云数据安全十问十答 信息加密防护是核心关键

       进入信息时代，人们或许对于电脑和网络已经相当的熟悉了。但如果提起“云技术”，许多人依然是一头雾水。

       如果简单来形容“云”的话，可以把它看做一个数据的中转站。在这个中转站中，人们可以储存、处理各种来自网络的数据为自身服务。而对于是私有云还是共有云的区别问题来说，只要盘点这个数据互通的网络是“公”是“私”即能对应区分。

       由于物理储存和数据处理的极限，拥有庞大“支撑”的云技术越来越受到个人、企业甚至是政府机构的欢迎。可以说在现代云技术的支持下，企业的信息化发展将迈向一个新的高度。但这种如同“兴奋剂”一般的信息技术，其带来的也不完全是好的方面，由于云技术对于数据交互和储存的特殊性，关于它的安全防护问题一直是各个企业CIO头疼的事。

       怎样才能在助力企业发展的同时，避免云技术带来的各种安全风险呢？或许在信息安全领域有多年防护的山丽网安能回答您。

       十问十答 深层剖析云安全的本质问题

       1、“云”的安全如何界定？

       从定义上讲，在安全方面云和自建数据中心其实差不了多少。从NSA引发的新闻风暴，开始还是一个有关“云计算安全”的故事，后来却演变成一场有关安全的全面讨论。事实证明NSA能够窃听物理数据中心中的物理服务器，而且已经入侵了世界上很多安全组织。

所以，云安全和物理世界一样，也需要采取合适的防范措施，自然地，云是否安全的标准也可以参照“物理世界”的标准。

       2、进入“云”的数据安全吗？

       把应用和数据迁移到云上会将部分责任从你自己的数据中心转移到云提供商处。这是一种类似于外包行为。因此这会涉及控制权的转移，而收回控制权又涉及相应的程序和技术。

从某些方面，云计算是革命性的，但是从另一方面它又是发展性的。研究把控风险应该首先需要明白这一点。我们在数据中心的所学会自然演化到云上，但同样需要适当的过程。许多技术也在自然演化。

       所以，你应该开始规划现有的程序和安全相关的技术，了解如何将它们进化到云上。在很多情况下，你都会发现有对应关系。

       但是，你会同时发现，某些领域确实是革命性的。因为云没有围墙，所以数据中心的物理安全在云中并不奏效。云还涉及云提供商的员工，所以你需要想法设法管控那些不为你工作的人。这些都是明显的变化，都需要新技术和新程序来应对。

       3、“云”中防护的主要策略是什么？

       继续云发展和变革的话题，云安全的很多方面对我们来说都很熟悉。防火墙、防病毒、认证——这些都包含在云计算中。你会发现云提供商往往提供这些领域的解决方案，传统厂商也在改进其解决方案。

       但是某些方面可能会改变你的想法。因为云并没有围墙，而且云提供商的员工也能查看你的数据——所以你必须为数据创建隐形的围墙。在云应用场景中，面对这些问题，数据加密是公认的最佳解决方法。

       顺便提一句，数据加密也能满足传统数据中心的需求——大多数的数据泄露都是从内部发生的，所以威胁不仅仅来自云提供商的员工。但是，来自云环境内部的威胁是促使数据加密的新焦点，这点是毋庸置疑的。

       而从传统数据中心到云数据中心唯一的变化可能就是数据加密防护的多样性需求了，而为了适应这种多样性的需求，采用同样“灵活”的多模加密技术或许是最好的选择。

       多模加密技术采用对称算法和非对称算法相结合的技术，在确保加密质量的同时，其多模的特性能让用户自主地选择加密模式从而更灵活地应对各种防护需求和安全环境。同时作为这项技术使用的典型代表山丽防水墙的多模加密模块还采用了基于系统内核的透明加密技术，从而进一步确保了加密防护的便利性和完整性（加密与格式无关）。

       4、适用于“云”的加密方法还有哪些？

       不论静态数据还是动态数据，你都需要对其进行加密。对动态数据加密，你已经很熟悉了——HTTPS/SSL和IPSEC标准都很适合应用在数据中心和云上。

       对静态数据进行加密意味着对存储在硬盘、数据库、文件系统、托管方的数据，当然还有备份的数据都进行加密处理。但在现实环境中，人们并没有对数据中心的数据作类似处理——而往往依赖物理安全作为替代。而在云中，物理安全不再是替代方案——你必须对敏感数据进行加密。

       这意味着数据在写入时就要加密，只有在使用时才进行解密(比如在运行特定计算之前，而且只能在内存中)。类似高级加密标准(AES)的标准经常应用在静态数据加密。

       5、传统的加密是否同样能保证“云”中的数据安全呢？

       从某种意义上，如果对数据进行了正确地加密，问题的答案就是肯定的，这样即使数据落到坏人手里，数据是锁定的并不能使用。假如坏人手里有密钥，情况就不同了。

       6、处于“公共场合”的云安全是否需要规范呢？

       像支付卡行业数据安全标准(PCI DSS)、健康保险流通与责任法案以及其他这样的规范，要求或鼓励对云数据进行加密并对密钥妥善管理。一些规范甚至提供一种“安全掩护”——如果你的数据泄露，但是你能证明你以前采取了必要的措施对数据加密并严格控制密钥，你就能节省经济上的开支、免除向政府报告的麻烦、减轻因牵连这样的事件而导致的名誉损失。

       7、除加密外我们还有那些数据安全的应急手段？

       数据的整个生命周期必须是安全的。如果在数据使用时严格加密，但是把未加密的复制品如备份暴露给骇客，那加密的目标岂不是失败了。在信息生命周期的各点，你都必须对数据进行加密并妥善保管密钥。幸运的是已经有为云环境打造的解决方案，而且包含对备份和主拷贝的保护。

       8、公有云和私有云，哪个更安全？

       从所有权、可控性、成本、便利性和多租户等方面来讲，公有云和私有云各有利弊。许多信息安全专家认为私有云往往需要与公有云差不多的安全控制。应用场景可能涉及公司外部的用户;或者多个内部项目进行“虚拟”部署，每个都需要安全隔离。只要你对数据进行有效加密，妥善保管你的密钥，无论是私有云、公有云或者混合云，在所有的主要云场景中你都是安全的。

       9、对于CIO而言 云安全意味着什么？

       如果你能够有效使用加密并保持对密钥的控制，那么你就是用数学围墙替换了物理围墙。你就能拥有你的数据。尽管你没有控制物理资源，但是你能控制物理资源所包含的数据信息。之所以说在云中加密是最好办法，这是原因之一。

       通过适当使用跨地区备份甚至跨云提供商备份，你也能保证对项目和数据不间断使用和访问。

       通过结合以上技术，你就能收回你的控制权。作为CIO和数据的拥有者，你必须从始至终牢牢控制住你的数据。当迁移到云端之后，你的控制权并不会被削弱，只是管理方式不同而已。

       10、加入“安全防护”的“云”成本会变高吗？

       与传统的数据中心相比，选择云的初衷就是为了降低运营开销，有时是为了节省实际的财务费用。对云项目的安全保护并不会降低云的易用性，也不会导致项目成本升高。

       现在已经有现成的安全解决方案，不需要任何硬件投入，所以也就不需要巨大的财务花销。按需付费的业务模式让你根据项目的规模调整安全方面的投入，就像你增加(或删除)虚拟机或数据一样。

       山丽网安结语：

       从以上10个问题和10个回答我们可以看出，虽然云技术给企业的发展带来更高效的发展契机，但同时对于安全防护的挑战也是必须清楚认识的。面对处于复杂“外部”环境的云技术和数据安全，除了一一排除小心应对之外，更多的采用灵活且具有针对性的加密技术及其软件进行数据本源的防护或许是更牢靠的选择！