云計算正在引起越來越多的企業(yè)和中小型企業(yè)組織的注意。其具備諸多益處，成本、結(jié)構(gòu)都使其成為傳統(tǒng)數(shù)據(jù)中心最強有力的替代品，但同時云數(shù)據(jù)安全、云加密和云密鑰管理仍然是讓潛在用戶存在部分隱憂。思想領袖和分析師們認為云數(shù)據(jù)加密是一項基本的步驟，但就是處理這個基礎問題，經(jīng)常出現(xiàn)復雜的狀況。

云密鑰管理需要演變到云中

我們通常使用三中方法實現(xiàn)云密鑰管理，且它們各有優(yōu)缺點。第一種方法是使用云供應商提供的加密，其優(yōu)點顯而易見——易于部署和管理，而且可以很好地與云數(shù)據(jù)層相結(jié)合，但它的費用很高。當然這需要你足夠信任云供應商，并將最需保密的加密密鑰交給它。數(shù)據(jù)安全專家Rich Mogul已在他的博客中詳盡闡述了這個問題。第二種方法是將你的加密密鑰委托給信任的第三方。這種方法消除了一些云的靈活性優(yōu)勢，因為它將不再整合到你的云中，但它仍然具有和以前一樣的風險——你信任第三方來保管你的密鑰。第三種方法是在實體數(shù)據(jù)中心中加入密鑰管理服務器。雖然這種方法足夠安全，但它削弱了云的許多優(yōu)勢，并迫使你往返于數(shù)據(jù)中心，這無疑使云服務的一種倒退。

分離密鑰管理

為了有效地在公共云環(huán)境中管理密鑰，特別是在IaaS和PaaS的情況下，我們需要一個云的專屬技術(shù)。一個專為云設計的技術(shù)，而非附加在云上。分離密鑰管理是一個典型的例子。下面是它工作的方法：想像一個客戶定制的銀行保險庫有兩個密鑰：一個由客戶保管，另一個有“銀行家”保管，在這里它是Porticor 虛擬密鑰管理服務。客戶實際上在每個項目中都有一個密鑰，通常是應用程序。Porticor則有數(shù)以千計的密鑰，這些密鑰與項目中的文件或磁盤一一對應。事實上，這種方法有很多獨特之處。密鑰被分離在客戶和Porticor手中，然而它們都被客戶手中的主密鑰所加密，而主密鑰只有客戶知道并持有。因此，Porticor持有半個密鑰，但它無法讀取密鑰，因為它們是加密的。而企業(yè)端唯一的額外要求就是保證主密鑰的安全。