如果你花幾分鐘時間與技術專家談論公有云服務，你很快會得出這樣的結論：從安全角度來看，云服務是一個挑戰。

這在一定程度上是因為云本身的性質，讓云計算如此強大的原因之一是其技術基礎的商品化，這意味著所有事物都是在一定水平的技術堆棧下面，而這種技術堆棧對客戶來說是黑盒子。

但同時云計算也很強大，企業可重定向其資源，而不需要自己在技術管理方面花費時間和精力，讓企業可專注于更有利可圖的業務領域。

從安全角度來看，云計算帶來一些影響。

首先，云計算意味著將技術安全控制操作的責任交給服務提供商，對于受到嚴格監管的大型企業，這可能是可怕的事情。

同時，云計算還可能影響某些控件的操作以及安全性。

例如在加密方面，密鑰所有權的問題變得非常重要。

當企業將密鑰管理和操作交給服務提供商時，服務提供商即可訪問該密鑰，即也可訪問密鑰保護的數據。

服務提供商可在需要的情況下訪問加密數據。

例如，當服務提供商收到執法部門訪問數據的請求時，他們對訪問數據并沒有技術屏障，盡管數據被加密。

同樣地，服務提供商在技術或管理保護(密鑰管理、過期或密鑰訪問)方面的缺陷可能會使數據處于風險之中。

自行加密的優勢因此，現在服務提供商會提供自行加密(BYOE)的選項，有時被稱為自帶密鑰(BYOK)。

在此模式下，客戶會成為加密密鑰的所有者和管理著，而不交給云服務提供商。

這讓客戶可結合服務提供商利用現有密鑰管理、加密、存儲或其他軟件及硬件，以實現加密功能，但限制服務提供商對密鑰材料的訪問。

根據具體部署，自帶加密可允許使用硬件安全模塊、第三方密鑰管理工具、訪問管理及日志記錄或其他密鑰代理功能。

這為客戶提供了很多潛在好處，首先最明顯的是，數據的任何訪問都需要客戶參與，包括執法機構請求訪問數據的情況。

同時，這創建了一個技術屏障，在授予他人訪問數據前，都需要客戶參與。

除此之外，自帶加密還給客戶帶來其他好處。

例如，當企業考慮更換服務提供商時，它可幫助企業取回自己的數據。

當服務提供商需要解除云計算合同時，如果他們知道客戶是唯一可訪問密鑰的人，這可確保在合同終止后他們不能再訪問數據。

同時，對于那些希望確保對數據進行地理限制的企業，自行加密可幫助實現這一點，即使數據可能會在客戶意料之外的其他地區，但客戶可通過密鑰所有權來控制數據可訪問程度。

部署注意事項基于BYOE的優勢，對于云服務客戶來說，下一個邏輯問題是部署的相對復雜性，即部署BYOE的難易程度以及在何種情況下可用。

請注意，并非所有云服務提供商都為其每項服務提供自帶加密選項。

亞馬遜在AWS密鑰管理服務中提供該選項，而微軟在Azure Key Vault中提供，此外，Salesforce最近在其Shield產品中提供該功能。

在存儲領域，Box和Tresorit等提供商為客戶提供此功能以利用自己的密鑰。

然而，并非所有云服務提供商(特別是小型提供商)都已經部署此功能。

對于需要該功能的企業來說，他們需要認識到的是，提供該功能的服務提供商選擇可能有限。

此外，在企業嘗試自帶加密部署之前，企業需要了解自己的準備情況。

對于加密方面(例如密鑰管理程序、密鑰到期和其他部署)，很多企業并不是非常嚴格。

如果你的企業已經在內部部署密鑰管理時面臨挑戰，則應該更加謹慎對待BYOE功能，因為這可能會制造混亂。

并且，企業還需要了解其環境中影子使用情況，因為這可能會影響自帶加密功能的部署。

最后，企業必須確定自己準備好處理與支持BYOE相關的可用性和后續問題。

如果云服務提供商請求密鑰來完成特定操作，則企業需要準備好支持這一點。

企業是否有人員來創建服務密鑰?企業是否適當限制其內部訪問，確保只有受允許的人員可創建以及訪問密鑰?這在BYOE的情況下也同樣重要，因為BYOE位于內部密鑰管理中。

自帶加密可帶來巨大的價值和靈活性，但發揮它的最大價值需要一些準備工作。