云安全联盟提供使用客户控制的密钥存储的建议 媒体

云安全联盟发布客户控制密钥存储安全建议

关键要点

云安全联盟CSA于本周二发布了关于客户控制的密钥存储CCKS的建议，这是一种使密钥管理系统KMS在云服务提供商CSP外部运行的方式，尽管该KMS仍依赖于云服务。

“由于CCKS在云计算中仍然相对较新，尚缺乏可用的最佳实践。” CSA云密钥管理工作组的联席主席、该指南的主要作者Paul Rich表示。“尽管如此，这种模式正日益受到欢迎，因此我们感到有必要提供一套健全的指南，以帮助采取这一路径的公司优化安全性及相关成本，同时提升运营和商业灵活性。”

密钥管理系统的作用

组织使用密钥管理系统KMS来管理其环境中大量加密密钥的生命周期，包括颁发新密钥、按计划轮换密钥、使密钥无效和控制密钥访问。企业战略集团的高级分析师Jack Poller解释道，许多标准和法规要求KMS使用称为硬件安全模块HSM的专用硬件进行所有加密操作，包括密钥管理。

“向云 的转变使加密和密钥管理变得复杂。”Poller表示。“将你的云基础设施连接到本地KMS可能会引入延迟和可用性问题，从而影响云应用的运行。虽然云服务提供商拥有针对云速度和规模优化的KMS和HSM解决方案，并支持自有密钥BYOK，但混合和多云组织最终会面临多个KMS的孤岛。有些KMS解决方案可以与云KMS集成，从而让组织拥有一个统一的密钥管理环境。”

Poller指出，组织常常面临“先有鸡还是先有蛋”的局面，因为它们的云依赖于其KMS，但其KMS却位于云之外。

“刚发布的CSA指南帮助组织了解各种KMS部署场景的好处、挑战和权衡，”Poller表示。“由于这是CSA提供的信息和指导，因此是中立的，可以帮助任何组织平衡安全性、成本、易部署性、易用性、性能以及供应商锁定问题。”

CCKS的优势

Symmetry Systems的联合创始人兼首席执行官Mohit Tiwari表示，CSA关于如何使用CCKS的建议和指导文档非常欢迎，因为密钥管理仍然是保护在传输和存储中的数据的核心任务，且极具挑战性和高风险。

Tiwari表示，这些建议实际上为组织提供了如何维护自己KMS即CCKS的指南，以抽象出复杂的加密协议和过程并确保其加密密钥的安全。使用CCKS为组织提供了一个选择，减少对CSP提供的KMS的依赖，从而降低CSP访问加密关键数据的能力。

“对于许多受管控和高风险的组织，他们更愿意严格控制这些密钥和其他机密，以独立于CSP的能力来接触加密数据。”Tiwari表示。“然而，设定适当的期待至关重要。为数据加密和使用KMS所需的计算开销和成本仍然偏高，因此大多数组织无法加密所有数据，同时这并非数据安全的灵丹妙药。虽然依赖自己的密钥管理系统是有用的，以免信任亚马逊的加密及静态存储服务，但大多数客户仍会信任云服务。不幸的是，正如我们在许多组织中所看到的，数据安全的挑战往往源于对数据在环境中位置的理解及访问控制的配置不足，而不是