保護雲資料隱私，要將金鑰放在哪裡?

如今，許多企業都在將業務遷移到一個雲平臺或多個雲平臺。數字化的採用無處不在，並影響著人們所做的一切，員工工作方式的變化也表明與2020年之前有所不同。

遷移工作負載或工作負載自動化是互聯世介面臨的一些主要挑戰。遷移過程充滿了風險、挑戰和成本，因此難以預見。但是對於某些人來說，採取落後的策略可能已經獲得了回報。根據IDG公司的一項調查，許多遷移到公有云的企業已經透過將一些工作負載遣返回內部部署設施來扭轉了局面，部分原因是雲管理和資料整合的複雜程度。那麼，如何確保良好的雲遷移，從而確保資料隱私和平穩過渡呢?

在任何工作負載遷移專案計劃中，最容易被忽視的專案通常是跨多個雲服務的金鑰管理和合規性。增強自帶金鑰(BYOK)服務使企業可以將資料位置與加密金鑰分開。加密最佳實踐有助於提高資料隱私性。

許多資料隱私法規與基礎設施無關。這意味著它們需要相同的流程，並控制內部部署或雲平臺中的資料。例如，支付卡行業資料安全標準(PCI DSS)要求對資料和金鑰的分離進行雙重控制。它還需要以基於角色的方式訪問金鑰管理軟體的形式執行單獨的職責。

PCI DSS和許多其他要求使用NIST認證的高階加密標準和聯邦資訊處理標準(140-2)。

普遍使用雲服務會使滿足和維護這些要求變得更加困難。此外，管轄資料主權和隱私的地區法律，其中包括歐盟的《通用資料保護條例》(GDPR)，這與在全球開展業務越來越相關。他們通常需要訪問控制以及資料和金鑰的保管。簡單地說，必須知道雲金鑰在哪裡。

但是，如何保護企業在多雲過渡中管理的金鑰呢?一些雲端計算服務提供商(CSP)使用自帶金鑰(BYOK)服務解決了一部分雲端計算加密問題，以使客戶對其金鑰獲得更多控制。這有助於強調關鍵監護權的重要性，以及雲端計算服務商使用並在某些情況下有助於建立的最佳實施。如果企業的規模較小且使用的是一個雲端計算提供商的服務，則這些服務非常有用。但是，如果使用的是多雲設定，則希望能夠跨雲服務進行集中化，並利用其他相關工具。

由於雲服務對企業的戰略價值，因此對雲服務的整體使用已經引起人們對在一個或多個公有云中儲存敏感資料的強烈關注。因此在ESG公司的調查中，53%的受訪者表示，他們30%以上的雲駐留敏感資料沒有得到足夠的安全保護。為了應對這樣的情況，他們希望所在的公司在雲端計算和資料安全解決方案方面有更多投資。

回答這個問題的核心概念是分擔責任模型。它定義了雲端計算服務商(CSP)與客戶之間的分工界限，以保護雲服務。對於從基礎設施平臺到軟體即服務的所有型別的雲服務來說，該模型都是透明的。客戶的工作是保護儲存在公有云中的資料的安全。

雲端計算服務商(CSP)提供了一些原生控制元件，包括用於加密資料，透過自帶金鑰(BYOK)服務上傳自己的金鑰並將這些金鑰儲存在多租戶環境或專用硬體安全模組中的工具。但是，使用這些服務並管理流程是客戶的工作。使用多個離散的原生資料加密相關的服務使管理更加複雜。與此同時，特定行業的客戶還需要在內部部署儲存加密金鑰，以滿足合規性要求，這意味著他們需要高效靈活地滿足這些要求。

如果在雲服務市場中，企業尋找能夠正確管理加密金鑰的供應商，他們需要證明自己可以保護關鍵雲服務儲存的資產。畢竟，這些服務越來越多地代表了現代IT的核心。關鍵來源用法和生命週期管理的可見性組合將有助於滿足稽核人員的要求。企業將更輕鬆地滿足資料隱私和其他關鍵需求，而且也將會知道將金鑰放在何處。