云计算已经引起越来越多的企业和中小型企业组织的注意,成本、结构都使其成为传统数据中心最强有力的替代品,与此同时云数据安全、云加密和云密钥管理仍然让潜在用户存在部分隐忧。分析师们认为云数据加密是一项基本的步骤,但就是在处理这个基础问题时经常会出现复杂的状况。

实现云密钥管理有三种方法

我们通常使用三种方法实现云密钥管理。

第一种方法是使用云供应商提供的加密,其优点显而易见——易于部署和管理,而且可以很好地与云数据层相结合,但它的费用很高。当然这需要你足够信任云供应商,并将最需保密的加密密钥交给它。数据安全专家Rich Mogul已在他的博客中详尽阐述了这个问题。

第二种方法是将你的加密密钥委托给信任的第三方。这种方法消除了一些云的灵活性优势,因为它将不再整合到你的云中,但它仍然具有和以前一样的风险——你信任第三方来保管你的密钥。

第三种方法是在实体数据中心中加入密钥管理服务器。虽然这种方法足够安全,但它削弱了云的许多优势,并迫使你往返于数据中心,这无疑使云服务的一种倒退。

分离密钥管理保证是云安全的专属技术

为了有效地在公共云环境中管理密钥,特别是在IaaS和PaaS的情况下,我们需要一个云的专属技术。分离密钥管理是一个典型的例子。

下面是它工作的方法:想像一个客户定制的银行保险库有两个密钥:一个由客户保管,另一个有“银行家”保管,在这里它是Porticor 虚拟密钥管理服务。客户实际上在每个项目中都有一个密钥,通常是应用程序。Porticor则有数以千计的密钥,这些密钥与项目中的文件或磁盘一一对应。

事实上,这种方法有很多独特之处。密钥被分离在客户和Porticor手中,然而它们都被客户手中的主密钥所加密,而主密钥只有客户知道并持有。因此,Porticor持有半个密钥,但它无法读取密钥,因为它们是加密的,而企业端唯一的额外要求就是保证主密钥的安全。

小知识之密钥:

密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的数据。