【云分享】AgileHSM 数据加密解决方案 ②

亚马逊云科技加速周Webinar主题分享将于2021年3月15日-19日云上举办，Agilewing技术专家受邀作主题为《AgileHSM 数据加密解决方案》的分享。

■ AgileHSM 数据加密解决方案 ■

主讲安全顾问：高亚川

对BYOK有需求的中小型企业（有BYOK需求但是不愿或无法投入费用购买硬件加密机的企业），让企业了解BYOK对企业在AWS上数据合规的意义，提供如何在AWS上保护企业数据的SaaS解决方案。

BYOK工作原理

首先通过HSM加密机，来生成CMK需要的密钥材料，然后在亚马逊KMS密钥管理系统里，生成CMK客户主密钥，这样一来，我们在亚马逊KMS系统里的CMK，就受到了HSM的保护，然后就可以通过CMK去衍生加密数据的密钥了，RDS也就可以通过这个密钥去加密了。这样，我们的主密钥、密钥和数据就分别在加密机和亚马逊云环境了。

BYOK的工作原理如上图，硬件加密机产生加密密钥，云服务商用加密机生产出来的密钥到云环境里做加解密。而加密机给的密钥是有时限的，时效一过，亚马逊云环境里的加密密钥也就失效了，就需要再到HSM加密机去再拿一次加密密钥，这就保证了时效一过数据无法打开，这也就是亚马逊KMS+BYOK的架构。也就是说，光有亚马逊密钥是不够的，通过自带密钥去管理云数据才是合规的。

通过这张对比图我们可以解答很多人的疑问：当我换云服务商的时候，我怎么保证我的数据是完全迁移走或者是删除不被留下的？答案是显然的，通过BYOK我们可以拥有密钥的所有权，可以管理和设置密钥的使用时间，设定时效，保证数据保密不被打开。

HSM的应用场景很多，包括云安全、代码签名、固件升级、应用程序更新等。但是HSM加密机对很多企业来说，是有使用门槛的。比如有些企业不允许进口HSM设备，前期预算少，收入低，加密机采购到使用的流程太长，又或者企业仅仅需求一个虚拟开发的POC环境以缩短POC周期，这些场景下，就需要AgileHSM SaaS解决方案。

AgileHSM SaaS解决方案

如上图，通过Agilewing对加密机进行托管或半托管，用户可以在亚马逊云平台调用加密机密钥。这样，企业只需要租用加密机，而不再需要花很长的采购周期跟预算成本去部署一台加密机。

AgileHSM 关键优势

无论企业是采用云优先方法来实现其加密功能，还是选择性地将特定服务迁移到云，亦或是增强HSM能力以应对偶发的工作负载高峰，AgileHSM都非常适合与任何安全策略保持一致。AgileHSM适用于很多应用场景，与企业的任何安全策略都能保持一致。企业不但能自己掌管密钥，也不需要过多前期的预算投入。这样企业使用HSM加密机的种种门槛困难转移到Agilewing上，客户只需要直接调用，既保证了一致的合规策略，也能具备一些云密钥保护方案所不具备的要求。

Agilewing除了推出AgileHSM SaaS服务，还推出了AgileAUTH和AgileBACUP的SaaS服务解决方案。