【云分享】AgileHSM 数据加密解决方案 ①

亚马逊云科技加速周Webinar主题分享将于2021年3月15日-19日云上举办，Agilewing技术专家受邀作主题为《AgileHSM 数据加密解决方案》的分享。

■ AgileHSM 数据加密解决方案 ■

主讲安全顾问：高亚川

对BYOK有需求的中小型企业（有BYOK需求但是不愿或无法投入费用购买硬件加密机的企业），让企业了解BYOK对企业在AWS上数据合规的意义，提供如何在AWS上保护企业数据的SaaS解决方案。

合规 - 随者数据并行的规范

大部分企业对如何防止隐私数据的外泄，都知之甚少。如上图所示，这样一张复杂的合规法案世界地图，如何扫雷？高亚川将以欧盟GDPR的基本罚则为例，阐述了安全合规避免踩雷的重要性。就是很普通的cookie的应用，很多企业默认设置成“是”的动作，在GDPR里都是违规的。针对出海电商、金融、游戏、手机制造或IOT几大行业，面对不同区域合规的需求都是不同和多样的，甚至有的行业，系统在海外，服务在国内，也一样需要思考数据合规与保护的问题。

特别要提到的是数据安全CIA概念，即信息安全的保密性，完整性和可用性。把数据加密予以保护就是实现了保密性；如果通过算法验证到数据没有被篡改过，那么数据保持了完整性；当加密的数据可以通过解密获取到，就实现了数据的可用性。一旦数据上云，被篡改或者泄露，是不符合合规的需求的。

使用公有云，如何实现数据合规

如上图所示，公有云都具备了数据安全防护功能，在自建部署和公有云的数据存储上，又有什么差异呢？高亚川将以亚马逊云科技几乎无懈可击的信息安全和云安全为例，在webinar中做出解答与分享。

另一个问题：是否亚马逊云科技合规，用户就合规？

从责任共担模型来看，橙色部分是亚马逊云科技提供的，本身是合规的，而蓝色部分是需要用户自己去管理的，公有云只提供了基本架构，数据是属于用户的，所以行业合规与区域性合规的责任都跟公有云是没有关系的。因此，在云安全方面，亚马逊云科技也为用户提供了一系列的解决方案。

保护 Amazon Web Services 中的数据

当用户通过亚马逊云科技的原生系统生成CMK主密钥，再通过CMK生成加密数据密钥，RDS实例中的数据就可以通过数据密钥进行加密了。不同的RDS还可以通过不同的数据密钥进行加密。用户的主密钥、数据密钥和数据都是放在亚马逊云当中的，在需要职责分离的场景下，这是一个不合规的使用方法。

而BYOK自带密钥的解决方案又是怎么实现职责分离的呢？

相比Cloud Front，AgileCDN增加了一键复制功能，客户有场景需要一次创建多个CDN分配或者跟现有CDN一样的配置时，AgileCDN就提供了非常高效的一键复制功能，客户只需要进行常规的加速域名和证书的修改就可以了。AgileCDN不仅能大大提高运维人员的工作效率，也避免了手工设置出错的风险。

如上图示，在3月19日下午14:30-15:00 ，亚马逊云科技加速周webinar的主题分享里，Agilewing安全顾问高亚川将为您分享AgileHSM解决方案，您将了解如何为客户提供专用的HSM服务。客户可以完全控制他们的加密密钥-双重控制和完全的职责分离。

如果您错过3月19日的分享，请关注Agilewing微信公众号，我们将会在下一次主题《云分享 | AgileHSM 数据加密解决方案②》推送中分享视频并为您分享AgileHSM解决方案