混合云架构下密钥统一管理解决方案

鉴于云计算技术的低成本、弹性伸缩、高度集成以及自动化等特点，企业上云已成为其在数字化转型过程中的选择。目前，已经有大批企业用户在云中完成了自身业务系统的构建、迁移、整合以及相应服务的上线。同时，企业用户在云化过程中考虑到业务系统/数据的高可用及灾备等问题，往往会选择多云或者云+数据中心的部署架构。而且，除计算、存储及网络资源以外，云资源厂商所提供的安全资源或服务也越来越被用户所看重，该篇我们主要讨论混合云架构下（传统数据中心+公有云架构）的数据加密及密钥统一托管的安全建设。

云+数据中心部署场景

为满足业务系统高并发的需求，用户通常将业务系统部署在Cloud，但是内部办公系统等核心业务系统，会选择部署在自建数据中心（本地或异地），并且核心数据的存储也选择保存在本地，大致架构如下：

在该部署架构中，数据存储的容器既包括AWS Cloud提供的Amazon S3，Amazon EBS以及Amazon RDS等，也包括IDC中的数据库，NAS/SAN存储服务器等，用户若要做到的数据保护，光靠云中或本地的数据加密方案是不够的，主要原因在于对数据加密密钥的维护无法做到统一管理，这样势必会增加运维复杂度。

针对云+数据中心的部署场景，用户可以通过构建企业级KMS来解决数据统一保护、密钥统一管理的问题，即通过在IDC搭建KMS系统，来为数据中心及云中的数据提供统一的数据加密方案。具体构建如下：

• 三未信安（Sansec）为用户提供KMS Server及HSM，其中KMS Server主要作用在于对密钥统一的、全生命周期的管理，并且为IDC及云中提供密钥使用及数据加密的产品或API。HSM的主要作用是为KMS Server提供密钥安全支撑及高性能的加解密运算性能，保证密钥的安全性。用户可以将KMS Server和HSM部署在IDC。
• 业务系统层加密：选择需要加解密资源的业务系统，在KMS中为该业务系统创建对应的用户，业务系统需保证和KMS网络可达，并且用户可在KMS启用SSL通道实现与业务系统交互时的安全性。
• 块存储/文件系统加密：对于本地或云中的数据存储容器（存储服务器/EBS/EFS等），可通过在数据存储容器侧安装KMS提供的SecStorage产品，通过KMIP协议实现块存储/文件系统容器的数据透明加解密，用户无需关心数据的加解密过程，方便易用。
• 结构化数据加密：对于IDC或云中的数据库（Amazon RDS除外），可通过在数据库实例侧安装KMS提供的SecDB产品，通过KMIP协议实现对结构化数据的透明加解密。
• 密钥统一托管：IDC及云中的密钥统一由KMS管理，KMS可提供各种类型的API供不同的业务系统调用（PKCS#11，JCE，SDF，RESTFul等），功能涵盖密钥生成、密钥获取、密钥轮换、加密/解密、签名/验签等。

用户使用由三未信安（Sansec）提供的企业级KMS解决方案的优势在于：

• 统一托管IDC及云中使用的所有密钥，减轻用户的运维成本；
• 加密场景覆盖面广，减少用户的投入成本；
• KMS支持KMIP协议，通过KMIP协议可无缝集成IDC及云中的大量产品/服务；
• KMS的使用权及管理权全权归属于用户，实现密钥*由用户掌控；
• 可为用户提供个性化的定制开发，使KMS能够与用户应用高度贴合，更加易用。