云存储安全：数据加密机制及安全层级浅析

《2022守护企业多云环境》报告调研指出，企业在访问/维护云环境中的数据时面临的前三大挑战包括：数据安全性（63%）、复杂度（49%）和多云环境（43%）。

如何真正实现云存储安全？毫无疑问，加密是其中至关重要的一层。

为什么加密对企业很重要？

企业数据中可能包含敏感客户信息、有价值的知识产权等各类重要信息。一旦处理不当，随时可能会遭受罚款、诉讼，导致品牌商誉受损。加密是一层安全保护，可帮助企业保护数据避免不必要的暴露。

云数据加密背后更深层的动因

在某些行业，出于监管与合规要求，企业必须加密云中的数据。而对更多企业而言，加密是一道“锦上添花”的机制，可以让管理者更放心。当然，市场中关于云上数据安全的隐忧一直存在，通过加密，IT可以规避“数据不受限制访问”类似极端情况的潜在风险。

云存储加密的不同方法

如果你信任云供应商，在云中直接使用其静态数据加密功能是更简单的方法。这意味着，当数据被移动或同步到云存储时，尚未被加密。数据在传输过程中应始终加密，但在这种情况下，CSP会通过访问来实现接收。然后再存储数据，并通过加密保护静态数据。

这种方法适合大多数企业，对于任何有权限访问数据的用户或应用程序而言，也是最清晰的解决方案，无需担心解密数据的密钥。

如果你担心CSP可能存在“后门”或者“漏洞大开”的风险，这种加密方法并不能帮助解决主要问题。

另一种方法是：在将数据发送到云存储之前，自己应用加密。通过这种方式，企业可以确保只有自己才能访问数据，当然，这也要求自己管理密钥，确保安全。理论上，这是最安全的方法，但同时，操作也会更复杂一些。此外，一些云中数据运营相关的增值功能（如分析、内容索引、自助访问等）也会被阻止，因为这些系统进程或业务用户无法轻松访问数据。

通过下面这张表格来对比不同云存储加密方法的优缺点：

选择合适的方法

哪种加密方法可以满足安全和业务需求？没有最好的，只有更合适的。这取决于企业如何看待潜在风险。如果你担心数据有可能会在不知情/同意的情况下被访问，就现在自己的环境中加密数据，获得只有自己有权访问的密钥，然后再将数据放入云中。当然，关于这种加密处理方法带来的局限性和操作复杂度，也是IT管理者需要认识到的。现在，很多企业认为云存储供应商提供的加密机制令人满意，可在云中无缝地应用和管理。

云存储安全，不止于加密

在将数据移动到云存储之前，企业还有其他重要的安全工作要做。就Veritas观察而言，企业可通过增加以下安全优势，让云存储更安全地存储和管理非结构化数据工作负载：

1、可信身份验证。支持多重身份验证（MFA）和单点登录（SSO）可选项。

2、基于角色的访问控制（RBAC）

3、访问控制列表（ACL）同步

4、目录同步

5、数据泄露防护（DLP）

6、活动审核

7、个人身份信息（PII）的识别和标记

8、无共享密钥引入云