欢迎访问敏捷云!

【云分享】AgileHSM 数据加密解决方案 ②

2021-03-24 原创文章 作者:伍航恩、高亚川

亚马逊云科技加速周Webinar主题分享将于2021年3月15日-19日云上举办,敏捷云技术专家受邀作主题为《AgileHSM 数据加密解决方案》的分享。

■ AgileHSM 数据加密解决方案 ■

主讲安全顾问:高亚川

对BYOK有需求的中小型企业(有BYOK需求但是不愿或无法投入费用购买硬件加密机的企业),让企业了解BYOK对企业在AWS上数据合规的意义,提供如何在AWS上保护企业数据的SaaS解决方案。

BYOK工作原理

首先通过HSM加密机,来生成CMK需要的密钥材料,然后在亚马逊KMS密钥管理系统里,生成CMK客户主密钥,这样一来,我们在亚马逊KMS系统里的CMK,就受到了HSM的保护,然后就可以通过CMK去衍生加密数据的密钥了,RDS也就可以通过这个密钥去加密了。这样,我们的主密钥、密钥和数据就分别在加密机和亚马逊云环境了。

BYOK的工作原理如上图,硬件加密机产生加密密钥,云服务商用加密机生产出来的密钥到云环境里做加解密。而加密机给的密钥是有时限的,时效一过,亚马逊云环境里的加密密钥也就失效了,就需要再到HSM加密机去再拿一次加密密钥,这就保证了时效一过数据无法打开,这也就是亚马逊KMS+BYOK的架构。也就是说,光有亚马逊密钥是不够的,通过自带密钥去管理云数据才是合规的。

通过这张对比图我们可以解答很多人的疑问:当我换云服务商的时候,我怎么保证我的数据是完全迁移走或者是删除不被留下的?答案是显然的,通过BYOK我们可以拥有密钥的所有权,可以管理和设置密钥的使用时间,设定时效,保证数据保密不被打开。

HSM的应用场景很多,包括云安全、代码签名、固件升级、应用程序更新等。但是HSM加密机对很多企业来说,是有使用门槛的。比如有些企业不允许进口HSM设备,前期预算少,收入低,加密机采购到使用的流程太长,又或者企业仅仅需求一个虚拟开发的POC环境以缩短POC周期,这些场景下,就需要AgileHSM SaaS解决方案。

AgileHSM SaaS解决方案

如上图,通过敏捷云对加密机进行托管或半托管,用户可以在亚马逊云平台调用加密机密钥。这样,企业只需要租用加密机,而不再需要花很长的采购周期跟预算成本去部署一台加密机。

AgileHSM 关键优势

无论企业是采用云优先方法来实现其加密功能,还是选择性地将特定服务迁移到云,亦或是增强HSM能力以应对偶发的工作负载高峰,AgileHSM都非常适合与任何安全策略保持一致。AgileHSM适用于很多应用场景,与企业的任何安全策略都能保持一致。企业不但能自己掌管密钥,也不需要过多前期的预算投入。这样企业使用HSM加密机的种种门槛困难转移到敏捷云上,客户只需要直接调用,既保证了一致的合规策略,也能具备一些云密钥保护方案所不具备的要求。

敏捷云除了推出AgileHSM SaaS服务,还推出了AgileAUTH和AgileBACUP的SaaS服务解决方案。