如何在公有云端保护用户数据安全？ | IBM 公有云·解忧宝典第5期

云端安全，重中之重

云计算应该算是当下 IT 圈一个比较火热的领域。很多知名的云厂商所提供的品类丰富的服务和美轮美奂的 UI，以及贴心的后台的支持都让人觉得用着非常的爽。不过，如果谈到安全和保护用户的隐私，IBM 云还是走在了前列。

“什么？IBM 不是被联想收购了吗?”，IT 圈外路人甲如是说。
“IBM 的服务器还是挺厉害的，怎们，你们还做云？”。IT圈内，云圈外路人乙也是一脸蒙圈。

其实，IBM 不但有云，而且目前在全球的收益已经排到了前三。

如今，在 IaaS 层，在已经囊括了 x86 和以高性能著称的 Power 服务器之外，最近又添加新成员，这就是 z 系列服务器。

正如“路人乙“同学所说，IBM 作为老牌的服务器厂商，生产的服务器分为 x,i,p,z 四大产品序列，在价格上，x 系列最便宜，z 系列最贵。而且，就国内而言，使用 z 的客户，包括了四大行在内的多家商业银行，大家都把最核心的应用运行在 z 上，足见其地位之重要。z 系列主机的高度安全性，必然能够为稳健的 IBM 公有云增光添彩。

在使用公有云的时候，相信所有企业用户，都会考虑隐私数据的安全问题，一来近年来各地的法律法规层出不穷，例如大名鼎鼎的 GDPR 就对使用和收集欧盟公民的个人信息有严格规定。这些规章一旦触犯，对企业来说，轻则鼻青脸肿，信用受损，重则骨断筋折，一命呜呼。二来，如果云供应商，监守自盗，窃取隐私数据该如何是好？虽说目前有供应商的书面承诺，可以检查日志进行审计。但是毕竟有点儿事后诸葛亮的意思。

有没有有一种服务能够从技术上真正做到只有数据的所有者可以读取数据内容，其他任何人（包括云计算供应商）都无法读取呢？还真有，这就是依托 IBM Cloud Hyper Protect Crypto Service 的 KYOK 技术（Keep Your Own Key）。与之相对的，是一种叫做 BYOK（Bring Your Own Key）的技术。二者区别如下：

KYOK 是从技术上根本解决了云供应商对客户数据非法访问的问题。至于具体是如何实现的，请继续向下看。

就硬件的安全性而言，z 主机上的加密设备: Crypto Express 6S，达到了 FIPS140-2,Level 4 的等级，为业界最高，没有之一。既然有 FIPS140-2 level 4, 自然也会有level 1,2,3，感兴趣的小伙伴可以自己找一找，不同厂商的 HSM 设备的安全级别。对于 level 2 的设备，要求是对入侵的行为有事后的证据，乃至于给设备贴上封条或易碎贴的做法也算是 level 2 的范畴。

Level 3，要求要高一些，需要能够检测到实时的入侵行为，算是事中的反馈。而 level4 的设备，除了具备 level 2,3的能力之外，还可以在检测到入侵行为的时候 (包括非法访问或物理环境聚变)会自动清零设备上的秘钥，防止秘钥落入不法分子手中。

02