什么是加密密钥管理?
随着组织越来越多地将应用程序、工作负载和数据迁移至云端,如何管理这些保护关键资源的加密密钥备受争议。虽然一些组织允许云服务提供商 (CSP) 为他们生成和管理加密密钥,但其他组织可能认为这与他们的安全政策不符。Entrust KeyControl 为单云或多云平台提供自带密钥 (BYOK) 功能,提供灵活性、可扩展性,可在领先的 CSP 中完全控制加密工作负载。
自带密钥是什么?
尽管云计算具有许多优势,但主要隐忧是安全性,这是因为数据实际上保存在云服务提供商 (CSP) 那里,不受数据所有者的直接控制。加密可以保护云中的数据,为了确保其机密性和完整性,保护加密密钥至关重要。自带密钥 (BYOK) 允许企业在防篡改硬件安全模块 (HSM) 中生成强密钥,并将其密钥安全地导出到云,从而加强其密钥管理实践,并保留对加密密钥的控制和管理权。
Amazon Web Services 的 BYOK
Entrust KeyControl 为单个或多个云平台提供自带密钥 (BYOK) 功能,提供灵活性、可扩展性,并可完全控制 Amazon Web Services 中的加密工作负载。观看下方 Amazon AWS 密钥管理服务集成的视频,了解 BYOK 模型的实际运行情况。
什么是机密管理?
机密管理是指必要的数字身份验证,用于保护各种应用程序的凭据(包括密码、API、密钥和令牌)。通过加密保护应用程序机密,您可以安全浏览权限访问凭据,而不必担心会危及安全性。
什么是机密管理系统?
为了控制对敏感数据的访问,组织需要用户凭据,即软件和用户之间的密码。部署健全的机密管理系统对于保护所有系统和信息至关重要。当客户和员工不断增减或只是更换角色时,以及业务流程和政策不断发生变化时,主管部门必须能够创建和吊销凭据。此外,隐私法规和其他安全要求的增加,使组织更加需要证明有能力验证在线消费者和内部特权用户的身份。
应对与机密管理相关的挑战
- 能够控制机密管理系统的攻击者可以签发凭据,该凭据能够让攻击者成为内部人员,并且在不被检测到的情况下,拥有破坏系统的权限。
- 机密管理流程受到破坏会导致需要重新签发凭据,该过程可能昂贵且耗时。
- 凭据验证率可能会有很大差异,并且很容易超出机密管理系统的性能特征,从而危及业务连续性。
- 业务应用程序所有者对安全性和信任模型的期望越来越高,可能会暴露出凭据管理是薄弱环节,可能危及合规性声明。
硬件安全模块 (HSM)
尽管可以在纯粹基于软件的系统中部署机密管理平台,但从本质上来说这种方法不太安全。在认证 HSM 的加密边界之外处理的令牌签名和加密密钥明显更容易受到攻击,这些攻击可能会危及令牌签名和分发过程。HSM 是唯一可靠且可审计的方式,可确保宝贵加密材料的安全并提供 FIPS 批准的硬件保护。
HSM 使您的企业能够:
- 建立强大的信任根,保护加密组织机密凭据的密钥
- 在精心设计的加密边界内确保令牌签名密钥的安全,采用强大的访问控制机制,强制执行职责分离,以确保密钥仅由授权实体使用
- 采用复杂的密钥管理、存储和冗余功能,以确保可用性
- 提供高性能,以满足企业对从不同设备和地点访问资源的日益苛刻的要求
什么是非对称密钥或非对称密钥加密?
非对称加密使用一对儿关联密钥来保护数据。其中一个密钥,即私钥,由其所有者保密,用于签名和/或解密。另一个密钥,即公钥,是公开的,任何人都可以用它来验证由私钥签名的消息,或者将文档加密给私钥所有者。
什么是对称密钥?
在加密中,对称密钥是用于进行加密、解密和消息身份验证的密钥。这样的实践也称为“秘密密钥加密”,意味着要解密信息,必须使用与加密信息相同的密钥。实际上,这些密钥代表各方之间的共享机密,可用于维护私人信息链接。密钥可以由两方或多方使用。也可以仅由一方使用(例如,用于加密备份)。
对称加密的一个优势是,它明显比非对称加密更快。对称加密用例的一个众所周知的例子是令牌化。
什么是密钥传输?
在密钥传输过程中(一方选择秘密密钥材料),加密的秘密密钥材料将从发送者传输到接收者。密钥传输方案采用公钥技术或者公钥和对称密钥技术的组合(混合)。发送秘密密钥材料的一方称为发送者,另一方称为接收者。
什么是密钥协议?
在密钥协议期间,派生的秘密密钥材料是双方贡献的结果。密钥协议方案可以采用对称密钥或非对称密钥(公钥)技术。启动密钥协议方案的一方称为发起者,另一方称为响应者。
什么是密钥创建?
可以通过使用密钥创建方案(即,使用密钥协议方案或密钥传输方案),在各方之间以电子方式创建秘密密钥材料。