靜態(tài)數(shù)據(jù)一直是通過(guò)被稱(chēng)為公鑰基礎(chǔ)設(shè)施(PKI)的技術(shù)來(lái)保護(hù)：當(dāng)數(shù)據(jù)被創(chuàng)建時(shí)，就會(huì)使用公鑰對(duì)數(shù)據(jù)進(jìn)行加密，并且從理論上講，只有持有私鑰的授權(quán)人才能夠解密數(shù)據(jù)。當(dāng)將這種數(shù)據(jù)保護(hù)辦法擴(kuò)展到云環(huán)境后，事情會(huì)變得更加復(fù)雜。

由于在云環(huán)境中，IT團(tuán)隊(duì)缺乏對(duì)數(shù)據(jù)安全的直接控制，所以數(shù)據(jù)遷移到云環(huán)境將會(huì)給IT團(tuán)隊(duì)帶來(lái)新的復(fù)雜的安全問(wèn)題。此外，云供應(yīng)商認(rèn)為數(shù)據(jù)安全是需要共同承擔(dān)責(zé)任，即服務(wù)供應(yīng)商保證物理安全，用戶(hù)必須保護(hù)其服務(wù)器和數(shù)據(jù)的安全。這將需要新的加密策略和密鑰管理策略，將密鑰存儲(chǔ)在云環(huán)境外部，而不是云環(huán)境中。

初創(chuàng)安全公司Porticor剛剛推出了一個(gè)解決方案，專(zhuān)門(mén)解決云環(huán)境中靜態(tài)數(shù)據(jù)安全問(wèn)題。Porticor公司提供了一種分離密鑰加密解決方案，云客戶(hù)是知道主密鑰的人。另外，Porticor公司解決了所有與加密數(shù)據(jù)有關(guān)的復(fù)雜問(wèn)題，客戶(hù)幾乎不要去想這些問(wèn)題。這種獨(dú)特的密鑰管理解決方案既提供了安全性，也提供了便利性。

在云中加密數(shù)據(jù)的根本問(wèn)題是將密鑰存儲(chǔ)在哪里。客戶(hù)不能將密鑰存儲(chǔ)在云端的磁盤(pán)中，因?yàn)檫@可能受到黑客攻擊。另外，客戶(hù)也可以讓供應(yīng)商來(lái)幫助保存密鑰，但這意味著你要將信任交給第三方。客戶(hù)也可以將密鑰帶回他們自己的數(shù)據(jù)中心，但這似乎違背了將數(shù)據(jù)中心服務(wù)外包到云環(huán)境的目的。Porticor公司現(xiàn)在提供了一種既簡(jiǎn)單又安全的密鑰管理方案。

Porticor的方法主要基于銀行安全保管箱的概念，這種保管箱有兩個(gè)密鑰，一個(gè)交給客戶(hù)，另一個(gè)交給Porticor虛擬密鑰管理服務(wù)。正如安全保管箱一樣，客戶(hù)如果不提供Porticor提供的密鑰，就無(wú)法解密數(shù)據(jù)，同樣的，如果Porticor不提供客戶(hù)持有的主密鑰，也無(wú)法解密數(shù)據(jù)。在實(shí)踐中，客戶(hù)的每個(gè)項(xiàng)目(通常是指一個(gè)應(yīng)用程序)都有一個(gè)密鑰。Porticor持有數(shù)以千計(jì)的密鑰，每個(gè)密鑰對(duì)應(yīng)著客戶(hù)項(xiàng)目的每個(gè)文件或者磁盤(pán)。盡管如此，密鑰必須配對(duì)使用才能夠訪(fǎng)問(wèn)被加密的數(shù)據(jù)。

除了密鑰分別交由客戶(hù)和Porticor保管外，這種解決方案獨(dú)特的部分在于密鑰本身都是通過(guò)客戶(hù)的主密鑰來(lái)加密，而主密鑰只有客戶(hù)持有和知道。因此，雖然Porticor持有項(xiàng)目配對(duì)的密鑰，但是供應(yīng)商并不能讀取密鑰，因?yàn)樗鼈円呀?jīng)加密了。通過(guò)使用客戶(hù)的主密鑰來(lái)加密Porticor密鑰，Porticor完全緩解了終端數(shù)據(jù)保護(hù)的壓力。客戶(hù)必須寫(xiě)下主密鑰，并存儲(chǔ)在鋼制箱內(nèi)，這樣世界上就沒(méi)有其他人能夠看到密鑰。另一個(gè)方法是將主密鑰交給托管服務(wù)。

Porticor解決方案部署在云端服務(wù)器和存儲(chǔ)間，以確保服務(wù)器和存儲(chǔ)間的每字節(jié)數(shù)據(jù)都被加密了，并且從存儲(chǔ)移動(dòng)到服務(wù)器的每字節(jié)數(shù)據(jù)都只能通過(guò)客戶(hù)來(lái)解密。Porticor解決方案的中間部分是其核心，Virtual Private Data(VPD)應(yīng)用程序，VPD是使用加密算法(例如AES-256)用于解密任何磁盤(pán)或存儲(chǔ)陣列的虛擬設(shè)備。VPD檢索Porticor密鑰，以及請(qǐng)求客戶(hù)密鑰。

Porticor公司稱(chēng)，這具有軍用級(jí)安全性，因?yàn)橹挥幸环?即客戶(hù))持有主密鑰來(lái)解密數(shù)據(jù)。只有當(dāng)整個(gè)服務(wù)器集群需要重新啟動(dòng)時(shí)，主密鑰才需要從鋼制箱中取出來(lái)，而這是很罕見(jiàn)的情況。當(dāng)新應(yīng)用程序服務(wù)器被創(chuàng)建時(shí)，它們將通過(guò)VPD自動(dòng)繼承之前的加密。

在安全和風(fēng)險(xiǎn)管理方面，Porticor不會(huì)將任何“普通密鑰”保存到任何磁盤(pán)中。這樣，即使黑客滲透到服務(wù)供應(yīng)商的網(wǎng)絡(luò)來(lái)搜索數(shù)據(jù)，黑客也找不到任何可以偷竊的東西。

Porticor解決方案能夠與任何云部署協(xié)作。目前，Porticor已經(jīng)與亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)以及Red Hat建立了合作伙伴關(guān)系。