顺从并不意味着你安全。"安全"的定义在不同的行业、组织和威胁配置文件中差异太大，安全防范什么？-因此，合规性和安全性发展了一种特殊的关系。监管旨在通过公认的最佳实践，从给定领域的知识体系中提供指导。但是，由于法律和法规的发展往往比技术发展得慢，合规制度并没有预见到许多新技术。这既适用于保护它们的技术，也适用于保护它们的工具。许多安全专业人士引用了"合规性不是安全性"的陈词滥调，但最终还是会考虑外部授权，以解锁预算并决定要实施的控制措施。

尽管如此，合规性至少仍然是某些安全决策的动力，在金融和医疗保健等"受监管行业"中更为关键。对于处于安全之旅初始阶段的组织来说，法规遵从性也比风险管理代表着更强的动机。

在今天的帖子中，我们将介绍数据加密，这是许多法规要求的主要控制之一。具体来说，我们将研究加密密钥管理是如何作为一个整体的数据安全的重要组成部分，并制定一些最佳实践，以铭记在考虑加密密钥管理时。

今天的法规遵从性和加密

许多法规和授权包括的控制之一是数据加密。大多数与IT相关的遵从性适用于特定类型的数据，如患者信息、财务记录或支付卡号。Unified Compliance Framework（UCF）数据表明（也在此处）加密是最流行的控制措施之一，并包含在他们跟踪的数百项法规和授权中。"加密支付数据"、"加密患者数据"、"使用加密等方法保护数据"、"传输过程中加密数据"以及类似的短语可以在全球各地的监管文件中找到，从美国HIPAA到新加坡个人数据保护法。

然而，很少有法规深入讨论加密密钥管理。有些包含最低限度的指导，如"不要用加密数据存储密钥"或建议"密钥应安全保存"。只有少数人在这里详细说明：例如，PCI DSS提到密钥"使用至少与数据加密密钥一样强大的密钥加密密钥加密，与数据加密密钥分开存储，客户"充分记录和实施用于加密持卡人数据的加密密钥的所有密钥管理流程和程序"。它们涵盖了密钥管理的技术和流程方面，例如"对加密密钥的要求"托管人正式承认他们理解并接受其密钥托管人职责。"（来源：PCI DSS 3.2.1）。

另一个例子是NIST 800-53（因此，FedRAMP）指出，"组织为所需的加密建立并管理加密密钥[…]"这就要求组织管理它自己的加密密钥，但不涉及细节。（简而言之，NIST 800-57文件确实涉及密钥管理细节。）一些欧洲银行业法规还规定，中国物联网，银行管理自己的加密密钥，而不是依赖提供商管理的加密。

尽管如此，深入而全面的密钥管理指南在法规遵从性领域是罕见的。

也没有多少规定或标准规定使用硬件安全模块（HSM）进行加密（例如，请参阅此UCF链接）。一些文档，如PCI-DSS，好评返现，提到HSMs是一个可接受的选择，但并不试图强迫组织使用它。有趣的是，大数据的前景，你可能会遇到一位安全负责人，他认为他们需要一个HSM"以实现法规遵从性"，尽管他们无法指出实际需要部署HSM的特定授权、法律或法规。

形成的情况是需要加密数据以保护数据，但所用密钥的命运最终取决于组织，不是监管者。

为了有效地抵御威胁，加密需要良好的密钥管理

让我们将这组法规遵从性事实与另一个事实结合起来：例如，好评返现怎么操作，尽管最近的技术进步使得加密无处不在，加密移动设备的激增和TLS对网络流量的覆盖率不断提高企业密钥管理对许多组织来说仍然是一个挑战。

事实上，使用加密来实现有效的安全性不仅仅是合规性复选框—阻止真正的威胁依赖于可靠的密钥管理。概括地说，加密的安全性得益于密钥管理，而不仅仅是得益于算法和数学的强大。很可能您的加密使用符合您需要遵守的授权，淘客引流，但您的密钥管理无法抵御对您的数据感兴趣的参与者的威胁。

因此，虽然法规可能不会强制您使用密钥管理并最大限度地保护您的数据，但威胁可能会。事实上，一个奇怪的概念出现了：一些勒索软件犯罪集团已经取得了超过一些组织的加密密钥管理的卓越程度。

现在，让我们为这个密钥管理讨论添加另一个维度：云。

云密钥管理

法规的发展速度比技术慢。事实上，一些影响加密的指令是在近20年前编写的（例如，FIPS 140-2最后一次更新是在2002年）。与此同时，云已经成为新的安全机制和新的安全环境的推动者。

在威胁和监管机构的推动下，云计算用户今天开始使用数据加密，主要是在传输和存储过程中，但后来通过保密计算等方法使用。这给在云中进行有效的密钥管理带来了挑战，至少对那些有知识的人来说是这样。

但是"有效"到底意味着什么？

在内部部署、专有、基于设备的模型中，用于满足关键管理相关法规遵从性要求的方法不会直接转化为云。

什么没有改变？拥有强大的访问控制和治理仍然是必不可少的，而账户泄露仍然是最普遍的成功攻击模式。