云加密(云存储加密)
云加密是由云存储提供商客户的数据通过以下方式进行转换:加密算法进入密文并存储在云中。云加密与本地加密几乎相同,但有一个重要区别:云客户必须花时间了解提供商的加密和加密策略和过程加密密钥管理.服务提供商的云加密能力需要与所承载的数据的敏感性水平相匹配。
IT管理员将加密视为确保数据安全的最终保障。这是本书的机密部分保安三合会并在许多法规遵从性和监管标准(如《联邦信息处理标准》(FIPS)、《联邦信息安全现代化法案》(FISMA)、《健康保险便携性和责任法案》(HIPPA)和《支付卡行业数据安全标准》(PCIDSS)中强制执行。即使在丢失、被盗或通过未经授权的访问被破坏时,如果没有密钥,加密数据仍然无法读取,基本上毫无意义。
云加密是如何工作的?
云加密平台在数据传输到基于云的应用程序和存储以及不同位置的授权用户时对数据进行加密。此外,这些工具在存储数据时会对其进行加密基于云的存储设备。这些措施可防止未经授权的用户在数据进出云时读取数据,或在文件保存到云存储时读取文件。亚马逊网络服务(AWS)、Dropbox、Microsoft Azure和谷歌云等存储供应商提供静态数据云加密。该软件在后台处理加密密钥交换以及加密和解密过程,因此用户不需要采取任何额外的步骤访问数据的适当授权和身份验证.
云加密的好处
云加密是对数据泄露和网络攻击的主动防御,允许企业及其用户利用云协作服务的好处,而不会给数据带来不必要的风险。它可以确保数据在云中传输时的端到端保护,并在存储时防止未经授权的访问。它也满足了许多客户数据安全的监管要求.
云加密挑战
虽然云加密的安全好处大于任何缺点,但管理员必须意识到常见的挑战。在过去,性能和集成问题阻碍了许多人将加密作为一种标准做法来实施,因为对于需要从大量不同设备和位置轻松访问文件的用户来说,加密通常被视为过于复杂或烦人。虽然今天的系统更快、更易于使用,但试运行任何平台以确保集成和可用性满足需求仍然很重要。由于加密过程是资源密集型的,并且为日常活动增加了时间和金钱,因此监控访问时间和资源使用水平也很重要。
丢失加密密钥是一个主要问题,因为它会使任何加密数据变得无用,而糟糕的密钥管理会使关键数据处于危险之中。不过,最大的挑战是确保所有云加密服务都得到正确配置和使用。当管理员认为数据是加密的而实际上不是时,任何数据安全策略都可能出现危险的漏洞。
云加密最佳实践
安全团队应该为进出云的任何数据制定安全需求,以确保持续遵从企业安全策略。这将有助于确定提供足够服务的云提供商加密选项和服务。安全团队需要决定:
- 哪些数据需要加密--基于其数据分类和法规遵从性要求
- 当它需要加密时——在传输、静止和使用中
- 谁应该持有加密密钥——云服务提供商还是企业
传输中的所有数据在离开内部网络时都必须加密,因为它总是会通过数量不明的第三方,即使在内部传输期间,敏感数据也应该加密。虽然大多数传输中的数据可以在web浏览器和文件传输协议(FTP)软件中以本机方式安全处理,但所有连接都必须使用安全协议。虚拟专用网络(VPN)和IP安全(IPsec)是提供数据传输保护的其他方式,但它们增加了另一层复杂性。云访问安全代理(卡斯布)这些工具为安全管理人员提供了一种统一的方式来控制和管理云资源,并确保用户根据组织的安全策略访问这些资源。
上传到云端的敏感数据应该在上传之前在本地进行加密和备份。这确保了数据在云中始终可用且安全,即使帐户或云存储提供商受到威胁。有几家公司在用户和网络级别提供强大的磁盘加密。保护敏感使用中的数据需要完整的磁盘和内存加密,但这可能会妨碍某些应用程序处理数据,因此强大的访问控制和对特定数据集的有限访问是必不可少的选择。
广泛的加密密钥管理至关重要,首先要将密钥记录在寄存器中,以便于对整个生命周期进行监督。密钥本身应与加密数据分开安全存储,并在场外进行备份和定期审核。管理员还应该为主密钥和恢复密钥实施多因素身份验证(MFA)。一些云加密提供商提供管理加密密钥的服务,这对缺乏内部技能和资源的组织很有吸引力,但是法规遵从性需求可能需要一些人在内部持有和管理密钥。
虽然存在与云加密相关的挑战,但标准、法规和隐私要求将其定位为大多数组织的基本安全控制,云提供商现在提供各种平台,以满足一系列数据安全需求和预算。