公共云的数据地址加密和云密钥管理

云计算正在引起越来越多的企业和中小型企业组织的注意。其具备诸多益处，成本、结构都使其成为传统数据中心最强有力的替代品，但同时云数据安全、云加密和云密钥管理仍然是让潜在用户存在部分隐忧。思想领袖和分析师们认为云数据加密是一项基本的步骤，但就是处理这个基础问题，经常出现复杂的状况。

云密钥管理需要演变到云中

我们通常使用三中方法实现云密钥管理，且它们各有优缺点。第一种方法是使用云供应商提供的加密，其优点显而易见——易于部署和管理，而且可以很好地与云数据层相结合，但它的费用很高。当然这需要你足够信任云供应商，并将最需保密的加密密钥交给它。数据安全专家Rich Mogul已在他的博客中详尽阐述了这个问题。第二种方法是将你的加密密钥委托给信任的第三方。这种方法消除了一些云的灵活性优势，因为它将不再整合到你的云中，但它仍然具有和以前一样的风险——你信任第三方来保管你的密钥。第三种方法是在实体数据中心中加入密钥管理服务器。虽然这种方法足够安全，但它削弱了云的许多优势，并迫使你往返于数据中心，这无疑使云服务的一种倒退。

分离密钥管理

为了有效地在公共云环境中管理密钥，特别是在IaaS和PaaS的情况下，我们需要一个云的专属技术。一个专为云设计的技术，而非附加在云上。分离密钥管理是一个典型的例子。下面是它工作的方法：想像一个客户定制的银行保险库有两个密钥：一个由客户保管，另一个有“银行家”保管，在这里它是Porticor 虚拟密钥管理服务。客户实际上在每个项目中都有一个密钥，通常是应用程序。Porticor则有数以千计的密钥，这些密钥与项目中的文件或磁盘一一对应。事实上，这种方法有很多独特之处。密钥被分离在客户和Porticor手中，然而它们都被客户手中的主密钥所加密，而主密钥只有客户知道并持有。因此，Porticor持有半个密钥，但它无法读取密钥，因为它们是加密的。而企业端唯一的额外要求就是保证主密钥的安全。