靜態(tài)數(shù)據(jù)一直是通過被稱為公鑰基礎設施(PKI)的技術(shù)來保護：當數(shù)據(jù)被創(chuàng)建時，就會使用公鑰對數(shù)據(jù)進行加密，并且從理論上講，只有持有私鑰的授權(quán)人才能夠解密數(shù)據(jù)。當將這種數(shù)據(jù)保護辦法擴展到云環(huán)境后，事情會變得更加復雜。

　　由于在云環(huán)境中，IT團隊缺乏對數(shù)據(jù)安全的直接控制，所以數(shù)據(jù)遷移到云環(huán)境將會給IT團隊帶來新的復雜的安全問題。此外，云供應商認為數(shù)據(jù)安全是需要共同承擔責任，即服務供應商保證物理安全，用戶必須保護其服務器和數(shù)據(jù)的安全。這將需要新的加密策略和密鑰管理策略，將密鑰存儲在云環(huán)境外部，而不是云環(huán)境中。

　　初創(chuàng)安全公司Porticor剛剛推出了一個解決方案，專門解決云環(huán)境中靜態(tài)數(shù)據(jù)安全問題。Porticor公司提供了一種分離密鑰加密解決方案，云客戶是唯一知道主密鑰的人。另外，Porticor公司解決了所有與加密數(shù)據(jù)有關(guān)的復雜問題，客戶幾乎不要去想這些問題。這種獨特的密鑰管理解決方案既提供了安全性，也提供了便利性。

　　在云中加密數(shù)據(jù)的根本問題是將密鑰存儲在哪里?？蛻舨荒軐⒚荑€存儲在云端的磁盤中，因為這可能受到黑客攻擊。另外，客戶也可以讓供應商來幫助保存密鑰，但這意味著你要將信任交給第三方。客戶也可以將密鑰帶回他們自己的數(shù)據(jù)中心，但這似乎違背了將數(shù)據(jù)中心服務外包到云環(huán)境的目的。Porticor公司現(xiàn)在提供了一種既簡單又安全的密鑰管理方案。

　　Porticor的方法主要基于銀行安全保管箱的概念，這種保管箱有兩個密鑰，一個交給客戶，另一個交給Porticor虛擬密鑰管理服務。正如安全保管箱一樣，客戶如果不提供Porticor提供的密鑰，就無法解密數(shù)據(jù)，同樣的，如果Porticor不提供客戶持有的主密鑰，也無法解密數(shù)據(jù)。在實踐中，客戶的每個項目(通常是指一個應用程序)都有一個密鑰。Porticor持有數(shù)以千計的密鑰，每個密鑰對應著客戶項目的每個文件或者磁盤。盡管如此，密鑰必須配對使用才能夠訪問被加密的數(shù)據(jù)。

　　除了密鑰分別交由客戶和Porticor保管外，這種解決方案獨特的部分在于密鑰本身都是通過客戶的主密鑰來加密，而主密鑰只有客戶持有和知道。因此，雖然Porticor持有項目配對的密鑰，但是供應商并不能讀取密鑰，因為它們已經(jīng)加密了。通過使用客戶的主密鑰來加密Porticor密鑰，Porticor完全緩解了終端數(shù)據(jù)保護的壓力?？蛻舯仨殞懴轮髅荑€，并存儲在鋼制箱內(nèi)，這樣世界上就沒有其他人能夠看到密鑰。另一個方法是將主密鑰交給托管服務。

　　Porticor解決方案部署在云端服務器和存儲間，以確保服務器和存儲間的每字節(jié)數(shù)據(jù)都被加密了，并且從存儲移動到服務器的每字節(jié)數(shù)據(jù)都只能通過客戶來解密。Porticor解決方案的中間部分是其核心，Virtual Private Data(VPD)應用程序，VPD是使用加密算法(例如AES-256)用于解密任何磁盤或存儲陣列的虛擬設備。VPD檢索Porticor密鑰，以及請求客戶密鑰。

　　Porticor公司稱，這具有軍用級安全性，因為只有一方(即客戶)持有主密鑰來解密數(shù)據(jù)。只有當整個服務器集群需要重新啟動時，主密鑰才需要從鋼制箱中取出來，而這是很罕見的情況。當新應用程序服務器被創(chuàng)建時，它們將通過VPD自動繼承之前的加密。

　　在安全和風險管理方面，Porticor不會將任何“普通密鑰”保存到任何磁盤中。這樣，即使黑客滲透到服務供應商的網(wǎng)絡來搜索數(shù)據(jù)，黑客也找不到任何可以偷竊的東西。

　　Porticor解決方案能夠與任何云部署協(xié)作。目前，Porticor已經(jīng)與亞馬遜網(wǎng)絡服務(AWS)以及Red Hat建立了合作伙伴關(guān)系。