小心，你的企业数据可能正在泄漏，如何对云上数据进行加密？

网络数据信息泄露，在当下屡见不鲜，近期斯坦福大学个人和财务信息泄露、红杉资本投资者信息泄露等事件亦引发广泛担忧。除此之外，数据安全性和数据隐私是云计算中最常见的两个问题。一些企业担心云服务提供商会利用客户数据为自己的手段，例如与第三方共享客户数据。为了缓解这些担忧，云服务提供商引入了对数据加密的支持。虽然加密是数据安全的代名词，但云服务提供商使用加密的方式未能提供完整的安全性。那么企业如何对云上数据进行加密来降低数据泄漏风险呢？

 

企业对数据云上安全可以从信息安全基本三要素 "CIA"来概括，即机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。

机密性专指受保护数据只可以被合法的（或预期的）用户可访问，其主要实现手段包括数据的访问控制、数据防泄露、数据加密和密钥管理等手段；

完整性是保证只有合法的（或预期的）用户才能修改数据，主要通过访问控制来实现，同时在数据的传输和存储中可以通过校验算法来保证用户数据的完整性；

数据的可用性主要体现在云上环境整体的安全能力、容灾能力、可靠度，以及云上各个相关系统（存储系统、网络通路、身份验证机制和权限校验机制等等）的正常工作保障。

在三要素中，第一要素机密性（Confidentiality）最常见也是最常被要求的技术实现手段就是数据加密。具体到云原生维度，需要实现的就是云原生的全链路加密能力。

“全链路”指的是数据在传输 (in Transit，也叫 in-motion)、计算 (Runtime，也叫 in-process)，存储 (in storage，也叫 at-rest) 的过程，而“全链路加密”指的是端到端的数据加密保护能力，即从云下到云上和云上单元之间的传输过程、到数据在应用运行时的计算过程（使用/交换），和到数据最终被持久化落盘的存储过程中的加密能力。

• 数据传输 （数据通信加密，微服务通信加密，应用证书和密钥的管理)；

• 数据处理（运行时安全沙箱 runV, 可信计算安全沙箱 runE）；

• 数据存储 （云原生存储的 CMK/BYOK 加密支持、密文/密钥的存储管理、容器镜像的存储加密、容器操作/审计日志安全）。

 

云原生全链路的数据安全、云安全体系下的全链路加密已经成为了企业上云的基础配置，新的容器化基础架构和应用架构的变化，结合云原生技术体系的特征，在数据传输、数据处理、数据存储阶段都需要增加相应云原生环境对网络、运行时、存储的全链路加密需求。

 

超级科技是信息安全解决方案专家，同时也是由陆兆禧先生联合多位投资人一起投资的一家高速发展的创新型科技公司。公司聚集了国内顶尖的安全专家，以安全大数据为基础，以AI深度学习能力为驱动，创造了国内首个分布式安全节点防御系统以及视频行为数据分析系统，同时深耕数据安全领域，研发了一系列数据安全防护产品。未来超级科技，将以“技术护佑安全”为使命，以为客户提供领先的技术、优质的产品、贴心的服务为终身奋斗目标。