瑞斯云：云数据隐私——将密钥放在哪里?

如今，许多企业都在将业务迁移到一个云平台或多个云平台。数字化的采用无处不在，并影响着人们所做的一切，员工工作方式的变化也表明与2020年之前有所不同。

迁移工作负载或工作负载自动化是互联世界面临的一些主要挑战。迁移过程充满了风险、挑战和成本，因此难以预见。但是对于某些人来说，采取落后的策略可能已经获得了回报。根据IDG公司的一项调查，许多迁移到公有云的企业已经通过将一些工作负载遣返回内部部署设施来扭转了局面，部分原因是云管理和数据集成的复杂程度。那么，如何确保良好的云迁移，从而确保数据隐私和平稳过渡呢?

不要忘记云计算数据的隐私

在任何工作负载迁移项目计划中，最容易被忽视的项目通常是跨多个云服务的密钥管理和合规性。增强自带密钥(BYOK)服务使企业可以将数据位置与加密密钥分开。加密最佳实践有助于提高数据隐私性。

许多数据隐私法规与基础设施无关。这意味着它们需要相同的流程，并控制内部部署或云平台中的数据。例如，支付卡行业数据安全标准(PCI DSS)要求对数据和密钥的分离进行双重控制。它还需要以基于角色的方式访问密钥管理软件的形式执行单独的职责。

PCI DSS和许多其他要求使用NIST认证的高级加密标准和联邦信息处理标准(140-2)。

普遍使用云服务会使满足和维护这些要求变得更加困难。此外，管辖数据主权和隐私的地区法律，其中包括欧盟的《通用数据保护条例》(GDPR)，这与在全球开展业务越来越相关。他们通常需要访问控制以及数据和密钥的保管。简单地说，必须知道云密钥在哪里。

良好的云计算数据安全性是什么样的?

但是，如何保护企业在多云过渡中管理的密钥呢?一些云计算服务提供商(CSP)使用自带密钥(BYOK)服务解决了一部分云计算加密问题，以使客户对其密钥获得更多控制。这有助于强调关键监护权的重要性，以及云计算服务商使用并在某些情况下有助于创建的最佳实施。如果企业的规模较小且使用的是一个云计算提供商的服务，则这些服务非常有用。但是，如果使用的是多云设置，则希望能够跨云服务进行集中化，并利用其他相关工具。

由于云服务对企业的战略价值，因此对云服务的整体使用已经引起人们对在一个或多个公有云中存储敏感数据的强烈关注。因此在ESG公司的调查中，53%的受访者表示，他们30%以上的云驻留敏感数据没有得到足够的安全保护。为了应对这样的情况，他们希望所在的公司在云计算和数据安全解决方案方面有更多投资。

保护云数据隐私是谁的工作?

回答这个问题的核心概念是分担责任模型。它定义了云计算服务商(CSP)与客户之间的分工界限，以保护云服务。对于从基础设施平台到软件即服务的所有类型的云服务来说，该模型都是透明的。客户的工作是保护存储在公有云中的数据的安全。

云计算服务商(CSP)提供了一些原生控件，包括用于加密数据，通过自带密钥(BYOK)服务上传自己的密钥并将这些密钥存储在多租户环境或专用硬件安全模块中的工具。但是，使用这些服务并管理流程是客户的工作。使用多个离散的原生数据加密相关的服务使管理更加复杂。与此同时，特定行业的客户还需要在内部部署存储加密密钥，以满足合规性要求，这意味着他们需要高效灵活地满足这些要求。

下一步的发展是什么?

如果在云服务市场中，企业寻找能够正确管理加密密钥的供应商，他们需要证明自己可以保护关键云服务存储的资产。毕竟，这些服务越来越多地代表了现代IT的核心。关键来源用法和生命周期管理的可见性组合将有助于满足审核人员的要求。企业将更轻松地满足数据隐私和其他关键需求，而且也将会知道将密钥放在何处。