云内数据的安全保障可以从如下多个方面全方位地进行:
卷存储加密
卷加密可抵御如下风险:保护卷免除快照克隆或泄漏风险;保护卷免除被云供应商(和私有云管理员)而随意查看的风险;保护卷免除物理硬盘丢失(这更像是一个实际发生的安全事件,而不是仅仅满足合规性要求那么简单)而导致的信息泄漏风险。
基础设施服务的数据卷可通过以下三种方式加密:
实例管理加密。这种加密引擎是在实例中运行,密钥被存放在卷中,并采用密码或密钥对进行保护。
外部管理加密。这种加密引擎同样在实例中运行,但密钥在外部管理,并响应实例请求而进行分配。
代理加密。在这一模型里,先将卷连接到一个特定的实例或设备/软件中,然后将该实例再连接到加密实例上。代理处理所有的加密操作,并将密钥保管在代理内部或外部之中。在线方式或外携方式保管密钥。
对象存储加密
对象存储加密用于抵御很多类似卷存储同样存在的风险。因为对象存储长期被暴露在公共网络上,并允许用户搭建虚拟私有存储(VPS)。就像VPN一样,它在保护好数据的同时,可以使用公共共享的基础设施,即使这些数据被暴露,也只有那些有加密密钥的人才能查看。
文件/文件夹加密和企业数字版权管理DRM:在将数据放到对象存储前,先使用标准的文件/文件夹加密工具或者企业数字版权管理工具(EDRM)加密数据。
客户端/应用程序加密:在一个应用程序(包括移动应用)里,对象存储通常被当作后端使用时,可以使用嵌入在应用程序内或客户端中的加密引擎加密数据。
代理加密:在数据发送到对象存储前,使用加密代理进行数据加密。
