云计算已经成为当前企业高效构建应用和使用计算资源、存储资源等的主流模式，云计算能提供一种无处不在的，便捷的，按需的，基于网络访问的，共享使用的，可配置的计算资源（如网络，服务器，存储，应用和服务）。云计算可以增强协作，提高敏捷性、可扩展性以及可用性。还可以通过优化资源分配、提高计算效率来降低成本。目前，业界已经能够为企业提供诸如IaaS、PaaS、SaaS的典型云计算服务以及公有云、私有云等部署模式，并且，Amazon、微软、华为、浪潮等已成为云计算的服务提供商。

保护迁往云和在云内迁移的数据

在公共云和私有云部署方案中，无论什么服务模型，保护数据传输都是非常重要的。这些数据传输过程包括：数据从传统基础架构迁移到云供应商中，包括公有与私有之间转移，内部与外部之间转移，以及其他各种组合；数据在云供应商之间的迁移；数据在既定的云内实例间（或者其他组件之间）迁移。

有如下三种方式可以对上述传输过程中的数据进行安全保障：

• 客户端/应用程序加密。数据在终端或服务器端先加密，然后再通过网络传输，或者在已经以恰当的加密格式存储。这既包括本地客户端（代理模式）加密机制（例如，针对存储文件）或者集成在应用程序之中的加密机制。
• 链路/网络加密模式。标准的网络加密技术包括SSL、VPN和SSH。既可以是硬件加密，也可以是软件加密。
• 基于代理的加密。数据通过一个代理设备或服务器进行传输，数据在网络传输前完成加密。通常都是将代理加密机制整合到原有的应用程序中。

云计算环境数据安全最佳实践

在实际的应用过程中，企业可以遵循如下的24条最佳实践来保障云计算环境中的数据安全：

1. 理解所采用的云存储架构，有助于确定安全风险和可用的控制措施。
2. 如果可能的话，选择支持数据离差技术的云存储。
3. 使用数据安全生命周期DSL来识别易受攻击的安全，以确定最合适的控制措施。
4. 使用DAM 和FAM监测内部核心数据库和文件库，识别能够表明数据向云中转移的的大数据迁移。
5. 使用URL过滤和（或）DLP工具监测员工的互联网访问，来识别是否敏感数据迁移。选择可对云服务作预分类的工具，并通过过滤规则阻断非授权行为。
6. 所有敏感信息移入云或在云内传输时，应在网络传输前的网络层或者节点侧进行数据加密。这一建议适用于所有的云服务和部署模型。
7. 使用任何数据加密机制时，应特别注意密钥管理。
8. 使用内容发现机制来扫描云存储，并识别已泄漏的敏感数据。
9. 加密IaaS中的敏感卷，来限制因为快照或未授权管理员访问导致的信息泄露。至于采用何种技术依赖于具体的操作需要。
10. 采用文件/文件夹或客户端/代理加密机制加密对象存储中的敏感数据。
11. 加密平台服务PaaS应用和存储中的敏感数据。通常情况下应用层加密机制为首选，因为几乎没有云数据库支持原生加密机制。
12. 当使用应用加密时，密钥无论如何必须存放在应用系统外面。
13. 若软件服务（SaaS）需使用加密，应尽可能使用可提供原生加密机制的供应商；若无该工具或必须到规定信任等级，则可使用代理加密机制。
14. 使用DLP来识别云部署的敏感数据泄漏，这种情况仅对基础设施服务（IaaS）适用，这对其他公共云供应商均不适用。
15. 使用数据库活动监测工具（DAM）来监控敏感数据库，并对违反安全策略的行为进行告警。
16. 当交付的基础设施或应用在正常访问敏感用户信息时，应考虑对可能的泄漏采取私有存储保护机制。
17. 谨记绝大多数数据安全缺陷都源自于应用程序极为脆弱的安全性。
18. 云供应商不仅应当遵循这些实践，并且为用户发布数据安全工具和配置选项。
19. 无论是合同到期或其他原因，应在SLA中详细说明如何从云供应商中转移数据，必须包括用户账号删除，从主/冗余存储中迁移或删除数据，迁移密钥等。
20. 使用数据安全生命周期来识别安全易受攻击点，从而确定最合适的控制措施。
21. 考虑到潜在合规的、合约方面的以及其他法律方面的问题，应充分理解逻辑和物理数据。
22. 在网络层或传输前在节点加密所有传输的敏感信息。
23. 加密基础实施中的敏感卷，限制因快照或非授权访问的信息泄露。
24. 在平台服务应用和存储中加密敏感信息。