银行和金融机构越来越感到将IT服务从内部自我管理的数据中心迁移到公共云服务的压力。云计算具有显着的优势，例如本机弹性和弹性。通过将非关键服务外包到按需计量的云环境中，它还可以帮助降低成本。这些优势与快速，灵活地开发和交付产品和服务，使银行和其他银行从竞争中脱颖而出的现代目标非常吻合。

另一方面，诸如金融交易，卡付款或PII数据（例如客户的风险评估数据）之类的关键流程可能不会很快迁移到云中。这些核心服务将保留在高度受保护的内部数据中心中。

混合IT环境

在全国或全球分布的银行地点网络中云和数据中心环境的这种混合导致分散的混合IT环境。 

为了保护数据，云计算平台先前已经提出了基于云的安全性以及基于云的密钥管理。但是，通过这种针对混合云或多云的方法，银行立即失去了所有所有权，并失去了对密钥和数据的控制权。 

此类混合体系结构中的一些安全风险在文章“将业务关键密码术迁移到云中-银行业的注意事项”中进行了重点介绍和描述。

这些风险包括：

• 数据安全和隐私问题

• 供应商锁定的风险（硬件和软件）

• 公有云中关键所有权的困境

• 可审核性和合规性

市场上出现了许多初创企业，围绕着云中的密钥管理提出了价值主张，并与大型云计算公司合作，但是在所有的营销交流背后，没有加密敏捷性的实际价值主张，并且避免了供应商锁定。

我们的判断是明确而明确的：

基于云的密钥管理无法完成任务

银行和金融机构需要更全面，更全面的服务。

混合云环境中的银行级密钥管理

现在，我们研究如何在混合云或多云场景中构想密钥管理，以确保数据安全性和隐私性。保留更改云平台提供商的自由；保持对密钥的所有权和控制权，并启用可审核性以证明符合集中可用的审核日志。

典型的银行业格局

在银行或关键业务加密中，我们可以区分三个不同的区域：

1. 需要访问密钥以执行加密操作的应用程序。
   

2. 存储密钥并用于执行加密操作的设备。这通常是硬件安全模块（HSM）。

3. 控制和管理最重要键的生命周期的系统。这通常称为加密密钥管理系统（CKMS）。

这三个领域需要集成以创建一个高度安全的过程。

这样的过程需要集成点。

图：具有多个集成点的数据中心中的CKMS

一个好的CKMS应该能够为上述所有基础架构和应用程序提供现成的和经过验证的集成点。 

但是CKMS不仅应该是在更改部署环境方面具有灵活性的系统，这意味着可以自由地替换云或数据中心，或者可以自由地替换供应商1的HSM或替换供应商2的替代品-面向未来的解决方案还应该启用加密敏捷性（即在不更改应用程序代码的情况下更改密码参数（例如算法或密钥长度）的能力）。。

即使当前并非所有上述呈现的变化都存在于银行中，它们也可能会在将来出现，可能是由新的应用程序或新的法规触发的。密钥管理系统不应成为放弃该更改的原因。

摘要

在本文中，我们研究了银行IT环境中最重要的加密集成点，并强调了密钥管理系统在集成数据中心和云中各个区域中的核心作用。我们的重点放在银行环境中使用硬件安全模块（HSM）的典型应用程序上。

密钥管理解决方案不仅必须控制密钥的整个生命周期，而且还要保持对国际银行法规和PCI标准的合规性-在理想情况下，该解决方案还应该为任何应用程序提供加密敏捷性。 

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 汽车领域的密钥管理

• 保护您的数字堡垒 - SSH密钥：现代网络安全中的安全4.0

• SOC 2合规性：您需要了解的内容和需要做的事情

• Thales与LuxTrust：数据主权和合规性的合作伙伴关系

• 硬件安全模块供应商已做好应对量子安全需求激增的准备