如果你花幾分鐘時間與技術(shù)專家談?wù)摴性品?wù)，你很快會得出這樣的結(jié)論：從安全角度來看，云服務(wù)是一個挑戰(zhàn)。

這在一定程度上是因為云本身的性質(zhì)，讓云計算如此強大的原因之一是其技術(shù)基礎(chǔ)的商品化，這意味著所有事物都是在一定水平的技術(shù)堆棧下面，而這種技術(shù)堆棧對客戶來說是黑盒子。

但同時云計算也很強大，企業(yè)可重定向其資源，而不需要自己在技術(shù)管理方面花費時間和精力，讓企業(yè)可專注于更有利可圖的業(yè)務(wù)領(lǐng)域。

從安全角度來看，云計算帶來一些影響。

首先，云計算意味著將技術(shù)安全控制操作的責(zé)任交給服務(wù)提供商，對于受到嚴格監(jiān)管的大型企業(yè)，這可能是可怕的事情。

同時，云計算還可能影響某些控件的操作以及安全性。

例如在加密方面，密鑰所有權(quán)的問題變得非常重要。

當(dāng)企業(yè)將密鑰管理和操作交給服務(wù)提供商時，服務(wù)提供商即可訪問該密鑰，即也可訪問密鑰保護的數(shù)據(jù)。

服務(wù)提供商可在需要的情況下訪問加密數(shù)據(jù)。

例如，當(dāng)服務(wù)提供商收到執(zhí)法部門訪問數(shù)據(jù)的請求時，他們對訪問數(shù)據(jù)并沒有技術(shù)屏障，盡管數(shù)據(jù)被加密。

同樣地，服務(wù)提供商在技術(shù)或管理保護(密鑰管理、過期或密鑰訪問)方面的缺陷可能會使數(shù)據(jù)處于風(fēng)險之中。

自行加密的優(yōu)勢因此，現(xiàn)在服務(wù)提供商會提供自行加密(BYOE)的選項，有時被稱為自帶密鑰(BYOK)。

在此模式下，客戶會成為加密密鑰的所有者和管理著，而不交給云服務(wù)提供商。

這讓客戶可結(jié)合服務(wù)提供商利用現(xiàn)有密鑰管理、加密、存儲或其他軟件及硬件，以實現(xiàn)加密功能，但限制服務(wù)提供商對密鑰材料的訪問。

根據(jù)具體部署，自帶加密可允許使用硬件安全模塊、第三方密鑰管理工具、訪問管理及日志記錄或其他密鑰代理功能。

這為客戶提供了很多潛在好處，首先最明顯的是，數(shù)據(jù)的任何訪問都需要客戶參與，包括執(zhí)法機構(gòu)請求訪問數(shù)據(jù)的情況。

同時，這創(chuàng)建了一個技術(shù)屏障，在授予他人訪問數(shù)據(jù)前，都需要客戶參與。

除此之外，自帶加密還給客戶帶來其他好處。

例如，當(dāng)企業(yè)考慮更換服務(wù)提供商時，它可幫助企業(yè)取回自己的數(shù)據(jù)。

當(dāng)服務(wù)提供商需要解除云計算合同時，如果他們知道客戶是唯一可訪問密鑰的人，這可確保在合同終止后他們不能再訪問數(shù)據(jù)。

同時，對于那些希望確保對數(shù)據(jù)進行地理限制的企業(yè)，自行加密可幫助實現(xiàn)這一點，即使數(shù)據(jù)可能會在客戶意料之外的其他地區(qū)，但客戶可通過密鑰所有權(quán)來控制數(shù)據(jù)可訪問程度。

部署注意事項基于BYOE的優(yōu)勢，對于云服務(wù)客戶來說，下一個邏輯問題是部署的相對復(fù)雜性，即部署B(yǎng)YOE的難易程度以及在何種情況下可用。

請注意，并非所有云服務(wù)提供商都為其每項服務(wù)提供自帶加密選項。

亞馬遜在AWS密鑰管理服務(wù)中提供該選項，而微軟在Azure Key Vault中提供，此外，Salesforce最近在其Shield產(chǎn)品中提供該功能。

在存儲領(lǐng)域，Box和Tresorit等提供商為客戶提供此功能以利用自己的密鑰。

然而，并非所有云服務(wù)提供商(特別是小型提供商)都已經(jīng)部署此功能。

對于需要該功能的企業(yè)來說，他們需要認識到的是，提供該功能的服務(wù)提供商選擇可能有限。

此外，在企業(yè)嘗試自帶加密部署之前，企業(yè)需要了解自己的準(zhǔn)備情況。

對于加密方面(例如密鑰管理程序、密鑰到期和其他部署)，很多企業(yè)并不是非常嚴格。

如果你的企業(yè)已經(jīng)在內(nèi)部部署密鑰管理時面臨挑戰(zhàn)，則應(yīng)該更加謹慎對待BYOE功能，因為這可能會制造混亂。

并且，企業(yè)還需要了解其環(huán)境中影子使用情況，因為這可能會影響自帶加密功能的部署。

最后，企業(yè)必須確定自己準(zhǔn)備好處理與支持BYOE相關(guān)的可用性和后續(xù)問題。

如果云服務(wù)提供商請求密鑰來完成特定操作，則企業(yè)需要準(zhǔn)備好支持這一點。

企業(yè)是否有人員來創(chuàng)建服務(wù)密鑰?企業(yè)是否適當(dāng)限制其內(nèi)部訪問，確保只有受允許的人員可創(chuàng)建以及訪問密鑰?這在BYOE的情況下也同樣重要，因為BYOE位于內(nèi)部密鑰管理中。

自帶加密可帶來巨大的價值和靈活性，但發(fā)揮它的最大價值需要一些準(zhǔn)備工作。