行业新闻与博客

丢失或被盗的加密密钥可能会毁掉一家公司——这就是为什么许多公司选择使用密钥管理服务来保护和保护其组织的敏感资产

当您外出走动时，几乎没有比把手伸进口袋或钱包发现钥匙不见了更糟糕的感觉。意识到就像一吨砖头一样打击了你，你会问两个重要的问题：你把它们放在哪里了？如果有人不值得信任的人在您之前找到您的钥匙，会发生什么？

您的钥匙是您进入生活中重要场所的字面方式——您的家、办公室和您的汽车。钥匙将坏人拒之门外，但让您可以访问您所珍视的一切。不用说，您不希望它们落入坏人之手！您组织的加密密钥也是如此。从保护您的网站和电子邮件通信到验证您网络上的用户和设备，这些敏感密钥无所不包。因此，您需要保护它们免受攻击，并尽一切努力降低风险。

Keyfactor 和 Ponemon Institute 的研究表明，组织报告称其 IT 环境中平均拥有 88,750 个数字密钥和证书。更糟糕的是，74% 的受访者表示他们实际上并不知道实际存在多少密钥或在哪里可以找到它们！可以想象，如果您是这些企业中的一员，这种程度的监督可能会造成无法弥补的伤害。拥有适当的密钥管理服务可以挽救生命（或更准确地说，挽救工作）。

本文将探讨什么是密钥管理服务以及为什么它是您组织的一项重要投资。

让我们来分析一下。

什么是密钥管理服务？KMS 定义

甲密钥管理服务（KMS）是用于安全地存储，管理，和备份加密密钥的系统。当然，每个 KMS 支持的特定类型的密钥因平台而异。大多数密钥管理服务通常允许您管理以下一项或多项机密：

• SSL 证书私钥
• SSH 密钥对
• API 密钥
• 代码签名私钥
• 文件签名私钥
• 数据库加密密钥

密钥管理服务旨在帮助您避免密钥丢失或被盗（这可能导致数据泄露、停机或数据丢失）。不同解决方案的功能略有不同，但大多数关键管理服务至少包括以下功能：

1. 用于管理加密密钥的基于 Web 的界面。
2. 私钥的安全存储和备份（通常在硬件安全模块或 HSM 上——我们稍后会详细讨论）。
3. 用于将 KMS 与您的服务器、软件和系统集成的 API 和 / 或插件。

KMS vs KMS vs KMasS

密钥管理服务、密钥管理系统和密钥管理即服务 (KMaaS) 是通常指同一事物的三个术语。尽管存在一些技术差异，但这些术语通常可以互换使用，以指代管理加密密钥的系统（通常基于云）。

（还记得我们之前在文章中提到过，即使 SSL 和 TLS 在技术上不同，公司也可以互换使用术语 SSL 和 TLS？是的，同样的思路也适用于此。）

密钥管理服务有什么作用？

KMS 是一种机密管理形式，可帮助您管理密钥及其元数据。它可以部署在本地或云端（取决于您选择的平台和供应商）。使用这些系统之一的目的是帮助您尽可能保证所有加密密钥的安全。它以多种方式执行此操作（取决于您使用的 KMS）：

• 创建保护数据的安全密钥。出色的 KMS 使您能够生成具有足够熵（随机性）的密钥。每个密钥都是一串十六进制字符——顺序越随机，就越难破解。  
• 为您提供查看和监控密钥的可见性。KMS 是一种工具，可让您发现环境中的任何密钥 — 甚至那些不是在 KMS 中创建的密钥。如果您知道您拥有哪些密钥以及它们的部署位置，那么您将能够正确管理它们。（不再有流氓钥匙！）
• 允许您设置权限。有效的密钥管理需要知道谁可以访问哪些密钥以及他们为什么使用它们。
• 帮助您安全地存储您的密钥。安全密钥存储几乎是每个 KMS 的关键组件，这就是为什么许多这些系统使用硬件安全模块 (HSM) 的原因——稍后会详细介绍。如果您不安全地存储您的密钥，它们可能会丢失或被盗，从而导致数据泄露。
• 使您无需直接访问密钥即可使用密钥。某些密钥管理服务使您能够使用您的密钥对数据进行数字签名，而无需访问明文密钥。
• 为您提供备份和存档密钥的方法。您可以将过程自动化，而不是尝试逐个处理密钥备份和托管。
• 允许您自动轮换 SSH 密钥。一些密钥管理系统提供自动化。这意味着您可以自动轮换 SSH 密钥以提高 Web 服务器的安全性。
• 使您能够导入现有密钥。某些密钥管理服务使您能够通过将自己的密钥 (BYOK) 从您的计算机、服务器、设备和 / 或本地 HSM 导入到他们的云环境中来实现。

美国国家标准与技术研究所表示，虽然可以手动管理密钥，但在某些情况下可能需要使用自动化系统（即密钥管理系统）。

保护您的密钥对 PKI 安全至关重要

实施良好的密钥管理对于您组织的公钥基础结构的安全性和实用性来说是不可或缺的。PKI 基本上是在线安全的支柱。PKI 依赖于称为数字证书和密钥的加密工具，它允许您执行所有操作，从在登录期间验证您的身份到保护传输中的客户数据，因为这些数据离开他们的浏览器并传输到您的 Web 服务器。

因此，加密密钥存在于整个网络和更大的 IT 环境中。它们通常在后台运行，通过为他们提供安全性而不会被您的客户看到。这些工具可帮助您促进安全身份验证和数据加密。

当然，我们不会在这里讨论 PKI 的所有技术细节，因为这个话题有点像兔子洞，会让我们偏离手头的话题。所以，一定要看看这两篇文章，详细了解什么是 PKI 以及如何 PKI 的作品。

有效的密钥管理比加密更重要

等等，什么？我们是一家生活和呼吸一切加密的公司 - 为什么我们说某些东西更重要？好吧，如果您没有正确管理您的密钥，那么使用这些密钥来加密您的数据对您没有任何好处。

使用受损密钥加密数据是一项毫无意义的努力——坏人只能使用受损资产来解密您的数据。使用泄露的密钥进行加密相当于使用轻量级拼图盒来保护您最有价值的财产。当然，有人可能会不厌其烦地尝试破解密码来打开盒子。但是精明的罪犯只会打破盒子以更快地访问其内容。