加密云数据之前亟待解决的六大安全问题

预计从2011年到2016年，软件即服务(SaaS)的复合年增长率是19.5%;而平台即服务(PaaS)的复合年增长率是27.7%;基础设施即服务(IaaS)则为41.3%;安全服务支出为22%。

然而，安全和隐私问题仍然是妨碍许多企业采用云服务最大的绊脚石，这甚至在过去的18个月，导致了了云加密系统的蓬勃兴起。

虽然加密对于采用云服务的安全方面是相当重要的，但它不应该被看作是“护身符”，Gartner在最近的研究报告中强调。

分析人士建议，企业应首先建立一套涉及到六大安全问题的数据安全计划。他们表示，如果不这样做，可能会增加企业采用云计算的成本和复杂性，同时也不利于长期保护数据隐私，解决好安全性和弹性方面的基本问题。他们警告称，着急上马实施的加密系统，甚至还可能干扰一些基于云的服务的正常运作。

亟待解决的六大安全问题分别是：

· 违反通知和数据驻留

· 休眠时期的数据管理

· 运行过程中的数据保护

· 加密密钥管理

· 访问权限控制

· 长期弹性的加密系统

违反通知和数据驻留

并非所有的数据都需要同等的保护级别，因此，企业应该对云存储的数据进行分类，在数据违反通知或如果数据不得存放在其他司法管辖区时的识别有关的合规性要求。

Gartner还建议，企业应该设立一套企业数据安全计划，从政府执法部门的角度确定业务管理访问流程。该计划应充分考虑到利益相关者，如从法律、合同、经营单位、安全和IT等诸多方面进行考虑。

休眠时期的数据管理

企业应该询问具体的问题，以确定云服务提供商存储数据的生命周期和安全政策。

企业应该搞清楚的问题包括：

· 如果是使用的多租户存储模式，搞清楚住户之间采用的是什么分离机理。

· 诸如标签之类的机制是用来防止数据被复制到特定的国家或地区。

· 用于归档和备份的存储是加密的，确保密钥管理策略包括一套强有力的身份识别和访问管理政策，限制在一定的司法管辖区内。

Gartner建议企业通过使用删除密钥以切碎数字数据信息，来实现寿命结束的加密战略，同时确保密钥没有妥协或被复制。

运行过程中的数据保护

Gartner建议，作为最低要求，企业至少要确保云服务提供商将支持安全通信协议，如SSL/TLS浏览器访问或基于VPN连接的访问以保护他们的服务系统。

研究报告称，企业总是加密在云中运行的敏感数据。但如果数据是未加密的，同时正在被使用或储存，减轻或使得企业免遭数据破坏将是义不容辞的责任。

Gartner建议，在IaaS中，企业青睐云服务提供商提供网络租户之间的分离，使一个租户不能看到其他租户的网络流量。

加密密钥管理

Gartner表示，企业应始终瞄准管理加密密钥。但如果这是由一个云加密供应商所提供的，他们必须确保访问管理控制到位，满足违反通知要求和数据驻留。

如果密钥由云服务提供商管理，那么企业应该要求基于硬件的密钥管理系统是在严格定义和管理的关键管理流程范围内。

Gartner表示，当密钥是在云中管理，当务之急是供应商提供严密的控制和现场负载监控，以防止潜在的快照分析获得密钥的风险。

访问权限控制

Gartner建议企业要求云服务提供商支持IP子网访问限制政策，使企业可以限制已知的IP地址范围和设备的最终用户访问。

企业应该要求加密提供者提供足够的用户访问和管理控制，更强的身份验证，如双因素身份验证、访问权限管理、以及分离安全管理职责，例如安全性、网络和维护。

企业还应该要求：

· 对所有访问云资源的用户和管理员进行记录，并以适当的格式提供给企业管理日志或安全信息和事件管理系统。

· 云服务提供商限制访问敏感系统管理工具可能带来的“快照”现场工作负载，进行数据迁移，数据备份或恢复数据。

· 迁移或快照工具捕获的图像与其它敏感的企业数据享有相同的安全处理标准。

长期弹性的加密系统

Gartner建议企业需要了解应用程序和数据库索引、搜索和排序的影响。他们应该特别注意先进的搜索功能，如子串匹配的功能和通配符，如“包含”或“以…结束”。

加密供应商是否提供诸如“功能保存加密”的选项。例如，保存排序规则，要求使用规范和批准的算法，或可能削弱独立认证加密。