雖然許多企業組織期望充分利用云計算，但數據安全仍然是需要操心的首要問題。然而，借助眾多云解決方案，有望實現并享用云端的有效數據保護和強加密。

隨著商業監管和信息安全以不對稱的步伐擴展，企業主管常常到頭來面臨隱私和安全方面的挑戰，他們缺乏相應的知識或經驗來應對這些挑戰。雖然加密是隱私專家們一致認為是安全基石的基本技術，但云端加密可能困難重重。由于有那么多不同類型的加密技術可供使用，中小型企業發覺這種方案很誘人卻又非常讓人困惑。

加密根本不是一項新技術;但在過去，加密的數據存儲在服務器上，而服務器擺放在公司內部，公司直接控制著它們。由于如今許多流行的業務應用程序托管在云端，企業主管們要么需要依賴合同條文來保護資產，選擇一家讓客戶可以先加密數據，然后發送到云端以便存儲或處理的云服務提供商，要么與軟件即服務(SaaS)提供商合作，由對方管理其企業數據的加密和解密工作。

有時候，公司別無選擇;Salesforce.com等一些客戶關系管理(CRM)應用程序和思杰ShareFile等企業文件同步及共享(EFSS)應用程序使用安全的互聯網連接，比如傳輸層安全(TLS)加密連接，將數據從用戶的鍵盤或服務器傳送到互聯網應用程序。一些云存儲應用程序還讓用戶可以在企業網絡或移動系統與云存儲應用程序之間建立一條安全鏈路，比如梭子魚網絡公司(Barracuda)的Copy.com。一旦數據到達云服務提供商的服務器，應用程序提供商通常會加密數據，確保靜態數據的安全。

云端的有效數據保護

然而，我們遇到了云環境不對稱發展帶來的挑戰之一。在過去，IT經理面臨的最重要任務之一就是管理加密密鑰。Green House Data是一家云托管和數據中心服務提供商，首席技術官Cortney Thompson表示，為了確保數據安全，將加密密鑰與加密數據分開來極其重要。

他說：“我們提醒醫療行業客戶需要留意的一個方面就是，加密密鑰的存儲和使用。客戶們常常將密鑰與數據本身放在同一個地方。”

應用程序在使用時，還可能將密鑰存儲在內存中。加密密鑰應該放在另外的服務器或存儲塊上。所有密鑰的備份也應該放在異地，以防災難發生。這種備份應該每幾個月就要審查一次。

Thompson補充說：“加密密鑰還需要經常更新。常常逼迫公司這么做，因為密鑰本身被設成了自動到期失效，而其他密鑰需要定期更新。應考慮對密鑰本身進行加密(不過這導致加密再加密的惡性循環)。最后，對主密鑰和恢復密鑰采取多因子驗證。”

安全平臺開發商Covata USA的首席技術官兼產品和技術主管Vic Winkler特別指出，并非所有的企業數據都需要加密，也并非所有的用戶都有一樣的數據訪問需要。對公司而言，尤其對中小企業而言，制定規則以識別哪些信息需要加密、哪些數據可以以明文格式安全地存儲，這點很要緊。

Winkler特別指出，使用可以自動加密應用程序里面數據的軟件即服務應用程序來隔離數據，對于確保重要數據得到保護大有幫助。保護數據的同時又不給公司的業務流程帶來負面影響，這點同樣很要緊。

Winkler表示，為了有效保護數據，無論是大企業里面的首席信息安全官(CISO)，還是中小企業里面的指定管理員，負責安全的企業主管都需要保護處于這三個狀態的數據：傳輸中數據、使用中數據和靜態數據。他表示，如今許多公司在使用TLS保護傳輸中數據方面做得相當到位，但是靜態數據和使用中數據的安全仍有待提高。

Winkler表示，實際上，保護靜態數據非常重要。最佳的選擇就是，敏感數據創建時，對它進行加密，那樣該數據存儲到數據中心后，無論是存儲在本地還是存儲在云端，數據都會得到保護。他表示，應用程序安全就好比夾層蛋糕。數據添加到應用程序中的文件后，安全應該是整體的一個必要組成部分，那樣隨時為數據確保了安全。

云加密：挑戰和建議

思杰公司的安全和合規高級經理Manny Landrn建議，由于移動應用程序日益擴展，客戶應該考慮讓服務提供商或第三方代理提供商管理加密密鑰，而不是由公司自己的IT部門來管理。他表示，公司碰到的問題是，如果數據先加密，然后上傳到云存儲服務提供商;隨后還沒有擁有解密密鑰的移動或遠程設備需要訪問數據，之后下載的數據將是毫無用處的加密數據。當公司試圖與業務合作伙伴共享數據，但是又不想合作伙伴直接訪問解密密鑰，這個問題會顯然尤為嚴重。

他特別指出，如果公司為可能需要眾多文件的系統管理自己的密鑰，密鑰輪換和銷毀也變得更復雜。第三方代理提供商可以將密鑰與云提供商處的加密數據分開來保管，從而增添一層保護，但是這也增添了另一層復雜性，而且增添了公司請另一家第三方提供商所需的額外成本。

Landrn提醒公司應詢問提供商和潛在的SaaS合作伙伴：它們使用什么協議來傳輸數據。安全套接層(SSL)方法一向是多年來的標準;可是自從2014年發現SSLv3降級加密協議Padding Oracle攻擊(POODLE)攻擊后，它已失寵。POODLE是一種中間人攻擊漏洞，實際上被設計到SSL代碼里面。

實施TLS而不是SSL消除了這個漏洞，但一些運行舊式操作系統(比如Windows XP)的遺留系統無法實施TLS。因而，一些零售商擁有的一些服務器仍運行SSL來支持這些舊式系統，盡管機密數據有可能遭到危及。要完全消除這個風險，唯一的辦法就是在客戶機系統或服務器上完全禁用SSL，雖然這消除了問題，但是也導致服務器無法被只擁有SSL功能的系統所訪問。

云安全廠商Prime Factors的產品管理副總裁Jeff Cherrington表示，除了密鑰管理外，中小企業要處理的最大問題是，相信云提供商比自己更擅長保護敏感數據，與數據所有者一樣注重保護公司數據。

他指出，云提供商并不像銀行、聯邦政府部門及其他實體那樣受制于同樣的數據泄密披露法;果真發生的數據泄密可能不會廣泛宣傳，或者不會與云提供商聯系起來。然而，擁有數據的企業組織卻要負責，即便數據泄密的起因出在云托管組織。如果此類的數據泄密事件廣為人知，負面的關注會更多地著眼于數據所有者，而不是著眼于云計算提供商。最終，企業有義務保護其數據，無論數據在哪里處理、怎樣處理。

這就是為什么云安全聯盟(Cloud Security Alliance)在其《云計算關鍵領域安全指南》中建議敏感數據應該：

·加密以確保數據隱私，使用認可的算法和較長的隨機密鑰;

·先進行加密，然后從企業傳輸到云提供商;

·無論在傳輸中、靜態還是使用中，都應該保持加密;

·云提供商及其工作人員根本無法獲得解密密鑰。

Cherrington補充說：“這最后一個規定對中小企業來說可能最具挑戰性，這取決于它們實際使用的云。就簡單的文件共享而言，有一些優秀的附件面向Dropbox和類似的服務，比如Viivo或SafeMonk。如果中小企業將數據處理這塊移到云端，情況就會變得復雜一點。”

與Landrn一樣，Cherrington建議如果敏感數據的處理在云端進行，用戶就要充分利用云計算的規模經濟效應和彈性/靈活性。他表示，數據直到使用那一刻，都應該保持加密;只有在受到保護的瞬時內存空間，解密密鑰和加密數據才可以敞露無遺。

他說：“密鑰和明文格式的敏感數據都要做到在符合審查的要求下能夠擦除，那樣根本沒有副本寫入到磁盤上。”他另外建議，處理過程中絕不能將明文格式的敏感數據的副本寫入到任何日志或其他持久性記錄中。

AvaLAN Wireless公司的總裁兼首席執行官Matt Nelson提醒，美國的下一個珍珠港事件將是網絡攻擊。他表示，設想一下，如果谷歌或微軟等網站因攻擊而完全癱瘓。他補充說，這兩家公司都在其云服務器上保存著大量的消費者數據，所以應該將加密認作是一種標準的業務慣例。

由于大型數據中心和商業網站遭到了一大批網絡攻擊，無論它們屬于零售、醫療衛生、政府、商業還是工業領域，爆出的數據安全事件比前幾年要多得多。他說：“我希望人們并沒有對重大攻擊麻木不仁。”