行业新闻与博客

从集中化到自动化，这是您的十二步指南，可以更加主动地使用企业的加密密钥管理

“保护存储在我们服务器上的数据的第一件事是什么？” 如果您向涉及数据安全性的任何人提出这个问题，那么所有人都会说一个单词：“加密”。那是因为这可能是任何收集敏感数据的人都可以保护它的唯一方法。 

由于备受瞩目的数据丢失和法规遵从标准，各种身材的企业中加密的使用正在上升。单个企业可以在许多不同的级别和渠道上部署加密，包括保护网站，电子邮件通信，用户和组织数据等的安全。因此，这意味着中型到大型企业可能正在处理潜在的数千个加密密钥。在任何给定时间。

坦白说，任何人（甚至一个团队）都需要处理很多工作。每个密钥的安全性很重要，这就是为什么必须要有适当的企业加密密钥管理策略的原因。

在本文中，我们将讨论不同的行业加密密钥管理标准。之后，我们将介绍在您的组织内管理加密密钥的 11 种最佳实践。

让我们将其散列出来。

为什么强加密密钥管理很重要？

如您所知，加密是对数据进行加扰的过程，以便只有预期的参与方 / 组织才能访问它。通过使用称为加密密钥或加密密钥的安全工具来完成此过程。每个密钥包含一个随机生成的比特串，用于加密（和 / 或解密）数据。因此，如果您将加密视为锁定数据，则加密密钥是该过程不可或缺的一部分。

美国国家标准技术研究院（NIST）在其特别出版物 800-57 第 1 部分（修订版）中给出了最好的评价。5：

加密密钥在加密操作中起着重要的作用。这些钥匙类似于保险箱的组合。如果对手知道某个保险柜组合，则最强的保险柜不会提供防穿透的安全保护。加密密钥的正确管理对于有效使用加密技术以确保安全至关重要。密钥管理不善可能会轻易损害强大的算法。”

如果您的加密密钥遭到破坏，您将陷入困境。那是因为有人可以使用这些键来：

创建模仿您原始网站的钓鱼网站；

冒充您或您的员工来通过您的公司网络；

以您的名义签署申请或文件；

提取 / 篡改服务器上存储的数据；和 / 或

阅读您的加密电子邮件，并做许多邪恶的事情。

如果网络犯罪者掌握了您的密钥，那么他们可以做任何（或全部）操作，这对他们有利，对您不利。他们可以使用您的钥匙通过索要赎金来赚钱，将您的数据卖给竞争对手，在公共平台上共享它们并破坏您的声誉。

任何组织都不想发生任何事情。因此，就数据安全性和隐私性而言，加密密钥管理应成为您的首要任务之一。

实施加密密钥管理工具和策略的优势

对系统内存在的所有证书和密钥的可见性是有效数据安全性不可或缺的一部分。但是除了安全性之外，强大的加密密钥管理的其他不可否认的优势包括：

更有效的密钥分发 / 移动性。

更好的可见性和密钥控制能力，可实现有效的密钥管理。

减少了员工，客户和 IT 部门之间的来回交流。

降低自动化成本。

减少停机时间和相关的违规处罚。

减少数据丢失。

那么，什么是加密密钥管理？

对于“加密密钥管理”一词，许多人都有误解，因为他们认为这等同于安全地存储加密密钥。可能部分正确，因为安全保存加密密钥是加密密钥管理的一部分，而不是整个加密过程。加密密钥管理涉及与加密密钥有关的所有任务和方法-从密钥生成到销毁。

加密密钥管理包括：

制定和实施各种用于管理关键管理过程的策略，系统和标准。

执行必要的密钥功能，例如密钥生成，预激活，激活，到期，后激活，托管和销毁。

确保对关键服务器的物理和虚拟访问。

限制用户 / 角色对加密密钥的访问。

我需要保护我的加密密钥吗？

一句话 是。通过强大的加密管理过程安全地存储加密密钥至关重要。如 NIST SP 800-57 第 1 部分所述。5：

“ 最终，信息的安全保护，通过密码直接取决于密钥的力量，加密机制以及与键相关联的协议的有效性，并提供给关键的保护。需要保护秘密和私有密钥，以防止未经授权的泄露，并且还需要保护所有密钥，以防止修改。”

加密方法的强度可能取决于其应用的数学算法。但是，这并不是一个大问题，因为大多数加密方法都带有最新的安全算法。但是，更重要的问题是如何存储和管理密码密钥。

当人们问他们是否需要努力保护和管理其私钥时，我只是听不懂。我对任何问这个问题的人都有一个直截了当的问题：“如果您知道犯罪分子想闯入，您是否会将房门钥匙藏在门垫下？” 关于数据加密的事情是，如果丢失了加密密钥，它将毫无用处。因此，如果您管理 / 存储敏感数据，则需要加密，因此，需要保护加密密钥。就这么简单！

在考虑加密数据之前……

我的提示将使您的工作更加轻松：并非所有内容都需要加密。因此，找出真正需要加密的数据，因为它们很敏感，并且需要存储或传输。然后，仅加密您真正需要的数据，然后安全地处理其余数据。

企业加密密钥管理的要求

加密是必要的，加密密钥也是如此。但是，可靠的企业密钥管理系统的要求不仅仅是保护密钥。不仅如此。在设计行动计划之前，需要考虑以下四个基本加密密钥管理要求：

1.安全性：您必须不惜一切代价确保对加密密钥的保护。威胁不仅来自外部，而且也可能来自内部。您的安全性机制应准备好进行处理。

2.可伸缩性：企业拥有的数据量通常仅朝一个方向移动。因此，您的加密密钥管理系统必须准备好随着可用信息量的增长而有效地管理加密密钥。

3.访问：存在加密密钥以对数据进行加密，因此，必须确保以适当的方式将密钥授予适当用户的访问权限。

4.合规性：您组织中的加密密钥管理生态系统必须建立在适当策略和标准的坚实基础上。您必须确保遵守我们前面提到的美国国家标准技术研究院的密钥管理建议书（SP 800-57 第 1 部分）。

企业加密密钥管理最佳实践

现在，这是您一直在等待的部分-我们为您的企业提供的十大关键管理最佳实践列表。我们没有采用固定的标准或系统，而是尝试挑选可以实施的最佳实践，以实现组织内部更好的密钥管理。让我们开始吧！

1.集中您的加密密钥管理系统

如今，许多公司都使用数百甚至数千个加密密钥。根据 KeyFactor 和 Ponemon Institute 的 2020年报告，“ 60％的受访者认为他们在整个组织中使用的证书超过 10,000 个。” 这些密钥的安全存储变得棘手，因为您需要在许多情况下立即访问。那就是集中存储加密密钥的地方。

理想情况下，公司应采用集中的内部企业密钥管理服务。但是，由于并非所有组织都具有复杂的技术能力，因此并非总是如此。通过使用第三方加密密钥管理服务，此类公司可以大大受益。这些服务将所有加密密钥和数字证书安全地存储在安全的密钥库中，远离已加密的数据和系统。从安全的角度来看，这是有利的，因为即使数据以某种方式受到破坏，密钥也仍然受到保护。由于加密密钥集中存放，因此可以最大程度地减少可能暴露给攻击者的密钥数量。

集中式方法无疑在安全性方面是有益的，但由于加密-解密过程在存储数据的本地进行，因此它还提高了性能。同时，密钥的生成，安全存储，旋转，导出和撤消由密钥管理器完成，而密钥管理器不在数据位置。

本文由机器译制