说明
数据加密涉及到方方面面,本文不做大而全的讨论,而是重点讨论公有云云上的数据加密
为什么需要数据加密
我们要知道我们的数据为什么要加密?并非所有的云上数据都需要加密,那什么数据需要加密呢?如果云上数据涉及到个人数据、隐私数据、敏感数据或企业个人核心资产,那就需要考虑数据加密了,如果不加密将会有以下两个重大风险。
合规风险:
国外相关的法律法规:GDPR、SOX、PCI DSS II、HIPAA、CSA Star等
国内相关的法律法规:《中华人民共和国网络安全法》、《信息安全等级保护》、《电信和互联网用户个人信息保护规定》、《个人信息安全规范(草案)》等。
这些法律法规中对所有收集、存储和使用个人数据、敏感数据的组织和个人都做了明确保护规定,其中数据加密一种强制手段或推荐手段。
数据泄露风险:
数据防泄漏的方案有很多,数据加密是一个重要且通用的方案,可以有效预防关键信息、核心资产等数据泄露。
云上数据加密的三板斧
放在云上的数据可能是云上的APP产生的,也有可能是云下APP产生的,无论在哪里产生只要数据放在云上都是本文讨论的范围。
第一板斧:云供应商加密+云供应商提供KMI
这种数据加密用户投入最小,数据加密和KMI均由云供应商提供,用户通过支持加密特性的云服务加密数据,通过KMS(云上KMI一般以一种服务的方式提供,即密钥管理服务KMS)管理加密的密钥,非常的简单快捷。
第二板斧:用户加密+云供应商提供KMI
这种数据加密需用户开发加密APP,由于加密APP由用户自己开发,所以用户可以根据自己的业务场景灵活加密数据,用户也无需购买和维护KMI设备,直接使用云供应商的KMI
如何基于KMS开发加密APP呢?
第三板斧:用户加密+用户的KMI
前两板斧基本上可以解决99%的用户数据加密需求,只有极少数特殊用户才会使用第三板斧,这种数据加密投入比较大,首先是用户要开发加密APP,其次是要购买昂贵的KMI,另外还需要专业的人去维护KMI设备。