云数据中心需要加密密钥的解决方案

过去几年来，很多国家都制定了自己的数据驻留法，其中一些国家要求所有与其政府部门相关的数据必须存储在境内。欧盟各国以及俄罗斯、巴西和印度都是这种法律的主要支持者。

满足数据驻留法律要求并不是一件容易的事情。一方面，由于网络安全问题，严格的居住地法律可能会阻碍云计算的生产力。现代IT基础设施依赖于规模经济，例如自动驾驶汽车可能会使用人工智能工具来处理大量的数据。软件可用的数据越多，软件就越好，这使得为采用更多的数据变得更加容易。这个过程对许多云计算应用程序的成功至关重要，从金融交易到客户关系管理和搜索引擎。

互联网时代的一个真正标志是数据的自由流动，导致人们担心数据驻留法会阻碍云计算基础设施和软件的发展。但是，如果使用技术措施来保护数据，并最大限度地减少数据泄露的可能性，数据驻留法实际上可能会加强数据共享，最终会产生新的使用案例。

许多云计算应用程序开发人员的通常做法是在本地存储数据以符合驻留法律，同时使用加密措施保护数据安全。这意味着需要保护加密密钥。允许客户保留加密密钥意味着他们可以在不牺牲控制或安全性的情况下获得使用第三方数据的好处，或者与数据驻留要求相违背。

自带密钥(BYOK)是终端用户企业(而不是云服务提供商或供应商)控制加密密钥的解决方案。企业可以将密钥存储在本地，并在需要时将其提供给云服务提供商的软件。因此，最终用户企业可以从云服务提供商提供的服务中受益，它保留了数据的密钥，并控制谁可以使用这些数据以及哪些软件可以使用这些数据。这就像是一个远程存储和保护的密码箱。在有人可以打开密码箱之前，此人必须获得密钥所有者的批准才能获得访问权限。如果获得批准，用户可以暂时通过无线远程访问密钥。

自带密钥(BYOK)将继续获得人们的青睐。客户在本地存储他们的密钥从而避免依赖特定云计算提供商的情况。对于在全球范围内在公共云和本地数据中心运营的企业客户以及希望获得真相和控制来源的企业客户来说，这一要求尤其重要。

自带密钥(BYOK)和企业在当地保存关键业务的缺点是技术复杂性和集成度方面的挑战。但是，使用现代化的解决方案，可提供具有HSM级安全性的现代软件的灵活性和易用性，可以最大限度地减少这些挑战。

每当企业与云供应商共享或带来其密钥时，必须注意确保密钥本身在供应商的应用程序使用时是安全的。对供应商的攻击(无论是外部还是恶意的内部人员)都可能使其所有用户处于易受攻击的状态。

第三方供应商保留密钥的优势在于企业没有被特定的云平台锁定。考虑到延迟、功能、地理因素，企业可以使用最适合他们的云平台。此外，从云计算提供商分离密钥有助于实现安全和云服务提供商的分离。