云內(nèi)數(shù)據(jù)的安全保障可以從如下多個方面全方位地進(jìn)行:
卷存儲加密
卷加密可抵御如下風(fēng)險:保護(hù)卷免除快照克隆或泄漏風(fēng)險;保護(hù)卷免除被云供應(yīng)商(和私有云管理員)而隨意查看的風(fēng)險;保護(hù)卷免除物理硬盤丟失(這更像是一個實(shí)際發(fā)生的安全事件,而不是僅僅滿足合規(guī)性要求那么簡單)而導(dǎo)致的信息泄漏風(fēng)險�����。
基礎(chǔ)設(shè)施服務(wù)的數(shù)據(jù)卷可通過以下三種方式加密:
實(shí)例管理加密。這種加密引擎是在實(shí)例中運(yùn)行�����,密鑰被存放在卷中�,并采用密碼或密鑰對進(jìn)行保護(hù)���。
外部管理加密�。這種加密引擎同樣在實(shí)例中運(yùn)行�,但密鑰在外部管理,并響應(yīng)實(shí)例請求而進(jìn)行分配��。
代理加密���。在這一模型里�����,先將卷連接到一個特定的實(shí)例或設(shè)備/軟件中�����,然后將該實(shí)例再連接到加密實(shí)例上��。代理處理所有的加密操作���,并將密鑰保管在代理內(nèi)部或外部之中�。在線方式或外攜方式保管密鑰�。
對象存儲加密
對象存儲加密用于抵御很多類似卷存儲同樣存在的風(fēng)險。因?yàn)閷ο蟠鎯﹂L期被暴露在公共網(wǎng)絡(luò)上���,并允許用戶搭建虛擬私有存儲(VPS)�。就像VPN一樣���,它在保護(hù)好數(shù)據(jù)的同時����,可以使用公共共享的基礎(chǔ)設(shè)施�,即使這些數(shù)據(jù)被暴露,也只有那些有加密密鑰的人才能查看���。
文件/文件夾加密和企業(yè)數(shù)字版權(quán)管理DRM:在將數(shù)據(jù)放到對象存儲前����,先使用標(biāo)準(zhǔn)的文件/文件夾加密工具或者企業(yè)數(shù)字版權(quán)管理工具(EDRM)加密數(shù)據(jù)。
客戶端/應(yīng)用程序加密:在一個應(yīng)用程序(包括移動應(yīng)用)里�����,對象存儲通常被當(dāng)作后端使用時����,可以使用嵌入在應(yīng)用程序內(nèi)或客戶端中的加密引擎加密數(shù)據(jù)。
代理加密:在數(shù)據(jù)發(fā)送到對象存儲前���,使用加密代理進(jìn)行數(shù)據(jù)加密���。
