云计算带给企业诸多利好,但实施云计算必然会加剧信息泄露风险。当企业打算把所有数据传输云端的时候,首先要考虑的就是数据保护的问题。虽然云计算的背景下,云计算安全与传统信息安全的目标仍是相同的:保护信息资产的保密性、完整性、可用性,但云计算安全的保护核心正逐步从基础的信息安全风险管理转向数据安全管理。
使用云服务,用户数据将面临以下安全威胁:云端数据集中存储带来的管理员有限访问与虚拟机逃逸隐患、数据管理者和数据所有者完全脱离现象。对于数据所有者而言,把所有数据集中云端存储,如同将所有鸡蛋放入同一个篮子,数据安全很容易受到威胁。数据离开了其能控制的范围,继而造成了数据的泄密事件。
加密一向是信息安全工具库中的重要武器,无论是大企业的首席信息安全官,还是中小企业里面的指定管理员,负责安全的企业主管都需要保护处于这三个状态的数据:传输中数据、使用中数据和静态数据。
加密以确保数据隐私,使用认可的算法和较长的随机密钥。
先进行加密,然后从企业传输到云提供商。
无论在传输中、静态还是应用中,数据都应该保持加密。
云提供商及其工作人员根本无法获得解密密钥。