《2022守護(hù)企業(yè)多云環(huán)境》報(bào)告調(diào)研指出，企業(yè)在訪問/維護(hù)云環(huán)境中的數(shù)據(jù)時(shí)面臨的前三大挑戰(zhàn)包括：數(shù)據(jù)安全性（63%）、復(fù)雜度（49%）和多云環(huán)境（43%）。

如何真正實(shí)現(xiàn)云存儲(chǔ)安全？毫無疑問，加密是其中至關(guān)重要的一層。

為什么加密對企業(yè)很重要？

企業(yè)數(shù)據(jù)中可能包含敏感客戶信息、有價(jià)值的知識(shí)產(chǎn)權(quán)等各類重要信息。一旦處理不當(dāng)，隨時(shí)可能會(huì)遭受罰款、訴訟，導(dǎo)致品牌商譽(yù)受損。加密是一層安全保護(hù)，可幫助企業(yè)保護(hù)數(shù)據(jù)避免不必要的暴露。

云數(shù)據(jù)加密背后更深層的動(dòng)因

在某些行業(yè)，出于監(jiān)管與合規(guī)要求，企業(yè)必須加密云中的數(shù)據(jù)。而對更多企業(yè)而言，加密是一道“錦上添花”的機(jī)制，可以讓管理者更放心。當(dāng)然，市場中關(guān)于云上數(shù)據(jù)安全的隱憂一直存在，通過加密，IT可以規(guī)避“數(shù)據(jù)不受限制訪問”類似極端情況的潛在風(fēng)險(xiǎn)。

云存儲(chǔ)加密的不同方法

如果你信任云供應(yīng)商，在云中直接使用其靜態(tài)數(shù)據(jù)加密功能是更簡單的方法。這意味著，當(dāng)數(shù)據(jù)被移動(dòng)或同步到云存儲(chǔ)時(shí)，尚未被加密。數(shù)據(jù)在傳輸過程中應(yīng)始終加密，但在這種情況下，CSP會(huì)通過訪問來實(shí)現(xiàn)接收。然后再存儲(chǔ)數(shù)據(jù)，并通過加密保護(hù)靜態(tài)數(shù)據(jù)。

這種方法適合大多數(shù)企業(yè)，對于任何有權(quán)限訪問數(shù)據(jù)的用戶或應(yīng)用程序而言，也是最清晰的解決方案，無需擔(dān)心解密數(shù)據(jù)的密鑰。

如果你擔(dān)心CSP可能存在“后門”或者“漏洞大開”的風(fēng)險(xiǎn)，這種加密方法并不能幫助解決主要問題。

另一種方法是：在將數(shù)據(jù)發(fā)送到云存儲(chǔ)之前，自己應(yīng)用加密。通過這種方式，企業(yè)可以確保只有自己才能訪問數(shù)據(jù)，當(dāng)然，這也要求自己管理密鑰，確保安全。理論上，這是最安全的方法，但同時(shí)，操作也會(huì)更復(fù)雜一些。此外，一些云中數(shù)據(jù)運(yùn)營相關(guān)的增值功能（如分析、內(nèi)容索引、自助訪問等）也會(huì)被阻止，因?yàn)檫@些系統(tǒng)進(jìn)程或業(yè)務(wù)用戶無法輕松訪問數(shù)據(jù)。

通過下面這張表格來對比不同云存儲(chǔ)加密方法的優(yōu)缺點(diǎn)：

選擇合適的方法

哪種加密方法可以滿足安全和業(yè)務(wù)需求？沒有最好的，只有更合適的。這取決于企業(yè)如何看待潛在風(fēng)險(xiǎn)。如果你擔(dān)心數(shù)據(jù)有可能會(huì)在不知情/同意的情況下被訪問，就現(xiàn)在自己的環(huán)境中加密數(shù)據(jù)，獲得只有自己有權(quán)訪問的密鑰，然后再將數(shù)據(jù)放入云中。當(dāng)然，關(guān)于這種加密處理方法帶來的局限性和操作復(fù)雜度，也是IT管理者需要認(rèn)識(shí)到的?，F(xiàn)在，很多企業(yè)認(rèn)為云存儲(chǔ)供應(yīng)商提供的加密機(jī)制令人滿意，可在云中無縫地應(yīng)用和管理。

云存儲(chǔ)安全，不止于加密

在將數(shù)據(jù)移動(dòng)到云存儲(chǔ)之前，企業(yè)還有其他重要的安全工作要做。就Veritas觀察而言，企業(yè)可通過增加以下安全優(yōu)勢，讓云存儲(chǔ)更安全地存儲(chǔ)和管理非結(jié)構(gòu)化數(shù)據(jù)工作負(fù)載：

1、可信身份驗(yàn)證。支持多重身份驗(yàn)證（MFA）和單點(diǎn)登錄（SSO）可選項(xiàng)。

2、基于角色的訪問控制（RBAC）

3、訪問控制列表（ACL）同步

4、目錄同步

5、數(shù)據(jù)泄露防護(hù)（DLP）

6、活動(dòng)審核

7、個(gè)人身份信息（PII）的識(shí)別和標(biāo)記

8、無共享密鑰引入云

架構(gòu)