在云计算环境中，尤其是涉及到敏感数据时，企业用户可能会选择自带加密工具或密钥（即BYOE或BYOK），以确保数据在传输和存储过程中的安全性。这种方式可以防止云服务提供商访问或泄露加密数据，增强数据保护。

一、案例背景

某视频监控服务商，采购了华为的云服务，将自身的业务系统架设在华为ESC上，业务系统分析处理后的数据存入到HW的OBS对象存储服务中。

虽然OBS能够提供高性能、高可靠、低延时、低成本的海量存储空间，解决业务系统每天产生的大量数据存储的难题。但是视频监控数据可能涉及敏感数据，客户非常关注云上数据的存储安全的问题。

二、解决方案

针对该数据安全需求，安当提供了一套兼具BYOK和BYOE能力的安全解决方案，该方案包含两部分：

1、对于高敏数据，直接采用BYOE的方式，由安当TDE组件，根据安当密钥管理系统KSP上对应的配置，将数据加密后存入华为OBS。

2、对于视频基础数据，基于其数据量级和处理性能，安当建议使用BYOK的方式完成数据加密。业务系统调用华为OBS提供的SSE-C能力，由安当KSP系统来生成和存储密钥，由华为OBS系统用客户的密钥来完成数据的加密存储。

三、IaaS应用中BYOK还是BYOE如何选择？

1、先看定义

BYOE（Bring Your Own Encryption）：通常指用户自己提供加密工具或加密方案，以确保数据在云环境中的安全性。这包括使用用户自己的密钥管理工具、加密算法等。 BYOK（Bring Your Own Key）：指用户自己提供加密密钥，并保留对密钥的控制和管理权。用户可以在云服务提供商的平台上使用自己的密钥对数据进行加密和解密。

2、再看应用场景

BYOE：更侧重于用户自定义的加密方案，适用于对数据安全性有极高要求的企业或个人。用户可以根据自己的需求选择合适的加密工具、算法和密钥管理方式。 BYOK：更侧重于密钥的管理和控制，适用于需要确保数据在传输和存储过程中不被云服务提供商访问或泄露的场景。用户可以通过自己管理密钥来增强数据的安全性。

3、根据安全需求和实施难度选择合适方案

在IaaS（基础设施即服务）中，由于IaaS提供了虚拟化的计算、存储和网络等基础设施资源，用户可以通过互联网按需租用这些资源。然而，在租用这些资源时，用户可能会担心数据的安全性，尤其是当数据涉及商业秘密或敏感信息时。

从前面描述的内容来看，BYOE和BYOK都可以为客户提供更高的数据安全性、合规度。客户可以使用专门的密钥管理服务来集中化、自动化管理密钥生命周期，并优化加密过程以最大程度地减少性能影响。同时，客户还需要在进行成本效益分析后做出明智的决策，安全无止尽，BYOK还是BYOE，首先是要符合企业安全方面的预算和业务需求。

四、总结

通过引入安当KSP密钥管理系统，配合TDE组件，可以实现关键数据本地加密后再存储到云中的BYOE方案。也可以实现由KSP来生成和存储密钥，由华为OBS完成存储数据加密的BYOK方式的数据存储。

主流的云服务商基本都提供BYOK的接口，以满足用户对数据安全性的需求。对于更加敏感的数据，也可以考虑安当提供的TDE加密组件，数据存储前加密。

文章作者：太白 ©本文章解释权归安当西安研发中心所有