密鑰管理服務(wù)的質(zhì)量在于其簡化保護(hù)加密密鑰安全的能力。雖然專家對谷歌Cloud KMS的易用性印象深刻，但該產(chǎn)品并沒有提供任何特別的新功能。

日前谷歌推出云密鑰管理服務(wù)(KMS)作為谷歌云計(jì)算平臺(tái)(GCP)的擴(kuò)展，目前該服務(wù)在北美、歐洲和東南亞等地區(qū)作為測試服務(wù)提供。

[[182627]]

谷歌的Cloud KMS主要針對“受監(jiān)管的行業(yè)，例如金融服務(wù)和醫(yī)療保健行業(yè)”，因?yàn)閭鹘y(tǒng)“定制或特制密鑰管理系統(tǒng)難以擴(kuò)展和維護(hù)”。

“Cloud KMS提供基于云的信任根，讓你可以監(jiān)控和審核，”谷歌產(chǎn)品經(jīng)理Maya Kaczorowski稱，“通過Cloud KMS，你可以管理云托管解決方案中的對稱加密密鑰，無論它們是用于保護(hù)GCP中還是其他環(huán)境中存儲(chǔ)的數(shù)據(jù)。你可以通過Cloud KMS API創(chuàng)建、使用、替換和銷毀密鑰，包括作為密鑰管理或信封加密解決方案的一部分。它可直接與云身份訪問管理以及云審計(jì)日志集成，以便你更好的控制密鑰。”

容器安全公司Twistlock首席技術(shù)官John Morello(他也是前微軟公鑰基礎(chǔ)設(shè)施項(xiàng)目經(jīng)理)稱，谷歌的Cloud KMS是“一個(gè)很好的例子，它說明安全和云技術(shù)領(lǐng)域的每個(gè)人都應(yīng)該關(guān)注這一點(diǎn)：讓曾經(jīng)難以部署的安全最佳做法變得易于部署。”

“通過降低密鑰管理的復(fù)雜性，每個(gè)開發(fā)人員可更輕松地保護(hù)數(shù)據(jù)。嚴(yán)格的說，谷歌的方法還為客戶提供了選擇，讓你不會(huì)受限于單個(gè)信任錨，”Morello稱，“你可使用他們提供的支持來完全控制用于高度敏感環(huán)境的密鑰，同時(shí)，使用內(nèi)置平臺(tái)支持來管理不太關(guān)鍵的密鑰。這讓你可更簡單地加密一切事物，同時(shí)嚴(yán)格控制這些密鑰的管理。”

然而，云安全公司CipherCloud產(chǎn)品營銷高級(jí)主管David Berman表示，與其他新工具(例如亞馬遜的AWS密鑰管理服務(wù))相比，這次發(fā)布沒有什么“獨(dú)特之處”。

“谷歌KMS僅支持谷歌云計(jì)算平臺(tái)客戶的靜態(tài)數(shù)據(jù)加密用例，”Berman稱，“這次發(fā)布突出表明，在亞馬遜和其他云計(jì)算存儲(chǔ)提供商已經(jīng)添加這樣的選項(xiàng)后，谷歌推遲了很久才推出KMS選項(xiàng)。”

網(wǎng)絡(luò)安全公司Rubicon Labs副總裁Rod Schultz稱，谷歌的Cloud KMS應(yīng)該會(huì)幫助企業(yè)構(gòu)建更好的安全性。

“為了提高安全性，其細(xì)節(jié)和復(fù)雜性必須抽象化，這也是谷歌通過KMS提供的功能。安全管理保護(hù)靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)密鑰是加強(qiáng)云計(jì)算安全性的第一步，”Schultz指出，“當(dāng)前云計(jì)算中很多漏洞和攻擊都是因?yàn)樵愀獾拿荑€管理或者完全缺乏密鑰管理的結(jié)果，KMS應(yīng)該會(huì)讓全世界的首席信息安全官每天晚上睡得更好。”

數(shù)據(jù)保護(hù)公司CTERA Networks市場營銷副總裁Tom Grave稱，谷歌的Cloud KMS應(yīng)該會(huì)在“易用性和可擴(kuò)展性方面提供價(jià)值，讓客戶更放心與其云計(jì)算提供商共享密鑰管理信任。”

“對于很多公司來說，委托第三方進(jìn)行密鑰管理是不可取的事情，這也是谷歌聰明之處，谷歌強(qiáng)調(diào)內(nèi)部部署密鑰管理仍然是一種選擇，”Grave稱，“總體而言，谷歌這次的發(fā)布表明我們今年會(huì)看到更多改進(jìn)。隨著云服務(wù)市場不斷成熟，企業(yè)級(jí)特性和功能已經(jīng)成為大多數(shù)企業(yè)買家購買云產(chǎn)品的先決條件。”

Berman稱谷歌的密鑰管理服務(wù)可能不足以滿足其目標(biāo)監(jiān)管企業(yè)市場的需求。

“基于云的密鑰管理并沒有太大優(yōu)勢，包括強(qiáng)調(diào)媒介加密是數(shù)據(jù)安全的最低限度要求，”Berman稱，“金融服務(wù)和醫(yī)療機(jī)構(gòu)等監(jiān)管機(jī)構(gòu)不會(huì)認(rèn)為Cloud KMS共享密鑰管理做法可滿足審計(jì)與合規(guī)要求，這些要求包括職責(zé)分離、零知識(shí)加密以及客戶完全控制加密密鑰。”

Venafi公司安全戰(zhàn)略和威脅情報(bào)副總裁Kevin Bocek指出，谷歌“沒有解決云端密鑰和證書管理相關(guān)的真正挑戰(zhàn)”。

“云密鑰管理并不會(huì)自動(dòng)化密鑰和數(shù)字證書的使用，而這是云計(jì)算和網(wǎng)絡(luò)安全最基本的需求：密鑰和證書確定可信任或不可信任哪些系統(tǒng)，并通過加密構(gòu)建隱私性，”Bocek表示，“因此當(dāng)考慮使用谷歌的云服務(wù)時(shí)，這是企業(yè)云計(jì)算、DevOps和安全團(tuán)隊(duì)必須填補(bǔ)的巨大差距。”

ERPScan公司首席ERP安全專家Dmitry Chastukhin表示，盡管谷歌的Cloud KMS可能更簡單可靠，但也可能給IT團(tuán)隊(duì)帶來更多問題。

“對于企業(yè)來說，與維護(hù)定制或特制系統(tǒng)來管理加密密鑰相比，使用交鑰匙云式解決方案更加方便，畢竟保護(hù)云計(jì)算產(chǎn)品是安全團(tuán)隊(duì)最頭痛的問題之一，”Chastukhin稱，“簡而言之，谷歌的KMS看起來很安全，但就我而言，從安全角度考慮，我不建議將其用于關(guān)鍵基礎(chǔ)設(shè)施相關(guān)的密鑰。”