云計(jì)算正在引起越來越多的企業(yè)和中小型企業(yè)組織的注意。其具備諸多益處，成本、結(jié)構(gòu)都使其成為傳統(tǒng)數(shù)據(jù)中心最強(qiáng)有力的替代品，但同時(shí)云數(shù)據(jù)安全、云加密和云密鑰管理仍然是讓潛在用戶存在部分隱憂。思想領(lǐng)袖和分析師們認(rèn)為云數(shù)據(jù)加密是一項(xiàng)基本的步驟，但就是處理這個(gè)基礎(chǔ)問題，經(jīng)常出現(xiàn)復(fù)雜的狀況。

云密鑰管理需要演變到云中

我們通常使用三中方法實(shí)現(xiàn)云密鑰管理，且它們各有優(yōu)缺點(diǎn)。第一種方法是使用云供應(yīng)商提供的加密，其優(yōu)點(diǎn)顯而易見——易于部署和管理，而且可以很好地與云數(shù)據(jù)層相結(jié)合，但它的費(fèi)用很高。當(dāng)然這需要你足夠信任云供應(yīng)商，并將最需保密的加密密鑰交給它。數(shù)據(jù)安全專家Rich Mogul已在他的博客中詳盡闡述了這個(gè)問題。第二種方法是將你的加密密鑰委托給信任的第三方。這種方法消除了一些云的靈活性優(yōu)勢(shì)，因?yàn)樗鼘⒉辉僬系侥愕脑浦校匀痪哂泻鸵郧耙粯拥娘L(fēng)險(xiǎn)——你信任第三方來保管你的密鑰。第三種方法是在實(shí)體數(shù)據(jù)中心中加入密鑰管理服務(wù)器。雖然這種方法足夠安全，但它削弱了云的許多優(yōu)勢(shì)，并迫使你往返于數(shù)據(jù)中心，這無疑使云服務(wù)的一種倒退。

分離密鑰管理

為了有效地在公共云環(huán)境中管理密鑰，特別是在IaaS和PaaS的情況下，我們需要一個(gè)云的專屬技術(shù)。一個(gè)專為云設(shè)計(jì)的技術(shù)，而非附加在云上。分離密鑰管理是一個(gè)典型的例子。下面是它工作的方法：想像一個(gè)客戶定制的銀行保險(xiǎn)庫有兩個(gè)密鑰：一個(gè)由客戶保管，另一個(gè)有“銀行家”保管，在這里它是Porticor 虛擬密鑰管理服務(wù)?？蛻魧?shí)際上在每個(gè)項(xiàng)目中都有一個(gè)密鑰，通常是應(yīng)用程序。Porticor則有數(shù)以千計(jì)的密鑰，這些密鑰與項(xiàng)目中的文件或磁盤一一對(duì)應(yīng)。事實(shí)上，這種方法有很多獨(dú)特之處。密鑰被分離在客戶和Porticor手中，然而它們都被客戶手中的主密鑰所加密，而主密鑰只有客戶知道并持有。因此，Porticor持有半個(gè)密鑰，但它無法讀取密鑰，因?yàn)樗鼈兪羌用艿?。而企業(yè)端唯一的額外要求就是保證主密鑰的安全。