数据加密三板斧

说明

数据加密涉及到方方面面，本文不做大而全的讨论，而是重点讨论公有云云上的数据加密

 

为什么需要数据加密

我们要知道我们的数据为什么要加密？并非所有的云上数据都需要加密，那什么数据需要加密呢？如果云上数据涉及到个人数据、隐私数据、敏感数据或企业个人核心资产，那就需要考虑数据加密了，如果不加密将会有以下两个重大风险。

 

合规风险：

国外相关的法律法规：GDPR、SOX、PCI DSS II、HIPAA、CSA Star等 国内相关的法律法规：《中华人民共和国网络安全法》、《信息安全等级保护》、《电信和互联网用户个人信息保护规定》、《个人信息安全规范（草案）》等。 这些法律法规中对所有收集、存储和使用个人数据、敏感数据的组织和个人都做了明确保护规定，其中数据加密一种强制手段或推荐手段。   数据泄露风险： 数据防泄漏的方案有很多，数据加密是一个重要且通用的方案，可以有效预防关键信息、核心资产等数据泄露。

 

云上数据加密的三板斧

放在云上的数据可能是云上的APP产生的，也有可能是云下APP产生的，无论在哪里产生只要数据放在云上都是本文讨论的范围。

 

第一板斧：云供应商加密+云供应商提供KMI

这种数据加密用户投入最小，数据加密和KMI均由云供应商提供，用户通过支持加密特性的云服务加密数据，通过KMS（云上KMI一般以一种服务的方式提供，即密钥管理服务KMS）管理加密的密钥，非常的简单快捷。

第二板斧：用户加密+云供应商提供KMI

这种数据加密需用户开发加密APP，由于加密APP由用户自己开发，所以用户可以根据自己的业务场景灵活加密数据，用户也无需购买和维护KMI设备，直接使用云供应商的KMI

 

如何基于KMS开发加密APP呢？ 请参考  http://forum.huaweicloud.com/thread-5408-1-1-17.html   第三板斧：用户加密+用户的KMI 前两板斧基本上可以解决99%的用户数据加密需求，只有极少数特殊用户才会使用第三板斧，这种数据加密投入比较大，首先是用户要开发加密APP，其次是要购买昂贵的KMI，另外还需要专业的人去维护KMI设备。 专业术语 KMI：Key management infrastructure KMS：Key Management Service   作者： 蜡笔周星星

标签：加密,三板斧,APP,用户,KMI,云上,数据
来源： https://blog.51cto.com/u_15214399/2824215