主流云服务时代，如何保障数据安全和信息隐私？

本文基于

和

它是通过研究总结形成的。希望对大家了解云计算安全有所帮助。

云数据安全云数据

尽管云环境中的许多数据安全和保护原理与传统数据中心相同，但云环境中也存在一些独特的差异和挑战。

描述云数据概念 Cloud Data 云数据生命周期云数据生命周期的各个阶段

第2章简要介绍了云数据生命周期的各个阶段。云安全专家需要更深入地了解每个阶段的各个方面、风险和技术。本节快速回顾生命周期的各个阶段：

创建阶段虽然初始阶段称为“()”，但也可以称为“()”。本质上，任何“新”数据都会进入“创建”阶段。 “创建”阶段可以是新创建的数据、导入到系统中的数据、传输到系统中的新数据、或者已经存在并被修改为新形式或分配新值的数据。 “创建”阶段也是确定数据是否安全的更佳时机。云安全专家可以在数据创建时了解数据的价值和敏感性，并可以从初始状态对其进行适当的保护，因为所有其他阶段都建立在“创建”阶段之上。安全控制也可以在“创建”阶段首先实施（特别是以 SSL/TLS 等技术的形式），其中包含输入或导入的数据。

在存储阶段创建数据后，必须立即以系统或应用程序可用的方式存储数据（在许多情况下，这几乎与补偿过程同时完成）。数据可以通过多种方式存储。存储方式包括文件系统上的文件、云端的远程对象存储以及写入数据库的数据。

使用阶段 “使用”阶段是应用程序或用户实际操作或处理数据的阶段。此时，由于数据正在被使用、查看或处理，因此数据更容易暴露，面临更大的机会被损坏（）或泄漏（Leak）。

共享阶段在共享阶段，可以在显式创建数据的系统内部或外部使用数据。

归档阶段归档阶段仅涉及将数据移至长期存储，以便数据在系统中不再处于活动状态或“热”状态。

销毁阶段在生命周期的“销毁”阶段，数据要么无法访问，要么永久删除，具体取决于数据的分类和敏感性。大多数云安全专家不会将简单的数据删除（）视为销毁阶段的一部分。由于数据删除指令仅擦除数据指针，因此很容易恢复残留数据。因此，覆盖技术（）和密码擦除技术（-或）等方法的使用在云环境中更为常见，并且是许多法规所要求的，特别是考虑到使用消磁（）和粉碎等物理破坏性方法。在云环境中不可能出现的情况。

数据分散数据

数据分散（Data）是云架构的关键特性之一，也是决定云客户在云环境中存储成本的主要因素之一。云系统高度分布在数据中心中，并且可以跨越较大的地理区域。

设计并实现云数据存储架构和云数据

云环境的IaaS、PaaS和SaaS托管模型都使用自己独特的存储方式，如下图所示。这三种模式都有其独特的挑战和威胁。

存储类型Type

（例如长期、临时、原始磁盘）类型（例如长期、临时、原始磁盘） LaaS 模型的常见存储类型存储由云服务提供商根据云客户的特定需求进行分配和维护。在LaaS模型中，存储分为两个基本类别：卷存储和对象存储。

PaaS模型的常见存储类型 PaaS模型的存储设计与IaaS模型有很大不同，因为云服务提供商负责整个平台的运维，而云客户只负责应用程序。这也将存储系统的责任推到了云服务提供商身上。使用PaaS模型，存储分为两类：结构化和非结构化。

SaaS模式常见存储类型在SaaS服务模式中，云服务提供商对整个基础设施和应用程序承担全部责任。因此，云客户除了能够将数据放入存储之外，几乎无法控制存储。 SaaS 模型最常见的两种存储类型是“信息存储和管理”以及“内容和文件存储”。

对存储类型的威胁

最常见且众所周知的存储威胁是未经授权的访问或未经授权的数据使用。云环境的性质以及存储在大型系统中的分布方式（通常具有地理多样性）极大地增加了数据泄露或暴露的可能性。

云环境中的存储系统还面临来自网络和物理方面的威胁。当数据介质需要销毁时，主要挑战是确保数据完全脱敏以符合安全政策、法律、法规和准则。

设计和应用数据安全策略以及应用数据和

数据安全策略通常使用多种工具集和技术：

加密技术

哈希技术

密钥管理

代币化技术()

数据泄露防护 (DLP)

数据去识别技术（Data De-）

技术应用

新兴技术

加密技术

由于传统数据中心模式中常见的物理分离和隔离保护不适用于云环境，而多租户和资源池是云环境的核心概念，因此使用加密技术来保护数据是必然手段之一。加密系统架构包含三个基本组件：数据本身、处理所有加密活动的加密引擎 ( ) 以及实际加密和使用数据所需的加密密钥。

哈希技术

哈希技术的主要价值是快速验证数据对象的完整性。在云环境中，这对于分散在云环境中的虚拟机映像和大型数据位置非常有价值。

密码管理（密钥）

密钥管理（Key）是对加密密钥及其访问的保护。在云环境中，密钥管理是一项非常重要且基础的任务，同时也极其复杂。密钥管理中最重要的安全考虑因素之一涉及密钥的访问和存储。无论在传统环境还是云环境中，密钥访问都是极其重要且关键的安全场景。但在多租户云环境中，云客户人员的隔离和控制方面比传统数据中心需要考虑更多的问题，而且云服务提供商人员对系统拥有广泛的管理访问权限。

代币化

令牌化技术（）是用数据中随机且不透明的“Token”值替换敏感或受保护数据对象的做法。标记值通常由应用程序生成，映射到实际的敏感数据值，然后放入与实际数据值相同格式和要求的数据集中，以便应用程序可以继续运行，而无需执行不同的修改或代码更改。

数据丢失 (DLP) 数据丢失 (DLP)

用于保护云环境中数据的主要概念和方法称为数据丢失（DLP），有时也称为数据丢失防护（DLP）。 DLP 策略应涉及整个组织，尤其是混合云环境或将云环境与传统数据中心安装相结合的环境。

数据去标识化技术Data De-

数据去标识化技术（Data De-）涉及使用数据脱敏（）、数据混淆（）或数据匿名化（）等技术。屏蔽或混淆背后的理论是替换、隐藏或删除数据集中的敏感数据。屏蔽最常见的用途是为非生产和研发环境提供可用的测试数据集。

匹配应用程序和数据安全技术

在选择使用哪些技术来保护环境中的数据时，云安全专家必须正确评估系统和应用程序框架、其中使用的数据的特征以及数据所遵循的监管框架。在云环境中，除了传统的数据中心模型之外，还必须评估其他要求。

新兴技术

与任何技术领域一样，数据安全的变化和进步是快速且持续的。对于云安全专业人员来说，掌握这些快速变化和进步并评估其系统中包含的内容是否充分至关重要。许多进步也是监管变化或对监管要求变化的响应的驱动因素。

实施数据探测数据

数据探索（Data）是由商业智能运营和用户驱动的过程，其中对数据进行分析和可视化显示，以发现特定模式或特殊属性。数据分析与许多数据分析操作的不同之处在于，它在很大程度上依赖于用户的专业知识和经验来解释和开发有意义的推论。数据探索是一个迭代过程，不断发现影响参数，以便更深入地研究数据并继续将其范围扩展到所需目标。

与任何数量的数据一样，了解数据的组织和访问方式对于执行任何类型的分析或数据探索都至关重要。数据分析工具通常会扫描数据库和数据集，寻找有价值的信息或与用户正在执行的确切数据探测工作相关的信息。

结构化数据数据

结构化数据包括具有已知格式和内容类型的所有数据类型。结构化数据最常出现在关系数据库中。

非结构化数据数据

非结构化数据本质上是不符合结构化数据规范的任何数据 *** 。非结构化数据可以通过人或机器输入生成，但不符合定义的数据结构或格式。

实现数据分类数据

() 是分析特定数据的属性，然后确定需要实施的适当策略和控制以确保数据安全的过程。

数据映射

健全的映射策略将使组织能够掌握数据存在于其应用程序内外的所有物理位置。如果没有两者的信息，组织就无法对其数据正确构建和实施安全策略和协议。

数据识别

健全的映射策略将使组织能够掌握数据存在于其应用程序内外的所有物理位置。

敏感数据数据

（例如受保护的健康信息 (PHI)、个人身份信息 (PII)、持卡人数据）

个人身份信息的相关数据保护管辖区信息权限管理和 (IRM) 数据权限目标（例如数据权限、提供、访问模型）的设计和实施（例如，数据 , , ）

数字版权管理 (DRM) 解决方案用于保护知识产权、执行相关保护要求并维护知识资产的所有权。 DRM 可以部署在企业中，由制造商、供应商或内容创建者实施。通常，受 DRM 解决方案保护的材料需要使用某种形式的与材料关联的标签或元数据，以便 DRM 工具正常工作。 DRM 实施的技术复杂性和技术各不相同。以下是一些适用的 DRM 方法：

基本参考检查 ( ) 内容本身会自动检查所使用副本的所有权的合法性。例如，在许多较旧的电脑游戏中，游戏会暂停并要求玩家输入一些只能通过购买游戏的授权副本才能获得的特定信息，例如游戏附带的单词或短语。

在线参考检查（）软件包，包括操作系统和程序，通常以同样的方式通过要求用户在安装过程中输入产品密钥来保护软件所有权；然后，当系统连接到互联网时，根据在线数据库产品密钥有效性检查软件程序。

本地代理检查（本地代理）用户安装参考检查工具，根据用户的权限检查受保护的内容。目前，游戏引擎通常以这种方式工作。安装游戏时，需要下载Steam或代理；代理根据在线许可证数据库检查用户的系统，以确保游戏不是盗版的。

（媒体的）许可媒体保留验证某些 DRM 工具需要在系统中使用内容和许可媒体（例如磁盘）。通常，DRM引擎在许可介质上安装一些加密信息来识别特定磁盘和许可内容，并允许基于这种对应关系来使用内容。

持续的基于支持的许可 (-Based) 某些 DRM 实施是基于提供受支持内容的需要；尤其是生产环境中的软件系统。许可软件可以在需要时允许随时访问更新和补丁，而供应商可能会阻止未许可版本接收此类支持。

适当的工具（例如证书颁发和撤销）工具

（例如，和）

计划和数据，以及数据保留策略数据

与安全行业中的其他事物一样，组织的数据保留（数据）计划应基于强大、一致的策略。数据保留政策应包括以下内容：

保留期 ( ) 组织应保留数据多长时间？这通常指的是长期存储的存档数据，即当前未在生产中使用的数据。保留期限通常以年表示，并由法规或立法确定（参见下一项）。数据保留期限也可以通过合同协议授权或修改。

适用的法律和法规 ( ) 正如刚才提到的，保留期限可以由法规或合同强制规定；保留政策应考虑所有法规。当存在监管冲突时尤其如此；该战略还应强调这一差距，并将其提交给高级管理层，由他们就如何利用适当的机制处理和解决这一冲突做出决定。例如，各国可能对特定类别的数据施加不同的保留期限，组织可能在具有不同授权期限的国家运营；该政策应明确描述冲突期限以及高级管理层确定的保留期限决议。

保留 () 策略应描述数据的实际归档方式，指定媒体存储类型和处理特定数据的监管标准。例如，某些类型的数据在存储时需要加密。在这种情况下，策略应包括加密引擎 ( ) 的描述、密钥存储和检索程序以及适用的法律和法规的参考。

数据分类（Data）组织应有整体的数据分类政策来指导数据的创造者（）、所有者（Owner）、管理者（）和用户（User）；该政策描述了何时以及如何对数据进行分类，还描述了各种分类和处理的安全程序和控制（以及发生违规时应对违规的策略）。除了主策略之外，数据保留策略还应包括有关如何在不同级别存储和检索数据的具体说明。归档和检索程序（和）数据存储具有实际用途。存储的数据可用于纠正错误、用作业务连续性和灾难恢复 (BC/DR) 备份数字版权管理中的安全策略分析与选取，并支持用于商业智能目的的数据挖掘和分析。但存储的数据只有在以高效且经济高效的方式检索并重新投入生产时才有用。该策略应详细说明将数据发送到存储介质和恢复数据的过程。该政策要素（即详细流程）可以包含在附件中；该流程可能需要比策略更频繁地更新和编辑，并且可以独立保存。

持续监控、维护和执行（、、和）与组织的所有政策一样，政策应详细说明政策审查和修订的频率、责任人、不合规的后果，并表明由哪个实体负责审查和修订政策。组织负责执行。

数据删除流程和机制数据和传统数据销毁选项

介质和硬件的物理销毁技术 ( ) 任何包含相关数据的硬件或便携式介质都可以通过燃烧、熔化、冲击（敲打、钻孔、研磨等）或工业粉碎来销毁。这是首选的数据脱敏（Data，也称为数据清洗）方法，因为数据在物理上是不可恢复的。

消磁技术（）对数据所在的硬件和介质施加超强磁场，有效对硬件和介质进行消磁。消磁技术不适用于固态硬盘 (SSD)。

覆盖技术（）将随机字符多次写入保存数据的存储区域（特定磁盘扇区），最后一次写入全1或全0。对于大型存储区域来说，这是极其耗时的。

加密擦除技术（或 AKA）这涉及使用强大的加密引擎对数据进行加密，然后使用该过程生成的密钥，在不同的加密引擎上对其进行加密，然后销毁密钥。

云计算环境下的数据销毁/处置

在云计算环境中，其中一些数据销毁/处置选项是无效或不可行的。由于云服务提供商拥有硬件，而不是数据所有者，因此物理破坏技术通常不可行。另一个原因是很难确定数据的实际物理位置。在任何给定时刻（或历史时刻），物理定位都是困难的，因此几乎不可能要求销毁所有组件和介质。同样的原因，覆盖技术也不是云计算数据脱敏的可用方法。

加密擦除技术是云计算环境中唯一实用的数据处理选项。

数据归档流程和机制数据和

1、格式归档策略需要确定归档数据的格式。

2.技术除了数据保留策略和数据格式决策之外，数据归档还将依赖特定的技术或标准来维护和存储数据。

3. 监管要求大多数法规都会规定数据归档的最短期限。法规通常还指定所需的更低加密级别或技术，甚至指定要使用的特定格式、标准或技术。

4. 测试虽然数据格式、技术和监管要求构成了数据归档计划的核心，但如果没有适当的测试来验证和审核策略和流程，组织就无法确保其程序在需要时有效且可用。

合法保留合法保留

合法保留是指与法律诉讼相关的特定类型的数据存档和保留。

设计和实施数据事件的可审核性、可追溯性和问责制

通过深入了解数据类型以及处理和保存该数据的策略，云安全专家可以识别、收集和分析实际数据事件，以便开发有价值的漏洞。

事件源定义

哪些事件很重要，哪些可以进行？这取决于具体采用的云服务模型。 1.laaS事件源（Event）在laaS环境中，云客户可以更大限度地访问和查看任何云服务模型的系统和基础设施日志。