客户管理密钥:概述- IronCore实验室

什么是cmk？

客户管理密钥(CMK)是一种云架构，它为客户提供加密密钥的所有权，这些密钥保护SaaS应用程序中存储的部分或所有数据。这是一种按租户进行的加密，您的客户可以独立监控其数据的使用情况，并在需要时撤销对数据的所有访问。

CMK有很多名字:

11月-企业密钥管理
BYOK- 带上自己的钥匙
Chek.—客户持有的加密密钥
BYOE-自带加密

无论名称如何，CMK有以下部分:

每租户加密用于部分或全部客户数据。
你的客户（租客）管理主钥匙或者解密所需的密钥。
你的客户可以独立监控所有的数据访问。
你的客户可以独立撤销随时访问。

云服务和移动设备的买家应该要求供应商为他们提供管理自己加密密钥的选择。

─Gartner

这个怎么运作

在CMK中，在存储敏感客户数据之前对其进行加密。当您需要数据访问时，您可以调用客户的基础结构来获得解密密钥。您的客户可以通过拒绝返回密钥来撤销访问权限，并且他们对每个请求都得到一个独立的审计事件。

在CMK中存储和加密数据涉及多个键层。典型方法使用两层，称为“包络加密”。在信封加密中，首先将数据加密数据加密密钥或索准。您使用第二个主密钥或MK，加密DEK，产生加密的DEK或EDEK。

您可以在加密或解密时访问DEK，但您同意在使用后从内存中擦除键。你永远不会持续到存储。相反，您将加密的DEK或EDEK沿着加密数据存储。通常，您将列添加到数据库架构或持续作为对象元数据的eDEK。

下面的序列图显示了解密数据流。注意日志请求数据流是如何提供独立监控的，403是如何允许撤销的:

IronCore增加了许多功能和集成，并处理各种支持的密钥管理系统，包括谷歌云公里，亚马逊公里,Azure关键库这样你的客户就可以使用他们所选择的平台。IronCore还使用端到端加密来管理KMS配置，并从开发人员那里抽象出策略选择，这样开发人员就可以专注于简单的集成代码，而不必担心密钥管理、加密选择、SIEM集成等等的复杂性。下图显示了它是如何工作的，IronCore的无持久化加密服务作为docker容器运行在你的基础设施中。

CMK为何重要

多年来，客户一直在要求客户管理的密钥，但由于各种原因，这种紧迫性有所增加。最值得注意的是:

消费者隐私法

2017年和2018年，50个国家通过了新的隐私法。欧盟的通用数据保护条例(GDPR)要求公司保证其客户的个人身份信息(PII)的安全和隐私。当将PII传递给第三方供应商(如SaaS供应商)时，这些公司还负责这种安全性。CMK提供了对数据访问方式的可见性，并提供了撤消访问的能力。

行业分析师和最佳实践

Gartner，Forrester和451名研究的分析师都强烈建议大公司要求CMK作为SaaS供应商的最佳做法。

降低违约风险

新闻媒体中违反违规行为。每周都有一个新的大品牌被数据泄露令人尴尬。网络和互连系统的复杂性意味着可能是网络泄露。知道这一点，客户想知道他们的数据是加密的，并且该加密对任何碰巧访问系统的人都不是透明的。换句话说，透明的磁盘加密和HTTPS不再足以满足IT供应商管理审核团队。

顶级公司已经交付了

经过多年的询问，顶级SaaS公司已经开始提供CMK。Salesforce在2019年发布了他们的“只缓存密钥服务”。同样是在2019年，Slack发布了“企业密钥管理”功能。Box已经提供CMK(有几个不同的名称)好几年了。微软为其Azure密钥库提供了一个“带上你自己的密钥”选项。使用这一功能的公司已经开始要求其他供应商提供这一功能，前提是这些供应商处理敏感和受监管的数据，如PII。

为什么选择铁芯CMK?

IronCore提供了一个全面的CMK实现，可以快速、轻松地集成到SaaS应用程序中。虽然diy CMK实现平均15个月，但IronCore CMK可以在90天内将您推向市场，为您赢得续订、销售和差异化竞争。

整合一次，很多KM
基于策略的
做对了
Developer-proof
零信任路径
低延迟/高可用性
端到端加密
只有几行代码

要添加到你的应用程序的主要两个调用:

（EDEK，密文）＝铁．加密（元数据，明文）；明文＝铁．解密（元数据，密文，EDEK）；

有关更多细节，请参阅我们的“CMK:架构师需要知道什么”白皮书或阅读我们的文档。10bet手机中文版

下载白皮书查看文档

客户管理密钥:概述

它是什么，它是如何工作的，它为什么重要。