“攜帶您自己的密鑰（BYOK）”是如何成為現(xiàn)實(shí)的？您所在的企業(yè)是否正面臨著需要管理和保護(hù)自己的云加密密鑰的負(fù)擔(dān)呢？

正是由于愛(ài)德華·斯諾登對(duì)于美國(guó)國(guó)家安全局的揭露;索尼遭受到全面的黑客入侵;以及正在持續(xù)進(jìn)行的存儲(chǔ)在云中的電子郵件到底是屬于發(fā)件人還是服務(wù)托管機(jī)構(gòu)的法律糾紛，促使越來(lái)越多的云服務(wù)遷移到了加密數(shù)據(jù)。有些甚至更進(jìn)一步，提供了帶上您自己的密鑰(BYOK)的選項(xiàng)，使得用戶擁有自己的云數(shù)據(jù)的加密密鑰。

去年夏天，谷歌計(jì)算引擎開始為用戶自己的密鑰加密的數(shù)據(jù)和計(jì)算提供預(yù)覽服務(wù)，而亞馬遜則同時(shí)為EC2和S3云服務(wù)實(shí)例提供軟鍵管理和價(jià)格更高的(設(shè)置較慢)云硬件安全模塊服務(wù)(Cloud HSM service)，用戶的密鑰被存在亞馬遜的云的專用硬件安全模塊。Adobe創(chuàng)意云現(xiàn)在支持用戶管理的數(shù)據(jù)加密密鑰，用來(lái)保護(hù)同步到創(chuàng)意云帳戶的內(nèi)容。而微軟的密鑰庫(kù)是一個(gè)單一的、經(jīng)審核的、有相應(yīng)版本的安全庫(kù)，結(jié)合了Azure活動(dòng)目錄進(jìn)行身份驗(yàn)證。密鑰庫(kù)允許用戶存儲(chǔ)密碼、配置細(xì)節(jié)、API密鑰、證書、連接字符串、簽名密鑰、SSL密鑰和Azure權(quán)限管理的加密密鑰、SQL Server TDE、Azure存儲(chǔ)、Azure磁盤加密、用戶自己在Azure上的.NET應(yīng)用程序以及使用EMC的CloudLink安全虛擬機(jī)加密的虛擬機(jī)。在密鑰庫(kù)的密鑰要么可以作為軟鍵存儲(chǔ)，在一個(gè)HSM中由系統(tǒng)密鑰加密;要么直接從用戶自己的HSM加載到微軟HSM(在一個(gè)選定的地理區(qū)域)，所以您可以在您企業(yè)內(nèi)部創(chuàng)建密鑰，并將他們轉(zhuǎn)移到密鑰庫(kù)。

Dan Plastina所運(yùn)行的微軟信息保護(hù)組就包括密鑰庫(kù)。他指出了以同樣的方式管理不同系統(tǒng)的密鑰的優(yōu)點(diǎn)。“這其中吸引人的地方就在于：如果您企業(yè)有這樣一個(gè)機(jī)制，其適用于Office 365的工作負(fù)載，包括Exchange、SharePoint和OneDrive業(yè)務(wù)，那么，同樣的機(jī)制也將適用于業(yè)務(wù)線應(yīng)用程序，其將被用于虛擬機(jī)、將秘密填充到虛擬機(jī)、CRM、SQL Server、HD Insight，您將開始以非常相似的一種范式來(lái)管理您的微軟工作負(fù)載，而其培訓(xùn)也是非常相似的。”他說(shuō)，如果您企業(yè)因?yàn)閾?dān)心失去您的密鑰的危險(xiǎn)而正在考慮BYOK是至關(guān)重要的。

“您正在尋找能夠幫助您實(shí)現(xiàn)環(huán)繞式處理技術(shù)的東西，然后培訓(xùn)您的員工去這么做，因?yàn)槟幌胧ツ拿荑€，然后再失去了您的數(shù)據(jù)。”Plastina說(shuō)。當(dāng)您使用HSM支持的鍵時(shí)，就像在Azure密鑰庫(kù)的云HSM或BYOK一樣，密鑰從您的HSM直接上傳，而云服務(wù)從來(lái)也看不到密鑰。這意味著他們無(wú)法把您的密鑰交給一個(gè)攻擊者或一個(gè)政府的調(diào)查機(jī)構(gòu)。但這同時(shí)也意味著他們無(wú)法將密鑰交還給您。

“如果您失去了您的密鑰，所有被該密鑰加密的數(shù)據(jù)便永遠(yuǎn)消失一去不復(fù)返了。”Plastina說(shuō)。“當(dāng)密鑰是從他們的基礎(chǔ)設(shè)施轉(zhuǎn)移到我們的HSM時(shí)，是以我們看不見方式完成的，因此如果某位客戶回來(lái)告訴我們說(shuō)，他們的辦公建筑焚毀了，HSM也沒(méi)有了，那么，這就意味著所有的密鑰也都丟失了，一切都結(jié)束了。俗話說(shuō)，能力越大責(zé)任越大。人們?nèi)绻胍獏⑴c進(jìn)來(lái)，就需要執(zhí)行相應(yīng)的任務(wù)。”

服務(wù)托管的密鑰可以向您的保證，其每位租戶和每個(gè)訂購(gòu)的密鑰都是管理職責(zé)和審計(jì)職責(zé)分離的，而沒(méi)有管理密鑰的頭疼問(wèn)題。“但是，借助BYOK，我們要求客戶以重要的方式參與進(jìn)來(lái)。” Plastina說(shuō)。“這意味著設(shè)置密鑰庫(kù)并管理庫(kù);在某些情況下，需要HSM支持的密鑰，以便他們能夠在企業(yè)內(nèi)部采購(gòu)一款HSM，他們必須運(yùn)行他們自己法定人數(shù)的管理員的智能卡和PIN碼，并且必須在正確的地方保存智能卡。這肯定增加了他們的負(fù)擔(dān)。”

如果您企業(yè)正在考慮采用攜帶自己的密鑰的政策是否適合您企業(yè)的業(yè)務(wù)的話——這也意味著確保您自己的密鑰安全，您需要考慮的第一個(gè)問(wèn)題便是您企業(yè)是否準(zhǔn)備好成為一家銀行。因?yàn)槟髽I(yè)將不得不采用同樣的嚴(yán)格要求來(lái)運(yùn)行您的關(guān)鍵基礎(chǔ)設(shè)施，甚至包括考慮您企業(yè)辦公人員的旅行計(jì)劃。如果您企業(yè)有三名授權(quán)的人員能夠使用智能卡訪問(wèn)您企業(yè)的密鑰，您肯定不會(huì)想讓他們?nèi)欢纪瑫r(shí)出現(xiàn)。

保護(hù)密鑰的負(fù)擔(dān)意味著盡管一些微軟的客戶，特別是在汽車制造行業(yè)的用戶選擇了采用BYOK政策，“有人說(shuō)我們相信微軟將做的是正確的事情，”Plastina說(shuō)。“他們都以’我想要擁有控制權(quán)’作為他們的開場(chǎng)白，但當(dāng)他們看到需要承擔(dān)的相應(yīng)責(zé)任，并了解了微軟承擔(dān)了相當(dāng)多的責(zé)任時(shí)，他們會(huì)說(shuō)’您為什么不做’。他們不想成為一個(gè)鏈條上較弱的一環(huán)。”

甚至一些紐約的金融機(jī)構(gòu)，最初也曾想采用BYOK來(lái)幫助他們管理企業(yè)內(nèi)部的HSM，而當(dāng)他們考慮到哪些可能出問(wèn)題的領(lǐng)域時(shí)，他們開始堅(jiān)決反對(duì)了，Rich表示說(shuō)。“一款HSM可能已經(jīng)關(guān)閉，會(huì)漏出大量的用戶基本信息。他們很快想到，這可能是一個(gè)潛在的巨大的拒絕服務(wù)攻擊，由公司內(nèi)部的惡意攻擊者執(zhí)行。這些都是我們最先進(jìn)的高度敏感的顧客，這不僅是一個(gè)巨大的責(zé)任，同時(shí)也潛在的具有破壞的威脅，無(wú)論是意外的或是惡意的。”

一些企業(yè)認(rèn)為他們需要BYOK以遵守法律要求的密鑰在他們的監(jiān)督下的規(guī)定。在不同的司法管轄區(qū)有一系列實(shí)際意義的解釋;“我們相信我們滿足了這些法律的精神和目的。”Plastina表示說(shuō)。一項(xiàng)類似于密鑰庫(kù)的服務(wù)可以使得在特定的地區(qū)保管密鑰更容易，特別是規(guī)對(duì)于那些規(guī)模較小的、在他們所開展業(yè)務(wù)的所有地區(qū)沒(méi)有相應(yīng)物理基礎(chǔ)設(shè)施的企業(yè)。

然而，仍有一些企業(yè)想擁有攜帶自己的密鑰的選擇——或者甚至將密鑰托管在一款他們運(yùn)營(yíng)的HSM中。在許多方面，托管自己的密鑰違背了許多公司采用云服務(wù)的初衷，因?yàn)樵品?wù)的速度，簡(jiǎn)單性和節(jié)省成本的特點(diǎn)，使得企業(yè)不再運(yùn)行自己的基礎(chǔ)設(shè)施以提供這些服務(wù)。如果您企業(yè)想保持可接受的性能和服務(wù)水平，您將需要大量的基礎(chǔ)設(shè)施。“那些客戶將需要運(yùn)行高可用性容錯(cuò)的數(shù)據(jù)中心分布式服務(wù)到問(wèn)題密鑰。”Plastina警告說(shuō)。如果不是今天微軟所提供的服務(wù)，那么這些行業(yè)的企業(yè)要做到像銀行一樣是相當(dāng)重要的，因?yàn)檫@些銀行企業(yè)已經(jīng)有了流程和安全的密鑰方面的專業(yè)知識(shí)，以及審查員工方面的經(jīng)驗(yàn)

BYOK和Office 365

企業(yè)用戶不必?cái)y帶和管理自己的密鑰，以便獲得更多的控制和透明度，微軟Office 365團(tuán)隊(duì)的Paul Rich表示說(shuō)。BYOK并不是解決企業(yè)用戶失去對(duì)加密的控制權(quán)與通過(guò)在將數(shù)據(jù)遷移到云服務(wù)之前對(duì)其進(jìn)行加密而失去云服務(wù)的大多數(shù)好處之間緊張關(guān)系的唯一方式。

“如果您在將相關(guān)的數(shù)據(jù)遷移到云服務(wù)之前對(duì)數(shù)據(jù)進(jìn)行了加密，那么這些數(shù)據(jù)就不能被推理，而簡(jiǎn)單的表格，以及諸如垃圾郵件和病毒檢測(cè)之類的任務(wù)也是不可能完成的，而更高級(jí)別的功能，如符合法律監(jiān)管和深入的文檔發(fā)現(xiàn)等等功能都將需要獲得上傳這些內(nèi)容的人員的授權(quán)。企業(yè)CIO們明白，當(dāng)他們來(lái)到云服務(wù)時(shí)，他們希望具備這些功能。他們所問(wèn)的問(wèn)題是“我們?cè)鯓硬拍茏屇軌蛲ㄟ^(guò)利用機(jī)器做到這一點(diǎn)，同時(shí)又不讓您的人員看到我們的數(shù)據(jù)呢?”

另一種選擇是采用新的Office Lockbox。“這一服務(wù)理念是：提供云服務(wù)的人沒(méi)有權(quán)限訪問(wèn)您的內(nèi)容。您可以確保微軟不會(huì)有人訪問(wèn)您所存儲(chǔ)的內(nèi)容。如果有我們需要訪問(wèn)的一個(gè)支持的理由，我們會(huì)請(qǐng)求獲得訪問(wèn)許可，并直到我們得到該許可，人為運(yùn)行的服務(wù)無(wú)法訪問(wèn)這些內(nèi)容。”客戶將獲得透明度和能見度，Rich說(shuō);他們可以看到有哪些訪問(wèn)請(qǐng)求，并能夠控制那些業(yè)務(wù)訪問(wèn)請(qǐng)求可以被批準(zhǔn)，并獲得相關(guān)的活動(dòng)日志，了解當(dāng)訪問(wèn)發(fā)生時(shí)，哪些內(nèi)容被訪問(wèn)了。

而如果您想知道有哪些因素可以防止微軟隨意宣稱他們并沒(méi)有訪問(wèn)這些內(nèi)容，或者監(jiān)督管理員是否執(zhí)行了遠(yuǎn)遠(yuǎn)超出了日志顯示的操作的話，Rich列舉了微軟所負(fù)責(zé)運(yùn)行的政府安全計(jì)劃，在該計(jì)劃中，微軟負(fù)責(zé)提供對(duì)于微軟源代碼的訪問(wèn)控制，而這些代碼最近剛剛被北約組織進(jìn)行了更新。“我們與我們的客戶達(dá)成協(xié)議，我們托管負(fù)責(zé)Lockbox的代碼，并使其成為一個(gè)程序的一部分，允許第三方代碼審查，以顯示其沒(méi)有側(cè)門或后門。”

提供Lockbox意味著重寫Office服務(wù)，以便能夠刪除來(lái)自企業(yè)內(nèi)部部署的服務(wù)器軟件的默認(rèn)設(shè)置，因?yàn)楣芾韱T總是對(duì)于這些數(shù)據(jù)有訪問(wèn)權(quán)限。這在Exchange中已經(jīng)實(shí)現(xiàn)了，而Lockbox中的選擇現(xiàn)也已經(jīng)有了;其將在2016年第一季度成為SharePoint的一項(xiàng)功能選項(xiàng)。

Office 365也將從依靠BitLocker轉(zhuǎn)為對(duì)工作負(fù)載運(yùn)行在其之上的服務(wù)器的加密，當(dāng)工作負(fù)載運(yùn)行時(shí)不會(huì)提供保護(hù)，而是轉(zhuǎn)為對(duì)應(yīng)用程序?qū)舆M(jìn)行加密。這一功能已經(jīng)在SharePoint中完成，而對(duì)于在Exchange實(shí)現(xiàn)這一功能也已經(jīng)于2015年底準(zhǔn)備就緒了，企業(yè)版Skype的業(yè)務(wù)則被排在此之后。“這將把數(shù)據(jù)管理員與服務(wù)管理員獨(dú)立開來(lái)。”他聲稱。其也將是BYOK的。”我們將在應(yīng)用程序?qū)又惺褂妹荑€包裝，以通過(guò)用戶所擁有的Azure密鑰庫(kù)保護(hù)郵箱的內(nèi)容。”

“當(dāng)服務(wù)完全釋放時(shí)，我們的計(jì)劃是為客戶提供少量的密鑰，也許10或20個(gè)，方便用戶用來(lái)與您的客戶通過(guò)Exchange、SharePoint和企業(yè)版Skype進(jìn)行交流。大多數(shù)客戶表示說(shuō)他們不需要太多的密鑰，例如在美國(guó)和歐洲企業(yè)一般位三個(gè)密鑰，而在亞太地區(qū)，他們會(huì)將密鑰存儲(chǔ)在密鑰庫(kù)。

這些密鑰將需要保護(hù)，但不會(huì)使得Office 365的運(yùn)行更復(fù)雜，他預(yù)測(cè)說(shuō)。“您企業(yè)只需要做最少量的管理工作，偶爾調(diào)整一下密鑰。”Rich表示說(shuō)。“您使用這些密鑰的方法是作為整個(gè)服務(wù)的策略。在正常操作中，我們沒(méi)有權(quán)限訪問(wèn)您的內(nèi)容;如果一個(gè)人需要訪問(wèn)，那么Office Lockbox便會(huì)記錄，這樣用戶就能夠知道誰(shuí)在何時(shí)進(jìn)行了訪問(wèn)。而一旦您離開辦公大樓時(shí)，在密鑰庫(kù)中的密鑰會(huì)把所有的燈關(guān)掉。”

保護(hù)您的密鑰

根據(jù)去年的一項(xiàng)調(diào)查顯示，只有很少的企業(yè)加強(qiáng)了對(duì)于他們已經(jīng)負(fù)責(zé)的密鑰的安全保護(hù)，BYOK和HYOK將超出了許多企業(yè)的范圍。據(jù)Ponemon Institute的調(diào)查發(fā)現(xiàn)，大約有一半的企業(yè)對(duì)于其自己的SSH密鑰和許多非旋轉(zhuǎn)操作器(Rotate Key)沒(méi)有集中控制，這使得它們更容易受到攻擊。失去云加密密鑰會(huì)更麻煩，因?yàn)槟赡軙?huì)因此而永遠(yuǎn)失去數(shù)據(jù)。

記住，BYOK并不是您企業(yè)所需要承擔(dān)的唯一與密鑰管理相關(guān)的安全責(zé)任。Windows 10包括了新設(shè)備的保護(hù)選項(xiàng)以限制PC機(jī)只能運(yùn)行那些要么來(lái)自于Windows商店或已經(jīng)由ISV或由企業(yè)自己簽署的使用微軟認(rèn)證密鑰鏈的應(yīng)用程序。ISV和微軟可以簽署任何企業(yè)能運(yùn)行的應(yīng)用程序;但這些企業(yè)組織已經(jīng)經(jīng)歷了保護(hù)高價(jià)值的密鑰的過(guò)程。

簽名密鑰的企業(yè)得到的是更多的限制，生產(chǎn)的簽名應(yīng)用程序只能運(yùn)行在自己的領(lǐng)域。但這仍然意味著違背了您的簽名密鑰的攻擊者可以產(chǎn)生惡意軟件，以攻擊您的最安全的設(shè)備。

如果您正在使用設(shè)備保護(hù)配置代碼以完整您的電腦，微軟的Chris Hallum指出，“確保這些訪問(wèn)的人員是值得信賴的人進(jìn)行的是非常重要的，您企業(yè)可以使用雙因素身份驗(yàn)證，以確保只有有限數(shù)量的、您信任的資深人員在您的企業(yè)組織才有訪問(wèn)權(quán)限。”

在2007年，黑客偷了諾基亞用于其塞班操作系統(tǒng)應(yīng)用程序的數(shù)字簽名的密鑰，并勒索該公司交出數(shù)百萬(wàn)歐元。

如果您企業(yè)沒(méi)有準(zhǔn)備好處理從突發(fā)火災(zāi)事故到黑客勒索的這一系列或?qū)撛诘膶?duì)您企業(yè)的信息基礎(chǔ)設(shè)施和公司的數(shù)據(jù)造成拒絕服務(wù)攻擊的狀況的話，您企業(yè)可能不會(huì)準(zhǔn)備采用攜帶自己的密鑰的策略。最近，在Visual Studio 2015的創(chuàng)建的GitHub的插件bug，意味著開發(fā)者在他們的代碼中嵌入AWS憑據(jù)上傳到一個(gè)私人庫(kù)，卻發(fā)現(xiàn)，黑客們利用這些密鑰運(yùn)行了價(jià)值數(shù)千美元的AWS實(shí)例。