云內數據的安全保障可以從如下多個方面全方位地進行:
卷存儲加密
卷加密可抵御如下風險:保護卷免除快照克隆或泄漏風險;保護卷免除被云供應商(和私有云管理員)而隨意查看的風險;保護卷免除物理硬盤丟失(這更像是一個實際發生的安全事件,而不是僅僅滿足合規性要求那么簡單)而導致的信息泄漏風險�����。
基礎設施服務的數據卷可通過以下三種方式加密:
實例管理加密��。這種加密引擎是在實例中運行�,密鑰被存放在卷中�,并采用密碼或密鑰對進行保護。
外部管理加密��。這種加密引擎同樣在實例中運行����,但密鑰在外部管理,并響應實例請求而進行分配。
代理加密����。在這一模型里��,先將卷連接到一個特定的實例或設備/軟件中,然后將該實例再連接到加密實例上。代理處理所有的加密操作,并將密鑰保管在代理內部或外部之中。在線方式或外攜方式保管密鑰�����。
對象存儲加密
對象存儲加密用于抵御很多類似卷存儲同樣存在的風險�。因為對象存儲長期被暴露在公共網絡上����,并允許用戶搭建虛擬私有存儲(VPS)。就像VPN一樣�����,它在保護好數據的同時����,可以使用公共共享的基礎設施,即使這些數據被暴露���,也只有那些有加密密鑰的人才能查看。
文件/文件夾加密和企業數字版權管理DRM:在將數據放到對象存儲前�����,先使用標準的文件/文件夾加密工具或者企業數字版權管理工具(EDRM)加密數據���。
客戶端/應用程序加密:在一個應用程序(包括移動應用)里�,對象存儲通常被當作后端使用時,可以使用嵌入在應用程序內或客戶端中的加密引擎加密數據�。
代理加密:在數據發送到對象存儲前�,使用加密代理進行數據加密���。
