随着企业越来越多地采用云技术，云安全变得至关重要。每年，云安全威胁的数量都在增加，这促使组织重新考虑从本地迁移的决定，并研究提高云安全性的方法。增强云安全性的一种方法是改进云加密。

大多数云服务提供商都包含主要加密功能并将加密密钥传递给他们的客户。要解密数据，您需要使用给定的密钥，但如果您丢失了这些密钥，您也可能会丢失宝贵的数据。

数据加密分三个阶段进行：传输中、静止时和使用中。

• 传输中的数据：当数据从一个地方移动到另一个地方时，它处于传输中或移动中。数据加密发生在数据传输到云端之前；端点在数据到达时进行身份验证、解密和确认。当信息在两个服务之间移动时第三方劫持任何通信时，传输中的数据可以保护数据。
  

• 静态数据：这一阶段的加密保证了数据在静态时的数据安全；通常当它存储在软件中，由第三方、设备或单位处理时。它包括移动设备、网络附加存储、硬盘驱动器、数据库服务器和物理存储系统。云服务提供商通常使用 AES 进行数据加密。

• 使用中的数据：在此阶段，加密会在服务器用于执行计算时保护数据。在这里，您的数据更容易受到网络攻击和威胁。与其他两个阶段相比，使用中的数据加密有点挑战性。

简而言之，静态数据受到全面保护，免受所有类型的风险和漏洞的影响。如果您使用多个应用程序，动态和使用中的数据将面临重大风险。

组织在加密云数据时面临许多问题，但使用一些最佳实践来改进云加密可以帮助确保数据安全。 

加密云数据的安全问题

Gartner最近警告这些组织，他们必须起草并实施一个强大的安全计划来加密云中的数据。如果一家公司未能加密数据，无论其规模大小，都将面临财务和声誉损失。加密云数据时会出现几个云存储安全问题。其中一些安全问题是：

• 密码和加密安全密钥：如果密码被盗或泄露，可能会导致您的宝贵数据永久丢失。如果留给他们自己的设备，用户通常会设置易于破解的密码，允许黑客通过使用高级工具、凭证填充或暴力攻击来访问您的数据。使用可靠的安全密钥或密码管理器可以减少数据泄露的机会。
  

• 云凭证：加密云数据需要其他团队成员的高度协作。然而，这可能具有挑战性。例如，如果员工共享包含机密信息的关键文件，则必须对其进行加密然后发送。IT 人员可能会发现先对数据进行编码然后再解码这种烦人且耗时的做法，因此他们跳过这些步骤并仍然发送文件。这个漏洞会招来黑客并导致数据泄露。

• 流氓设备：您用来访问数据的设备是主要的弱点。远程工作和 BYOD 政策会带来更大的风险。

改进云加密

云提供商的标准加密功能几乎不足以保证数据安全。您应该考虑其他步骤来改进云加密。

使用被认证过的安全产品

被认证过的HSM和KMS，是已经被市场所接受并被已被广泛使用。其中最为重要的两项认证是FIPS认证和CC认证。揽阁信息所代理的Thales公司产品，多年来一直遵循这两项认证进行研发，其Luna HSM拥有FIPS 140-2 Level 3和CC EAL 4+两项认证；KMS产品CipherTrust Manager包含两个版本，物理版拥有FIPS 140-2 Level 2认证，虚拟化版本拥有FIPS 140-2 Level 1认证。其KMS产品还可通过Luna HSM作为底层根密钥的保护设备进行使用，使整体安全架构达到FIPS 140-2 Level 3等级。

对称加密

为确保云中数据的安全，请使用对称密钥对其进行加密。此方法使用当前密钥解密数据，然后使用新密钥重新加密。然而，随着数据量的增加，解密和重新加密过程都变得更加困难。这是一个耗时的过程，除了冗长的序列计划之外，计算能力成本也增加了。 

重新加密

解密和重新加密是更改用于加密的密钥的基本步骤。它保证了您数据的永恒安全，支付卡行业数据安全标准 (PCI-DSS) 等安全标准就是基于这种加密方法。

外壳加密（Envelope Encryption）

如前所述，简单的对称加密会增加成本。当您想更改密钥时，为了降低这些成本，您可以使用外壳加密；类似于数字信封技术。它通过将数据密钥封装在外壳中来存储、传输和使用加密数据，而不是直接使用 CMIK 加密和解密数据。

外壳加密有一个明显的缺点：它不能确保外壳内的数据保持不变。任何拥有对称密钥的人都可以在您不知情的情况下解密和重新加密数据，从而导致基本问题。

使用散列的外壳加密

为了提高外壳加密的安全性，请将加密数据的哈希添加到外壳中。哈希将大量数据调整为固定大小，方法是在解密后进行比较以进行身份验证。使用散列的外壳加密提高了数据的完整性，因为不可能破解密码并访问解密的数据。

其他改进云加密的方法

除了上面提到的步骤，这里还有一些改进云加密的其他技巧：

投资云数据仓库

投资云数据仓库是减少云环境中安全威胁的另一种方法。这些仓库定期创建数据备份，并提供更好的灾难恢复选项。各种云数据仓库解决方案具有不同的内部控制，有助于保护基于云的数据。先进的安全工具和加密保护关键业务数据免受外部威胁。此外，大多数云数据仓库都包括特殊的隐私增强工具，如 MFA 和 VPN，进一步限制了云数据泄露的可能性。 

本地数据备份

要保护云中的数据，请确保您已正确备份数据。始终拥有数据的多个副本，这样即使您的原始数据被永久删除或被盗，您也可以访问它。

部署多因素身份验证

组织应指示其云用户使用 MFA 保护其设备。它是最便宜但最有效的安全方法之一，可防止黑客或任何其他未经授权的人访问您的云应用程序和其他敏感业务数据。 

员工培训计划

黑客可以使用网络钓鱼等各种社会工程技术来欺骗员工并窃取他们的登录凭据。应进行每周或每月的培训计划和研讨会，以帮助员工了解网络安全是一项共同责任，并帮助他们发现可能危及组织安全的恶意企图。 

加密在保护云中的数据方面起着至关重要的作用，有效的加密实践可确保数据在云环境中保持安全。 

方案选择

揽阁信息凭借多达十七年的信息安全行业经验，以为众多客户提供了相关的安全产品和解决方案。现在您可以联系揽阁信息获取您的专属解决方案。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 欧盟NIS2指令即将出台

• SOC 2合规性：您需要了解的内容和需要做的事情

• 合规指南：了解印度的数字个人数据保护法

• Thales CipherTrust 2.15 现已推出

• 香港虚拟资产交易平台（VATP）运营商指南