什么是自带密钥 (BYOK)？| IBM

By Matthew Kosinski and Gregg Lindemulder

BYOK 是什么？

自带密钥 (BYOK) 是一种加密密钥管理方法，云服务提供商 (CSP) 的客户生成和管理自己的加密密钥。在云计算环境中，BYOK 可让组织更好地控制数据安全、可见性和合规性要求。

通常情况下，云服务提供商负责控制加密密钥，这些密钥可为组织托管在云端的资产提供数据保护。但是，在 BYOK 模型中，组织负责控制其加密密钥，因此任何未经授权的外部实体都无法访问其云数据。

加密密钥可将明文转化为不可读密文，以保护敏感数据免遭未经授权的访问。它们还能将密码文本解密为可读形式，供授权用户使用。

BYOK 可确保根据组织的安全策略管理加密密钥，并遵守 NIST 准则和 FIPS 140-2 等行业标准，且无需考虑云供应商。

大多数主流云供应商（包括 IBM® Cloud、Microsoft Azure、Amazon Web Services (AWS) 和 Google Cloud）都为其客户提供 BYOK。

Think 时事通讯

您的团队能否及时捕获下一个零日？

加入安全领导者的行列，订阅 Think 时事通讯，获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器，我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。

BYOK 是如何运作的？

BYOK 通常遵循一种称为“信封加密”的流程，该流程采用密钥层级来保护数据。此功能由云供应商的密钥管理系统 (KMS) 管理，这是一项可创建、存储和控制加密密钥访问权限的安全服务。

以下是 BYOK 的基本步骤。

生成主密钥

客户在自己的环境中生成主密钥，通常使用本地硬件安全模块 (HSM) 来增强安全性。HSM 是一种防篡改设备，可以安全地生成和存储加密密钥。

传输密钥

客户利用云供应商提供的公钥加密主密钥，以确保传输过程中的安全性。然后，主密钥通过安全的应用程序编程接口 (API)，导入云供应商的密钥管理服务。密钥通常存储在云供应商的专属硬件安全模块中。

加密客户数据

云供应商的 KMS 会生成临时的一次性数据加密密钥 (DEK)。该密钥用于加密客户数据，然后使用客户的主密钥加密 DEK。以获取加密 DEK (EDEK)。EDEK 与加密数据一起存储，DEK 则会从内存中清除。

解密数据

当客户需要访问数据时，则采用相反的流程。云供应商会检索加密的数据和 EDEK。云供应商的 KMS 则使用客户的主密钥来解密 EDEK，以检索 DEK，并使用 DEK 解密数据，以便客户访问。

示例：BYOK 的实际应用

假设某家金融服务公司希望将其客户交易历史记录、账户详情及其他敏感记录到公有云。但是，由于严格的行业法规（例如《支付卡行业数据安全标准》(PCI DSS)），该公司无法将其加密密钥的控制权让渡给第三方。

使用 BYOK，公司可以使用自己的加密密钥对数据进行严格控制，即使数据存储在云提供商的基础设施上。由于攻击者无法获得解密数据所需的主密钥，因此数据泄露的风险降到了最低。公司还可以向监管机构证明，它完全控制了保护客户数据安全的密钥。

BYOK 的优势

数据保护

数据加密是保护敏感信息（尤其是由云端存储和处理的信息）的核心工具。根据 IBM “数据泄露成本报告”，使用加密技术的组织可以将数据泄露的财务影响降低超过 20 万美元。

BYOK 可进一步增强数据防护体系，确保组织能够直接控制用于保护云端敏感数据的加密密钥。这种控制措施通过防止云供应商或第三方解密数据，降低未授权访问加密数据的风险。

许多企业应用 BYOK 来保护存储在软件即服务 (SaaS) 平台（如 Salesforce）中的敏感客户数据。

法规一致性

《健康保险流通和责任法案》(HIPAA)、《通用数据保护条例》(GDPR) 和 PCI DSS 等法规通常要求严格控制数据访问和加密实践。通过应用专属密钥，组织可以遵循这些标准，并维护密钥访问和使用的审计跟踪记录。

医疗保健提供方通常会使用 BYOK 加密患者记录，从而确保只有授权方才能解密数据，以满足 HIPAA 的合规管理要求。

多云密钥管理

在多云和混合云环境中，BYOK 帮助组织跨平台集中管理密钥，保持一致性和控制力，而无需依赖各云服务提供商单独的密钥系统。

例如，使用 AWS、Azure 和 Google Cloud 的企业可以集中管理所有平台的加密密钥，从而降低复杂性并改善安全状况。

提升信任度

对于 SaaS 企业和其他供应商来说，提供 BYOK 向客户传递了一个信号，表明其非常重视数据隐私和所有权。这一信号对于企业客户和受监管行业至关重要，因为透明度是安全管理的关键要素。

BYOK 的持续性任务

在 BYOK 模式中，由于客户拥有主密钥，因此他们需要负责管理主密钥的整个生命周期。此生命周期包括用于维护密钥安全性和完整性的一系列持续性任务。组织通常会自动执行这些任务，以减少运营开支并降低人为错误的风险。

密钥轮换

组织会定期更换新的加密密钥，以降低未授权访问、泄露或盗窃风险。限制密钥的使用寿命有助于优化云安全管理。

密钥备份

安全地备份主密钥对于防止因原始密钥丢失或损坏导致数据丢失至关重要。如果没有有效的主密钥，加密数据可能会永久无法访问。

审计

通过审计日志监控密钥的使用情况，有助于检测未经授权的数据访问或滥用。审计密钥管理策略也有助于验证组织是否符合 GDPR 和 HIPAA 等监管要求。

恢复规划

制定清晰明确、有据可查的计划，可帮助组织有效应对密钥意外删除、硬件故障或网络攻击等问题。由于云供应商无法恢复主密钥，因此组织需做好应对准备。

BYOK 与 HYOK

“自带密钥”(BYOK) 和“自持密钥”(HYOK) 都能帮助组织天有效管控加密流程，但二者的区别在于其存储和管理密钥的方式和位置。

借助 BYOK，组织可以创建和持有加密密钥，并将其上传到云供应商的密钥管理系统，以便与云服务协同配合。

借助 HYOK，组织可以将加密密钥完全保留在专属环境中，而无需与云供应商共享。此方案可提供更高级别的控制权和隐私性，但管理流程更为复杂，且并非所有云服务都支持这一模式。

BYOK 兼具便利性与控制权，HYOK 则可提供最大限度的控制权，但组织也需承担更多责任。

作者

Gregg Lindemulder

Staff Writer

IBM Think

Matthew Kosinski

Staff Editor