密鑰管理服務(wù)的質(zhì)量在于其簡化保護加密密鑰安全的能力。雖然專家對谷歌Cloud KMS的易用性印象深刻，但該產(chǎn)品并沒有提供任何特別的新功能。

日前谷歌推出云密鑰管理服務(wù)(KMS)作為谷歌云計算平臺(GCP)的擴展，目前該服務(wù)在北美、歐洲和東南亞等地區(qū)作為測試服務(wù)提供。

[[182627]]

谷歌的Cloud KMS主要針對“受監(jiān)管的行業(yè)，例如金融服務(wù)和醫(yī)療保健行業(yè)”，因為傳統(tǒng)“定制或特制密鑰管理系統(tǒng)難以擴展和維護”。

“Cloud KMS提供基于云的信任根，讓你可以監(jiān)控和審核，”谷歌產(chǎn)品經(jīng)理Maya Kaczorowski稱，“通過Cloud KMS，你可以管理云托管解決方案中的對稱加密密鑰，無論它們是用于保護GCP中還是其他環(huán)境中存儲的數(shù)據(jù)。你可以通過Cloud KMS API創(chuàng)建、使用、替換和銷毀密鑰，包括作為密鑰管理或信封加密解決方案的一部分。它可直接與云身份訪問管理以及云審計日志集成，以便你更好的控制密鑰。”

容器安全公司Twistlock首席技術(shù)官John Morello(他也是前微軟公鑰基礎(chǔ)設(shè)施項目經(jīng)理)稱，谷歌的Cloud KMS是“一個很好的例子，它說明安全和云技術(shù)領(lǐng)域的每個人都應(yīng)該關(guān)注這一點：讓曾經(jīng)難以部署的安全最佳做法變得易于部署。”

“通過降低密鑰管理的復(fù)雜性，每個開發(fā)人員可更輕松地保護數(shù)據(jù)。嚴(yán)格的說，谷歌的方法還為客戶提供了選擇，讓你不會受限于單個信任錨，”Morello稱，“你可使用他們提供的支持來完全控制用于高度敏感環(huán)境的密鑰，同時，使用內(nèi)置平臺支持來管理不太關(guān)鍵的密鑰。這讓你可更簡單地加密一切事物，同時嚴(yán)格控制這些密鑰的管理。”

然而，云安全公司CipherCloud產(chǎn)品營銷高級主管David Berman表示，與其他新工具(例如亞馬遜的AWS密鑰管理服務(wù))相比，這次發(fā)布沒有什么“獨特之處”。

“谷歌KMS僅支持谷歌云計算平臺客戶的靜態(tài)數(shù)據(jù)加密用例，”Berman稱，“這次發(fā)布突出表明，在亞馬遜和其他云計算存儲提供商已經(jīng)添加這樣的選項后，谷歌推遲了很久才推出KMS選項。”

網(wǎng)絡(luò)安全公司Rubicon Labs副總裁Rod Schultz稱，谷歌的Cloud KMS應(yīng)該會幫助企業(yè)構(gòu)建更好的安全性。

“為了提高安全性，其細(xì)節(jié)和復(fù)雜性必須抽象化，這也是谷歌通過KMS提供的功能。安全管理保護靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)密鑰是加強云計算安全性的第一步，”Schultz指出，“當(dāng)前云計算中很多漏洞和攻擊都是因為糟糕的密鑰管理或者完全缺乏密鑰管理的結(jié)果，KMS應(yīng)該會讓全世界的首席信息安全官每天晚上睡得更好。”

數(shù)據(jù)保護公司CTERA Networks市場營銷副總裁Tom Grave稱，谷歌的Cloud KMS應(yīng)該會在“易用性和可擴展性方面提供價值，讓客戶更放心與其云計算提供商共享密鑰管理信任。”

“對于很多公司來說，委托第三方進行密鑰管理是不可取的事情，這也是谷歌聰明之處，谷歌強調(diào)內(nèi)部部署密鑰管理仍然是一種選擇，”Grave稱，“總體而言，谷歌這次的發(fā)布表明我們今年會看到更多改進。隨著云服務(wù)市場不斷成熟，企業(yè)級特性和功能已經(jīng)成為大多數(shù)企業(yè)買家購買云產(chǎn)品的先決條件。”

Berman稱谷歌的密鑰管理服務(wù)可能不足以滿足其目標(biāo)監(jiān)管企業(yè)市場的需求。

“基于云的密鑰管理并沒有太大優(yōu)勢，包括強調(diào)媒介加密是數(shù)據(jù)安全的最低限度要求，”Berman稱，“金融服務(wù)和醫(yī)療機構(gòu)等監(jiān)管機構(gòu)不會認(rèn)為Cloud KMS共享密鑰管理做法可滿足審計與合規(guī)要求，這些要求包括職責(zé)分離、零知識加密以及客戶完全控制加密密鑰。”

Venafi公司安全戰(zhàn)略和威脅情報副總裁Kevin Bocek指出，谷歌“沒有解決云端密鑰和證書管理相關(guān)的真正挑戰(zhàn)”。

“云密鑰管理并不會自動化密鑰和數(shù)字證書的使用，而這是云計算和網(wǎng)絡(luò)安全最基本的需求：密鑰和證書確定可信任或不可信任哪些系統(tǒng)，并通過加密構(gòu)建隱私性，”Bocek表示，“因此當(dāng)考慮使用谷歌的云服務(wù)時，這是企業(yè)云計算、DevOps和安全團隊必須填補的巨大差距。”

ERPScan公司首席ERP安全專家Dmitry Chastukhin表示，盡管谷歌的Cloud KMS可能更簡單可靠，但也可能給IT團隊帶來更多問題。

“對于企業(yè)來說，與維護定制或特制系統(tǒng)來管理加密密鑰相比，使用交鑰匙云式解決方案更加方便，畢竟保護云計算產(chǎn)品是安全團隊最頭痛的問題之一，”Chastukhin稱，“簡而言之，谷歌的KMS看起來很安全，但就我而言，從安全角度考慮，我不建議將其用于關(guān)鍵基礎(chǔ)設(shè)施相關(guān)的密鑰。”