理其所有加密密钥、轮换密钥的频率,以及如何与使用密钥的应用程序安全共享密钥。
所有加密密钥都一样吗?
不可以。 就像加密算法之间存在差异一样,加密密钥之间也有很多区别。 密钥可以是对称的,也可以是非对称的,它们具有不同的用途和不同的密钥大小。
无论属于哪种类型,质量密钥都应始终使用真随机数,该随机数由联邦信息处理标准 (FIPS) 批准的硬件随机数生成器生成,此功能通常由经过认证的硬件安全模块 (HSM) 提供。
在云端可以进行企业密钥管理吗?
按照习惯,强大的加密密钥是使用 HSM 在本地开发的,但是随着组织将操作迁移到云端,也可以使用基于云的专用 HSM 在云端生成密钥。
基于云的 HSM(也称为“HSM 即服务”)提供与本地 HSM 相同的加密功能,但无需维护和托管本地设备。
在将应用程序和数据迁移到云端时,组织需要考虑所有权、控制和占有级别与本地模式相比有变化。