對(duì)于云環(huán)境的安全和隱私問題的擔(dān)心會(huì)推動(dòng)云加密系統(tǒng)的普及，但是Gartner警告稱企業(yè)在實(shí)施數(shù)據(jù)加密前還有六件事情要做。

從2011到2016年，SaaS的年增長率有望達(dá)到19.5%，PaaS有望達(dá)到27.7%，IaaS有望達(dá)到41.3%，而安全服務(wù)的年資金增長率有望達(dá)到22%。

盡管如此，安全和隱私仍然成為阻礙許多公司接受云服務(wù)的首要因素，而這也成為過去18個(gè)月里企業(yè)采用云加密系統(tǒng)的原因。雖然加密對(duì)于保障云服務(wù)具有重要意義，但是它并不是什么新興技術(shù)，Gartner在最近的一項(xiàng)研究筆記中警告稱。

分析師推薦企業(yè)最好先研制出一個(gè)數(shù)據(jù)安全計(jì)劃，解決好六個(gè)基本問題。因?yàn)槿绻唤鉀Q數(shù)據(jù)隱私和長期的安全問題，反而會(huì)增加云計(jì)算使用的成本和復(fù)雜性。他們警告稱，加密系統(tǒng)如果部署不當(dāng)將可能干擾一些云服務(wù)的正常功能。

而這六個(gè)必須解決的安全問題就是：

數(shù)據(jù)泄露通知和數(shù)據(jù)保存

閑時(shí)數(shù)據(jù)管理

動(dòng)態(tài)數(shù)據(jù)保護(hù)

密鑰管理

訪問控制

加密系統(tǒng)的長期性

No.1：數(shù)據(jù)泄露通知和數(shù)據(jù)常駐

并非所有數(shù)據(jù)都需要同等級(jí)別的保護(hù)，所以企業(yè)應(yīng)該把用于云存儲(chǔ)的數(shù)據(jù)分類，然后識(shí)別與數(shù)據(jù)泄露通知有關(guān)的服從性需求或是看數(shù)據(jù)是否不允許被保存到其他地方。

Gartner還推薦企業(yè)部署一個(gè)企業(yè)數(shù)據(jù)安全計(jì)劃，從政府法律實(shí)施部門的角度管理訪問請求。這項(xiàng)計(jì)劃應(yīng)該把股東納入考慮，如合法性，合同，業(yè)務(wù)部門，安全和IT。

No.2：閑時(shí)數(shù)據(jù)管理

企業(yè)應(yīng)該用具體的問題確定云服務(wù)供應(yīng)商的數(shù)據(jù)存儲(chǔ)生命周期和安全策略。

應(yīng)該弄明白：

1. 是否在使用多租戶存儲(chǔ)，搞清楚租戶之間使用的是什么隔離機(jī)制。

2. 是否使用貼標(biāo)之類的機(jī)制阻止數(shù)據(jù)被復(fù)制到特定國度或地域。

3. 用于存檔和備份的存儲(chǔ)是否被加密，密鑰管理策略是否包含強(qiáng)效身份識(shí)別和訪問管理策略以限制對(duì)特殊區(qū)域的訪問。

Gartner贊成企業(yè)使用加密技術(shù)，通過刪除密鑰來刪除數(shù)據(jù)，從而部署終止策略，同時(shí)又確保密鑰不會(huì)被損壞或復(fù)制。

No.3：動(dòng)態(tài)數(shù)據(jù)保護(hù)

最為最基本的要求，Gartner推薦企業(yè)推進(jìn)CSP對(duì)安全通訊協(xié)議的支持，如用于瀏覽器訪問或VPN系統(tǒng)訪問連接的SSL/TLS，以便為其服務(wù)提供受保護(hù)的訪問。

其研究筆記指出，企業(yè)通常會(huì)加密發(fā)送到云的敏感數(shù)據(jù)，但是如果使用或存儲(chǔ)的數(shù)據(jù)未被加密時(shí)，企業(yè)就義不容辭要解決泄露的問題。

在IaaS中，Gartner認(rèn)為企業(yè)更喜歡可以在多個(gè)租戶間提供網(wǎng)絡(luò)隔離的CSP，這樣租戶就看不到其他租戶的網(wǎng)絡(luò)流量。

No.4：密鑰管理

企業(yè)應(yīng)該以管理密鑰為目的，但是如果密鑰被云加密服務(wù)供應(yīng)商管理，Gartner說，他們就必須確保自己部署了訪問管理控件，可以滿足數(shù)據(jù)泄露防護(hù)的要求。如果密鑰由CSP管理，那么企業(yè)應(yīng)該要求在準(zhǔn)確定義和托管的密鑰管理進(jìn)程套件中提供基于硬件的密鑰管理系統(tǒng)。

Gartner認(rèn)為，當(dāng)密鑰被托管或是可在云中獲取時(shí)，供應(yīng)商有必要對(duì)實(shí)時(shí)工作負(fù)載的截圖提供監(jiān)控，以防止分析風(fēng)險(xiǎn)。

No.5：訪問控制

Gartner建議企業(yè)要求CSP支持IP子網(wǎng)訪問限制策略，這樣企業(yè)就可以通過已知的IP地址和設(shè)備限制終端用戶的訪問。企業(yè)應(yīng)該要求加密服務(wù)供應(yīng)商提供用戶訪問和管理控件，強(qiáng)效驗(yàn)證替代方式，如雙要素驗(yàn)證，訪問許可管理以及按管理職責(zé)分區(qū)，如安全，網(wǎng)絡(luò)和維護(hù)。

企業(yè)還應(yīng)該要求：

1. 記錄所有用戶和管理員對(duì)云資源的訪問，把日志以適合日志管理或安全信息和事件管理系統(tǒng)的形式提交給企業(yè)。

2. CSP限制用戶訪問可能對(duì)實(shí)時(shí)工作負(fù)載截屏，執(zhí)行數(shù)據(jù)遷移或數(shù)據(jù)備份與恢復(fù)的敏感系統(tǒng)管理工具。

3. 遷移或截屏工具捕獲的圖像同樣被視為企業(yè)敏感數(shù)據(jù)。

No.6：加密系統(tǒng)的長期性

Gartner建議企業(yè)了解對(duì)應(yīng)用，數(shù)據(jù)庫檢索，查找和分類的影響。他們應(yīng)該特別留意高級(jí)搜索功能，如子字符串匹配功能和通配符，如“contains”或“ends with”。

如果加密服務(wù)供應(yīng)商提供“功能保留型加密”——例如，保留分類——由于這樣可能減弱加密功能的效用，所以規(guī)則會(huì)要求使用標(biāo)準(zhǔn)化的運(yùn)算法則或獨(dú)立證書。