密鑰管理在最有利的情況下仍舊是繁重的挑戰。同時密鑰可以對數據進行訪問控制，糟糕的密鑰管理和存儲會導致危害。讓第三方控制你的基礎架構的物理和邏輯訪問時，增加了額外的風險，保護密鑰安全就變得更難了。主要原因是密鑰管理和密鑰存儲相關。類似于你租賃了一個銀行的保險箱，讓他們保管鑰匙。授權你的密鑰，讓你的提供商可以訪問你的數據。

　　提供商糟糕的實踐，比如脆弱的密鑰生成、存儲和管理實踐都很容易泄露密鑰。草率的密碼實踐導致了推特最近的安全問題。惡劣的員工會在你的機器上增加后門來訪問密鑰或者他們會通過一個非加密的鏈接在其運轉和動態遷移時訪問你的機器。這種情況下，我認為撤銷密鑰和用一個新的密鑰加密數據比較好。

　　備份對于密鑰管理導致了另一個問題，因為很難追蹤你的提供商的歸檔介質。對于長期的歸檔存儲，我建議加密你的數據，然后將其送到云數據存儲廠商那里。這種方式你可持有和控制密碼關鍵字。這種來自云提供商托管數據的密鑰管理隔離也創造了分離束縛，萬一發生法規遵從問題，這樣會保護云提供商和你自身。密碼粉碎對于遷移云計算風險也是一種非常有效的技術。也就是提供商毀壞了所有密鑰的副本，確保你物理控制之外的任何數據不能訪問，如果你管理自己的密鑰，密碼粉碎也是你戰略的重要部分，

　　云計算就密鑰管理也引入了其他的風險。所有虛擬化軟件中都發現了漏洞，會通過具體的安全限制被利用或者獲得升級特權。此外，新的技術意味著我們不能假設現有的流程仍舊安全。安全研究員Stamos、Becherer和Wilcox最近在爭論虛擬機不一定能夠訪問適合加密數據所需的隨機數字。這是因為他們比常規機器擁有較少的加密源，常規機器可以使用鼠標移動和鍵盤鍵入來創建加密池，用于生成隨機加密密碼。這種情況下更容易生成可推測的加密密鑰。這并不是一種立即的威脅，但是卻警示我們對于云計算和虛擬化計算還有很多要學習的安全問題。

　　最主要的要關注的領域是你的提供商的安全策略多么強壯，實施的有多好。他們是否適用密鑰管理生命周期;生成多少密鑰、使用多少，存儲多少，備份多少，恢復多少，刪除多少？一旦不再需要了，他們在采用破壞密鑰材料時進行哪些數據清理實踐？同你的提供商的合同應該包含“非密鑰庫(no key storage)”條款聲明：“提供使用的任何密鑰將不再被保留”，這一條必不可少。這種條款是前所唯有的。支付卡行業數據安全標準聲明商家不得存儲信用卡CVS數字，即使他們為了認證而使用。如果最終，你還是對于云廠商的合同或者吹不滿意，就不要使用。