自带密钥是什么?
自带密钥 (BYOK) 是一种创新概念,由 Entrust 和 Microsoft 率先提出,旨在使公有云用户能够保持对云中使用的加密密钥的控制,以确保其数据安全。随着公有云服务的广泛普及,BYOK 现在得到了所有主要云服务的支持。BYOK 使公有云用户能够在本地生成自己的高质量主密钥,并将密钥安全地传输给云服务提供商 (CSP),从而在多云部署中保护他们的数据。为了生成和管理高质量的密钥,BYOK 使用经过 FIPS 和通用标准认证的硬件安全模块 (HSM),由云用户在本地维护或作为服务租赁。Entrust 提供 nShield HSM 和 nShield as a Service 来支持 BYOK。
BYOK 使迁移到云的组织能够实现:
- 灵活性、便利性和成本效益
- 对敏感数据和应用程序的有力控制
- 全面了解云端密钥的使用情况
- 最高级别的数据安全性、完整性和信任
BYOK 的作用是什么?
BYOK 使公有云服务的用户能够在自己的环境中生成加密密钥,并保留对这些密钥的控制,同时根据需要在他们选择的云中使用这些密钥。
BYOK 是如何工作的?
CSP 使用强大的加密技术保护客户在云中的数据。加密数据的加密密钥(租户密钥)加强了云存储的安全性。 云用户使用 BYOK 生成的主密钥本质上是创建一个上锁的盒子,来保护 CSP 数据中心中租户的密钥。 这样,云用户就能控制租户密钥,确保其仅用于授权目的,最终保护云中数据的安全。
支持 BYOK 的 CSP 例子有哪些?
包括 Amazon Web Services (AWS)、Google Compute Engine、Microsoft Azure 和 Salesforce 在内的领先 CSP 均支持 Entrust 高度安全的云集成选项包解决方案实现的 BYOK。
BYOK 与自有密钥 (HYOK) 有何区别?
自有密钥 (HYOK) 是 Microsoft 提供的一个选项,允许使用 Entrust HSMS 在自己的安全边界内管理云用户最敏感的数据。 Microsoft 正在用双密钥加密 (DKE) 取代 HYOK,DKE 是一种 Entrust 支持的新解决方案,可使云用户在混合环境中获得更高级别的保护、控制和保证。
Entrust 是否提供其他 BYOK 解决方案?
Entrust KeyControl(前身为 HyTrust)是一个用于加密工作负载的通用密钥管理系统,它使云用户能够在公有云中自动执行和扩展对加密密钥的控制。 KeyControl 支持 BYOK 和原生 Amazon Web Services (AWS) 密钥,以实现对主密钥的完全控制。 跨多个公有云服务的计划支持将确保随着云用户扩展他们的云采用策略,密钥始终得到保护。
为什么需要 BYOK?
加密数据的安全性取决于对加密密钥的保护。无论是部署单一云服务提供商、混合云还是多云策略,BYOK 都为云用户提供了所需的控制和保证。 BYOK 和 HSM 的使用使云用户能够避免供应商锁定带来的问题,因为供应商锁定可能会使从一个 CSP 迁移到另一个 CSP 变得困难重重。 HSM 专门设计用于阻止黑客找到您的关键加密密钥,方法是将其放置在防篡改位置,而不是软件中。 当组织满怀信心地完全迁移到云时,可以使用 nShield as a Service 来部署 BYOK,无需任何资本支出,而且安全级别与本地解决方案一样。