“攜帶您自己的密鑰（BYOK）”是如何成為現(xiàn)實的？您所在的企業(yè)是否正面臨著需要管理和保護自己的云加密密鑰的負擔呢？

正是由于愛德華·斯諾登對于美國國家安全局的揭露;索尼遭受到全面的黑客入侵;以及正在持續(xù)進行的存儲在云中的電子郵件到底是屬于發(fā)件人還是服務(wù)托管機構(gòu)的法律糾紛，促使越來越多的云服務(wù)遷移到了加密數(shù)據(jù)。有些甚至更進一步，提供了帶上您自己的密鑰(BYOK)的選項，使得用戶擁有自己的云數(shù)據(jù)的加密密鑰。

去年夏天，谷歌計算引擎開始為用戶自己的密鑰加密的數(shù)據(jù)和計算提供預(yù)覽服務(wù)，而亞馬遜則同時為EC2和S3云服務(wù)實例提供軟鍵管理和價格更高的(設(shè)置較慢)云硬件安全模塊服務(wù)(Cloud HSM service)，用戶的密鑰被存在亞馬遜的云的專用硬件安全模塊。Adobe創(chuàng)意云現(xiàn)在支持用戶管理的數(shù)據(jù)加密密鑰，用來保護同步到創(chuàng)意云帳戶的內(nèi)容。而微軟的密鑰庫是一個單一的、經(jīng)審核的、有相應(yīng)版本的安全庫，結(jié)合了Azure活動目錄進行身份驗證。密鑰庫允許用戶存儲密碼、配置細節(jié)、API密鑰、證書、連接字符串、簽名密鑰、SSL密鑰和Azure權(quán)限管理的加密密鑰、SQL Server TDE、Azure存儲、Azure磁盤加密、用戶自己在Azure上的.NET應(yīng)用程序以及使用EMC的CloudLink安全虛擬機加密的虛擬機。在密鑰庫的密鑰要么可以作為軟鍵存儲，在一個HSM中由系統(tǒng)密鑰加密;要么直接從用戶自己的HSM加載到微軟HSM(在一個選定的地理區(qū)域)，所以您可以在您企業(yè)內(nèi)部創(chuàng)建密鑰，并將他們轉(zhuǎn)移到密鑰庫。

Dan Plastina所運行的微軟信息保護組就包括密鑰庫。他指出了以同樣的方式管理不同系統(tǒng)的密鑰的優(yōu)點。“這其中吸引人的地方就在于：如果您企業(yè)有這樣一個機制，其適用于Office 365的工作負載，包括Exchange、SharePoint和OneDrive業(yè)務(wù)，那么，同樣的機制也將適用于業(yè)務(wù)線應(yīng)用程序，其將被用于虛擬機、將秘密填充到虛擬機、CRM、SQL Server、HD Insight，您將開始以非常相似的一種范式來管理您的微軟工作負載，而其培訓也是非常相似的。”他說，如果您企業(yè)因為擔心失去您的密鑰的危險而正在考慮BYOK是至關(guān)重要的。

“您正在尋找能夠幫助您實現(xiàn)環(huán)繞式處理技術(shù)的東西，然后培訓您的員工去這么做，因為您不想失去您的密鑰，然后再失去了您的數(shù)據(jù)。”Plastina說。當您使用HSM支持的鍵時，就像在Azure密鑰庫的云HSM或BYOK一樣，密鑰從您的HSM直接上傳，而云服務(wù)從來也看不到密鑰。這意味著他們無法把您的密鑰交給一個攻擊者或一個政府的調(diào)查機構(gòu)。但這同時也意味著他們無法將密鑰交還給您。

“如果您失去了您的密鑰，所有被該密鑰加密的數(shù)據(jù)便永遠消失一去不復(fù)返了。”Plastina說。“當密鑰是從他們的基礎(chǔ)設(shè)施轉(zhuǎn)移到我們的HSM時，是以我們看不見方式完成的，因此如果某位客戶回來告訴我們說，他們的辦公建筑焚毀了，HSM也沒有了，那么，這就意味著所有的密鑰也都丟失了，一切都結(jié)束了。俗話說，能力越大責任越大。人們?nèi)绻胍獏⑴c進來，就需要執(zhí)行相應(yīng)的任務(wù)。”

服務(wù)托管的密鑰可以向您的保證，其每位租戶和每個訂購的密鑰都是管理職責和審計職責分離的，而沒有管理密鑰的頭疼問題。“但是，借助BYOK，我們要求客戶以重要的方式參與進來。” Plastina說。“這意味著設(shè)置密鑰庫并管理庫;在某些情況下，需要HSM支持的密鑰，以便他們能夠在企業(yè)內(nèi)部采購一款HSM，他們必須運行他們自己法定人數(shù)的管理員的智能卡和PIN碼，并且必須在正確的地方保存智能卡。這肯定增加了他們的負擔。”

如果您企業(yè)正在考慮采用攜帶自己的密鑰的政策是否適合您企業(yè)的業(yè)務(wù)的話——這也意味著確保您自己的密鑰安全，您需要考慮的第一個問題便是您企業(yè)是否準備好成為一家銀行。因為您企業(yè)將不得不采用同樣的嚴格要求來運行您的關(guān)鍵基礎(chǔ)設(shè)施，甚至包括考慮您企業(yè)辦公人員的旅行計劃。如果您企業(yè)有三名授權(quán)的人員能夠使用智能卡訪問您企業(yè)的密鑰，您肯定不會想讓他們?nèi)欢纪瑫r出現(xiàn)。

保護密鑰的負擔意味著盡管一些微軟的客戶，特別是在汽車制造行業(yè)的用戶選擇了采用BYOK政策，“有人說我們相信微軟將做的是正確的事情，”Plastina說。“他們都以’我想要擁有控制權(quán)’作為他們的開場白，但當他們看到需要承擔的相應(yīng)責任，并了解了微軟承擔了相當多的責任時，他們會說’您為什么不做’。他們不想成為一個鏈條上較弱的一環(huán)。”

甚至一些紐約的金融機構(gòu)，最初也曾想采用BYOK來幫助他們管理企業(yè)內(nèi)部的HSM，而當他們考慮到哪些可能出問題的領(lǐng)域時，他們開始堅決反對了，Rich表示說。“一款HSM可能已經(jīng)關(guān)閉，會漏出大量的用戶基本信息。他們很快想到，這可能是一個潛在的巨大的拒絕服務(wù)攻擊，由公司內(nèi)部的惡意攻擊者執(zhí)行。這些都是我們最先進的高度敏感的顧客，這不僅是一個巨大的責任，同時也潛在的具有破壞的威脅，無論是意外的或是惡意的。”

一些企業(yè)認為他們需要BYOK以遵守法律要求的密鑰在他們的監(jiān)督下的規(guī)定。在不同的司法管轄區(qū)有一系列實際意義的解釋;“我們相信我們滿足了這些法律的精神和目的。”Plastina表示說。一項類似于密鑰庫的服務(wù)可以使得在特定的地區(qū)保管密鑰更容易，特別是規(guī)對于那些規(guī)模較小的、在他們所開展業(yè)務(wù)的所有地區(qū)沒有相應(yīng)物理基礎(chǔ)設(shè)施的企業(yè)。

然而，仍有一些企業(yè)想擁有攜帶自己的密鑰的選擇——或者甚至將密鑰托管在一款他們運營的HSM中。在許多方面，托管自己的密鑰違背了許多公司采用云服務(wù)的初衷，因為云服務(wù)的速度，簡單性和節(jié)省成本的特點，使得企業(yè)不再運行自己的基礎(chǔ)設(shè)施以提供這些服務(wù)。如果您企業(yè)想保持可接受的性能和服務(wù)水平，您將需要大量的基礎(chǔ)設(shè)施。“那些客戶將需要運行高可用性容錯的數(shù)據(jù)中心分布式服務(wù)到問題密鑰。”Plastina警告說。如果不是今天微軟所提供的服務(wù)，那么這些行業(yè)的企業(yè)要做到像銀行一樣是相當重要的，因為這些銀行企業(yè)已經(jīng)有了流程和安全的密鑰方面的專業(yè)知識，以及審查員工方面的經(jīng)驗

BYOK和Office 365

企業(yè)用戶不必攜帶和管理自己的密鑰，以便獲得更多的控制和透明度，微軟Office 365團隊的Paul Rich表示說。BYOK并不是解決企業(yè)用戶失去對加密的控制權(quán)與通過在將數(shù)據(jù)遷移到云服務(wù)之前對其進行加密而失去云服務(wù)的大多數(shù)好處之間緊張關(guān)系的唯一方式。

“如果您在將相關(guān)的數(shù)據(jù)遷移到云服務(wù)之前對數(shù)據(jù)進行了加密，那么這些數(shù)據(jù)就不能被推理，而簡單的表格，以及諸如垃圾郵件和病毒檢測之類的任務(wù)也是不可能完成的，而更高級別的功能，如符合法律監(jiān)管和深入的文檔發(fā)現(xiàn)等等功能都將需要獲得上傳這些內(nèi)容的人員的授權(quán)。企業(yè)CIO們明白，當他們來到云服務(wù)時，他們希望具備這些功能。他們所問的問題是“我們怎樣才能讓您能夠通過利用機器做到這一點，同時又不讓您的人員看到我們的數(shù)據(jù)呢?”

另一種選擇是采用新的Office Lockbox。“這一服務(wù)理念是：提供云服務(wù)的人沒有權(quán)限訪問您的內(nèi)容。您可以確保微軟不會有人訪問您所存儲的內(nèi)容。如果有我們需要訪問的一個支持的理由，我們會請求獲得訪問許可，并直到我們得到該許可，人為運行的服務(wù)無法訪問這些內(nèi)容。”客戶將獲得透明度和能見度，Rich說;他們可以看到有哪些訪問請求，并能夠控制那些業(yè)務(wù)訪問請求可以被批準，并獲得相關(guān)的活動日志，了解當訪問發(fā)生時，哪些內(nèi)容被訪問了。

而如果您想知道有哪些因素可以防止微軟隨意宣稱他們并沒有訪問這些內(nèi)容，或者監(jiān)督管理員是否執(zhí)行了遠遠超出了日志顯示的操作的話，Rich列舉了微軟所負責運行的政府安全計劃，在該計劃中，微軟負責提供對于微軟源代碼的訪問控制，而這些代碼最近剛剛被北約組織進行了更新。“我們與我們的客戶達成協(xié)議，我們托管負責Lockbox的代碼，并使其成為一個程序的一部分，允許第三方代碼審查，以顯示其沒有側(cè)門或后門。”

提供Lockbox意味著重寫Office服務(wù)，以便能夠刪除來自企業(yè)內(nèi)部部署的服務(wù)器軟件的默認設(shè)置，因為管理員總是對于這些數(shù)據(jù)有訪問權(quán)限。這在Exchange中已經(jīng)實現(xiàn)了，而Lockbox中的選擇現(xiàn)也已經(jīng)有了;其將在2016年第一季度成為SharePoint的一項功能選項。

Office 365也將從依靠BitLocker轉(zhuǎn)為對工作負載運行在其之上的服務(wù)器的加密，當工作負載運行時不會提供保護，而是轉(zhuǎn)為對應(yīng)用程序?qū)舆M行加密。這一功能已經(jīng)在SharePoint中完成，而對于在Exchange實現(xiàn)這一功能也已經(jīng)于2015年底準備就緒了，企業(yè)版Skype的業(yè)務(wù)則被排在此之后。“這將把數(shù)據(jù)管理員與服務(wù)管理員獨立開來。”他聲稱。其也將是BYOK的。”我們將在應(yīng)用程序?qū)又惺褂妹荑€包裝，以通過用戶所擁有的Azure密鑰庫保護郵箱的內(nèi)容。”

“當服務(wù)完全釋放時，我們的計劃是為客戶提供少量的密鑰，也許10或20個，方便用戶用來與您的客戶通過Exchange、SharePoint和企業(yè)版Skype進行交流。大多數(shù)客戶表示說他們不需要太多的密鑰，例如在美國和歐洲企業(yè)一般位三個密鑰，而在亞太地區(qū)，他們會將密鑰存儲在密鑰庫。

這些密鑰將需要保護，但不會使得Office 365的運行更復(fù)雜，他預(yù)測說。“您企業(yè)只需要做最少量的管理工作，偶爾調(diào)整一下密鑰。”Rich表示說。“您使用這些密鑰的方法是作為整個服務(wù)的策略。在正常操作中，我們沒有權(quán)限訪問您的內(nèi)容;如果一個人需要訪問，那么Office Lockbox便會記錄，這樣用戶就能夠知道誰在何時進行了訪問。而一旦您離開辦公大樓時，在密鑰庫中的密鑰會把所有的燈關(guān)掉。”

保護您的密鑰

根據(jù)去年的一項調(diào)查顯示，只有很少的企業(yè)加強了對于他們已經(jīng)負責的密鑰的安全保護，BYOK和HYOK將超出了許多企業(yè)的范圍。據(jù)Ponemon Institute的調(diào)查發(fā)現(xiàn)，大約有一半的企業(yè)對于其自己的SSH密鑰和許多非旋轉(zhuǎn)操作器(Rotate Key)沒有集中控制，這使得它們更容易受到攻擊。失去云加密密鑰會更麻煩，因為您可能會因此而永遠失去數(shù)據(jù)。

記住，BYOK并不是您企業(yè)所需要承擔的唯一與密鑰管理相關(guān)的安全責任。Windows 10包括了新設(shè)備的保護選項以限制PC機只能運行那些要么來自于Windows商店或已經(jīng)由ISV或由企業(yè)自己簽署的使用微軟認證密鑰鏈的應(yīng)用程序。ISV和微軟可以簽署任何企業(yè)能運行的應(yīng)用程序;但這些企業(yè)組織已經(jīng)經(jīng)歷了保護高價值的密鑰的過程。

簽名密鑰的企業(yè)得到的是更多的限制，生產(chǎn)的簽名應(yīng)用程序只能運行在自己的領(lǐng)域。但這仍然意味著違背了您的簽名密鑰的攻擊者可以產(chǎn)生惡意軟件，以攻擊您的最安全的設(shè)備。

如果您正在使用設(shè)備保護配置代碼以完整您的電腦，微軟的Chris Hallum指出，“確保這些訪問的人員是值得信賴的人進行的是非常重要的，您企業(yè)可以使用雙因素身份驗證，以確保只有有限數(shù)量的、您信任的資深人員在您的企業(yè)組織才有訪問權(quán)限。”

在2007年，黑客偷了諾基亞用于其塞班操作系統(tǒng)應(yīng)用程序的數(shù)字簽名的密鑰，并勒索該公司交出數(shù)百萬歐元。

如果您企業(yè)沒有準備好處理從突發(fā)火災(zāi)事故到黑客勒索的這一系列或?qū)撛诘膶δ髽I(yè)的信息基礎(chǔ)設(shè)施和公司的數(shù)據(jù)造成拒絕服務(wù)攻擊的狀況的話，您企業(yè)可能不會準備采用攜帶自己的密鑰的策略。最近，在Visual Studio 2015的創(chuàng)建的GitHub的插件bug，意味著開發(fā)者在他們的代碼中嵌入AWS憑據(jù)上傳到一個私人庫，卻發(fā)現(xiàn)，黑客們利用這些密鑰運行了價值數(shù)千美元的AWS實例。