【数据安全】企业密钥管理（EKM）

企业密钥管理

• 分析人：Brian Lowans，Joerg Fritsch
• 企业密钥管理收益评级：中等
• 企业密钥管理市场渗透率：目标受众的20%至50%
• 企业密钥管理成熟度：早期主流

企业密钥管理定义：

企业密钥管理（EKM）为多个对称加密解决方案提供了一个集中的软件或硬件设备。加密用于跨不同的结构化和非结构化存储平台、内部部署和公共云服务实施一致的数据访问策略。它有助于密钥分发和安全密钥存储，并保持一致的密钥生命周期管理。

企业密钥管理为什么这很重要

实施加密或标记化的加密产品是数据安全战略的关键组成部分，以减轻日益增长的数据驻留和隐私要求，并防止因黑客、恶意内部人员或意外泄露而导致的数据泄露/盗窃。加密产品需要企业密钥管理EKM提供一致的密钥生命周期管理，以帮助减轻这些风险，并在密钥丢失时降低数据意外切碎的风险。

企业密钥管理的业务影响

企业密钥管理EKM可以作为企业范围内数据安全和隐私策略的一部分使用，该策略可以限制风险并降低运营和资本成本。企业可以购买专门的产品，这些产品可以通过各种本地和多云数据存储库和进程以及本机平台加密产品对数据进行加密保护。这将导致许多独立的密钥管理控制台无法集成并增加安全或法规遵从性事件的风险。

企业密钥管理的驱动力

• 企业密钥管理EKM策略定义了对数据实施适当的用户访问控制所需的加密粒度。
• EKM是一种确保在各种存储平台上一致应用加密的方法。这是通过启用加密技术来实现的，以仅保护存储中的数据，保护单个文件，或保护存储在SQL和NoSQL平台中或从其访问的字段。
• EKM也可以越来越多地部署在可信环境之外，或者使用HSM技术和选定的隐私增强计算技术。
• EKM越来越需要支持企业范围的数据安全治理（DSG）策略，以补充更广泛的产品控制，如数据库活动监控（DAM）、数据访问治理（DAG）、数据丢失预防（DLP）和数据访问权限。
• EKM正在不断发展，为整个关键生命周期的灾难恢复情况提供企业范围的计划，包括关键备份、恢复、托管过程或算法更改。
• EKM产品的使用将大大简化跨不同数据仓库和多云架构提供一致密钥管理策略和数据访问策略的能力。
• 如果存储和自加密驱动器供应商（不提供EKM产品）符合OASIS KMIP和NIST PKCS#11标准，EKM可以减少使用的供应商和本机密钥管理产品的数量。

企业密钥管理的障碍

• 企业密钥管理EKM产品通常符合OASIS KMIP和NIST PKCS#11标准。然而，供应商加密产品通常不符合标准，并使用专有接口。这意味着加密产品通常不能由其他供应商的EKM管理。
• 许多本地和云数据库、密钥库和SaaS提供自己的本地加密和KM产品，可能需要每个供应商的EKM解决方案进行定制集成。这使得EKM的实现成为一个巨大的挑战，因为许多不兼容的产品和由不同管理员管理的不同的本机平台加密产品。

企业密钥管理的用户建议

• 重点是减少不同企业密钥管理供应商部署的KM和加密产品的数量。
• 确保您的企业密钥管理EKM功能可以管理符合KMIP的第三方加密或本机产品。
• 确定您的企业密钥管理供应商对云原生密钥管理解决方案的支持，这些企业密钥管理解决方案使用需要与密钥管理即服务（KMaaS）解决方案集成的专有接口，并使用自定义的自带密钥（BYOK）与每个云服务集成。
• 评估EKM应作为软件还是硬件设备部署。它可以达到NIST FIPS 140-2下的安全认证标准，范围从1级（软件最低安全性）到3级或4级（硬件安全模块的纯实现或集成）。
• 仔细检查每个供应商在需要保护的各种结构化和非结构化加密解决方案中运行的EKM能力。
• 从多个供应商选择EKM和加密产品时要小心。EKM供应商依赖保护主义策略，其产品通常不会与其他供应商的加密产品集成。

企业密钥管理的供应商示例

Fornetix; Fortanix; IBM; Micro Focus; PKWARE; Protegrity; StorMagic; Thales; Townsend Security

Gartner Recommended Reading

Gartner推荐阅读

• 使用数据安全治理框架平衡业务需求和风险
• 制定企业范围的加密密钥管理策略或丢失数据
• 选择正确的密钥管理作为服务，以减轻云中的数据安全和隐私风险