【数据安全】多云KMaaS

多云KMaaS

• 分析人：Brian Lowans、Neil MacDonald、Joerg Fritsch
• 收益评级：中等
• 市场渗透率：目标受众的5%至20%
• 成熟：青少年

定义：

多云密钥管理即服务（KMaaS）解决方案可以部署在一个或多个私有或公共云服务平台（CSP）上。这些部署为SaaS，可以利用硬件安全模块（HSM）。KMaaS控制跨多个CSP的密钥，也可以集成到CSP本机自带密钥（BYOK），以启用一致的数据访问控制策略。

为什么这很重要

随着组织对混合和多云服务的部署以及对一致知识管理的需求不断增加，对多云KMaaS的需求也在增加。本机CSP KM产品互不集成，强调需要单一的KMaaS产品。考虑到这种增长，再加上对数据驻留、数据保护和隐私的担忧，预计多云KMaaS的采用率将增加。

业务影响

使用multicloud KMaaS，通过一致加密技术更安全地访问数据，支持企业采用云服务。应部署KMaaS，通过防止员工或CSP对每个位置的数据或加密密钥进行不适当的明文访问，减少数据驻留、安全和隐私风险。选择单个多云KMaaS产品而不是单独的本地CSP知识管理对于简化和应用一致的知识管理生命周期要求非常重要。

驱动力

• 组织在多云环境中面临分散的知识管理策略，因为每个CSP都提供自己的本地知识管理，而这些知识管理不与其他CSP集成。
• 对国家政府、CSP或数据处理人员未经授权访问的担忧继续推动人们对加密技术的兴趣，以提供数据保护和隐私。
• 由于黑客攻击、内部盗窃或意外泄露而导致的数据泄露风险，需要在多云上提供强大、一致的KMaaS支持。
• 越来越多的数据保护技术需要KM支持：加密、标记化、安全多方计算、机密计算和同态加密。
• 与机密计算的集成使组织能够阻止CSP访问这些环境中的数据和密钥。
• 当选择BYOK集成时，部署加密的KM信任根仍在CSP的控制下。这推动了多云KMaaS的选择，这些KMaaS独立于CSP KMs创建信任根。

障碍

• 提供本地知识管理解决方案的服务提供商不与其他服务提供商集成。因此，组织必须选择使用多个独立的知识管理产品，还是选择通过BYOK集成的单个多云知识管理系统。
• 每个多云KMaaS产品都将有自己的定制集成到云服务和定制的保护技术选择。
• 如果一家供应商同时提供KMaaS和加密产品，则其加密产品很少能够与另一家供应商提供的KMaaS集成。因此，可能需要购买多个独立的KMaaS。
• 如果需要在多云环境中使用多个KMaaS产品，那么组织将面临这些独立产品关键生命周期管理的复杂性增加。

用户建议

• 在选择本地CSP KM或多云KMaaS解决方案时，根据数据安全治理策略评估数据存储、处理和访问的风险。
• 至少保护在静止状态下部署在公共云中的所有数据。保护和KM选择的粒度必须达到可接受的风险水平。
• 确保所有加密操作和密钥访问符合数据驻留和法规遵从性要求。
• 确保在部署在现场或每个CSP中的所有KMaaS中一致执行KM备份和生命周期管理。
• 寻找符合加密标准的解决方案，如FIPS 140-2、OASIS KMIP和能够实现加密灵活性的算法。

供应商示例

Baffle; Entrust; Fortanix; Micro Focus; StorMagic; Thales; Titaniam; Unbound Security; Utimaco; WinMagic

Gartner推荐阅读

• 制定企业范围的加密密钥管理策略或丢失数据
• 选择正确的密钥管理作为服务，以减轻云中的数据安全和隐私风险
• 使用数据安全治理框架平衡业务需求和风险
• 如何使云比您自己的数据中心更安全