1.数据存储加密
客户可选择把数据加密后再上传到云计算平台,加密密钥由用户自行管理;也可用云服务商的密钥管理服务或其提供的硬件加密设备加密数据,但此种方式对大规模处理不适用,还需客户自己实现加解密过程。选择服务端加密时客户需用云服务商提供的客户端开发API。客户有时希望数据保存在磁盘时加密,在内存中处理时不加密,以尽可能不用更改已有的应用的程序,即实现数据的透明加密。
透明数据加密可对数据文件进行实时I/O加解密,从而达到在写入磁盘前加密数据,从磁盘读入内存时进行解密。TDE不会增加数据文件的大小。开发人员不用变更所有应用程序,就能用TDE功能。加密密钥由密钥管理服务生成和管理,存储服务不提供加密所需的密钥和证书。客户若要恢复数据到本地,需先通过存储服务解密数据。
2.数据传输加密
对数据的交换、转移与分享,主流云计算解决方案都支持标准的加密传输协议,为利于云平台与外界及系统间进行敏感数据传输的要求。为保证数据传输安全,可用HTTPS协议传输数据。HTTPS可认为是HTTP+TLS。若无特别指出,SSL和TLS是指同一个协议。
TLS协议主要有应用、握手、报警、加密消息确认与心跳5个协议。TLS协议本身又是由记录协议传输的。目前常用的HTTP协议是HTTP1.1,常用的TLS协议版本有TLS1.2、TLS1.1、TLS1.0和TLS3.0。其中TLS3.0因POODLE攻击已被表明不安全,但统计仍有不足1%的浏览器用SSL3.0。TLS1.0也有部分安全漏洞,如易受RC4和BEAST攻击。
