卷存儲加密

　　卷加密可抵御如下風險：

　　•保護卷免除快照克隆或泄漏風險

　　•保護卷免除被云供應商(和私有云管理員)而隨意查看的風險

　　•保護卷免除物理硬盤丟失(這更像是一個實際發生的安全事件，而不是僅僅滿足合規性要求那么簡單)而導致的信息泄漏風險

　　基礎設施服務的數據卷可通過以下三種方式加密：

　　•實例管理加密。這種加密引擎是在實例中運行，密鑰被存放在卷中，并采用密碼或密鑰對進行保護。

　　•外部管理加密。這種加密引擎同樣在實例中運行，但密鑰在外部管理，并響應實例請求而進行分配。

　　•代理加密。在這一模型里，先將卷連接到一個特定的實例或設備/軟件中，然后將該實例再連接到加密實例上。代理處理所有的加密操作，并將密鑰保管在代理內部或外部之中。在線方式或外攜方式保管密鑰。

　　對象存儲加密

　　對象存儲加密用于抵御很多類似卷存儲同樣存在的風險。因為對象存儲長期被暴露在公共網絡上，并允許用戶搭建虛擬私有存儲(VPS)。就像VPN一樣，它在保護好數據的同時，可以使用公共共享的基礎設施，即使這些數據被暴露，也只有那些有加密密鑰的人才能查看。

　　•文件/文件夾加密和企業數字版權管理DRM。在將數據放到對象存儲前，先使用標準的文件/文件夾加密工具或者企業數字版權管理工具(EDRM)加密數據。

　　•客戶端/應用程序加密。在一個應用程序(包括移動應用)里，對象存儲通常被當作后端使用時，可以使用嵌入在應用程序內或客戶端中的加密引擎加密數據。

　　•代理加密。在數據發送到對象存儲前，使用加密代理進行數據加密。

　　平臺服務加密

　　因為平臺服務(PaaS)是多樣化的，所以可以采用下面列表的保護機制：

　　•客戶端/應用加密。數據在PaaS應用中加密，或者在訪問平臺的客戶端程序中加密。

　　•數據庫加密。數據通過數據庫內置的加密機制加密并存儲于數據庫中，這需要數據庫平臺支持這種加密機制。

　　•代理加密。在數據發送到平臺前，通過一個加密代理進行加密。

　　•還可以在平臺中內置加密API，外部加密服務和其它可選形式。

　　軟件服務加密

　　軟件服務(SaaS)供應商可以使用上述提到的任何一種選項，對于多租戶式的隔離模型中，建議每個用戶使用不同的密鑰。以下選項可供軟件服務用戶使用：

　　•服務提供方管理加密。數據在SaaS應用中加密，并通常由服務提供方管理。

　　•代理加密。數據通過加密代理后再送到SaaS應用中。

　　數據防泄漏

　　云計算環境中的數據防泄漏(DLP)可定義如下： 基于中心策略，通過深度內容分析識別、檢測和保護數據的運轉和使用及其它過程的產品。 DLP能夠發現是否違規操作數據并進行阻斷操作(停止其工作流)，或采用諸如DRM、ZIP或OpenPGP等加密機制處理后允許其繼續運行。

　　DLP常通過如下機制進行內容發現，監測數據運行：

　　•專用設備/服務器。在云環境與其他網絡/互聯網邊界，或云環境的兩個子區域的抑制點部署標準的硬件

　　•虛擬設備

　　•終端代理

　　•Hypervisor代理。相對于在實例中運行，DLP代理則內置在Hypervisor層，或可在Hypervisor層得以訪問到

　　•DLP SaaS。DLP集成在一個云服務中(如：托管電子郵件)，或者以一個獨立標準的服務提供(一般是內容發現服務)

　　隱私保護

　　幾乎所有的云存儲系統都需要訪問者(云用戶或內容供應商)通過某種身份認證方式來建立信任關系，無論是單向通訊還是雙向通訊均需如此。盡管加密證書能夠為多數應用場景很多提供足夠的安全性保障，但其因為與真人(云用戶)而嚴格綁定而不適用于隱私信息。因為證書的任何一次應用均可能將證書持有者的身份泄漏給發起認證請求的團體。有很多場景(如：電子病歷存儲)就是因為采用了證書認證方式而不必要的暴露了證書持有者的身份。

　　在過去的十到十五年里，大量技術(如密碼證書等)涌現，并且被用于使系統在值得信任的同時還能保護持有者的隱私信息(例如：隱藏真實持有者的身份信息等)。基于屬性的證書就像普通加密證書(如x.509證書)一樣都使用數字(或加密的)簽名密鑰。然而，基于屬性的證書(attribute-based credentials, ABCs)允許持有者將其作為一個僅包含源證書內所含屬性的子集封裝在新的證書里。這些封裝后的新證書能夠被當作普通加密證書(使用公有密鑰)來校驗，以提供同樣強度的安全保證。

　　數字版權管理(DRM)

　　DRM的核心就是用其加密內容，并應用一系列版權要求。版權要求既可以簡單如防拷貝，也可以復雜如限定某組或基于用戶的諸多活動集合，諸如剪切、粘貼、發送郵件、改變內容等。任何使用DRM進行數據保護的應用或系統必須能夠解釋和執行權限，這常常意味著系統需整合密鑰管理系統。

　　這里有兩種主要的數字版權管理分類：

　　•消費者DRM 多用于保護廣泛分發的媒體內容，如：提供給廣大受眾的音頻、視頻和電子書。這一DRM可使用各種不同的技術與標準，但重點是都基于單向分發方式。

　　•企業DRM 是用于保護組織內部的信息和合作伙伴之間的信息。重點在于有很多復雜的權限、策略，以及與業務環境，尤其是企業目錄服務DS的整合。

　　企業DRM能夠很好地保護存儲在云中的信息，但需要深度的基礎架構整合。這對基于內容管理的文件和分發是非常有用的。消費者DRM能夠為分發給消費者的內容有較好的保護，但是卻因為大多數技術在單點上易被破解而無法保持很好的跟蹤記錄。