對于云環(huán)境的安全和隱私問題的擔心會推動云加密系統(tǒng)的普及，但是Gartner警告稱企業(yè)在實施數(shù)據(jù)加密前還有六件事情要做。

從2011到2016年，SaaS的年增長率有望達到19.5%，PaaS有望達到27.7%，IaaS有望達到41.3%，而安全服務的年資金增長率有望達到22%。

盡管如此，安全和隱私仍然成為阻礙許多公司接受云服務的首要因素，而這也成為過去18個月里企業(yè)采用云加密系統(tǒng)的原因。雖然加密對于保障云服務具有重要意義，但是它并不是什么新興技術(shù)，Gartner在最近的一項研究筆記中警告稱。

分析師推薦企業(yè)最好先研制出一個數(shù)據(jù)安全計劃，解決好六個基本問題。因為如果不解決數(shù)據(jù)隱私和長期的安全問題，反而會增加云計算使用的成本和復雜性。他們警告稱，加密系統(tǒng)如果部署不當將可能干擾一些云服務的正常功能。

而這六個必須解決的安全問題就是：

數(shù)據(jù)泄露通知和數(shù)據(jù)保存

閑時數(shù)據(jù)管理

動態(tài)數(shù)據(jù)保護

密鑰管理

訪問控制

加密系統(tǒng)的長期性

No.1：數(shù)據(jù)泄露通知和數(shù)據(jù)常駐

并非所有數(shù)據(jù)都需要同等級別的保護，所以企業(yè)應該把用于云存儲的數(shù)據(jù)分類，然后識別與數(shù)據(jù)泄露通知有關(guān)的服從性需求或是看數(shù)據(jù)是否不允許被保存到其他地方。

Gartner還推薦企業(yè)部署一個企業(yè)數(shù)據(jù)安全計劃，從政府法律實施部門的角度管理訪問請求。這項計劃應該把股東納入考慮，如合法性，合同，業(yè)務部門，安全和IT。

No.2：閑時數(shù)據(jù)管理

企業(yè)應該用具體的問題確定云服務供應商的數(shù)據(jù)存儲生命周期和安全策略。

應該弄明白：

1. 是否在使用多租戶存儲，搞清楚租戶之間使用的是什么隔離機制。

2. 是否使用貼標之類的機制阻止數(shù)據(jù)被復制到特定國度或地域。

3. 用于存檔和備份的存儲是否被加密，密鑰管理策略是否包含強效身份識別和訪問管理策略以限制對特殊區(qū)域的訪問。

Gartner贊成企業(yè)使用加密技術(shù)，通過刪除密鑰來刪除數(shù)據(jù)，從而部署終止策略，同時又確保密鑰不會被損壞或復制。

No.3：動態(tài)數(shù)據(jù)保護

最為最基本的要求，Gartner推薦企業(yè)推進CSP對安全通訊協(xié)議的支持，如用于瀏覽器訪問或VPN系統(tǒng)訪問連接的SSL/TLS，以便為其服務提供受保護的訪問。

其研究筆記指出，企業(yè)通常會加密發(fā)送到云的敏感數(shù)據(jù)，但是如果使用或存儲的數(shù)據(jù)未被加密時，企業(yè)就義不容辭要解決泄露的問題。

在IaaS中，Gartner認為企業(yè)更喜歡可以在多個租戶間提供網(wǎng)絡隔離的CSP，這樣租戶就看不到其他租戶的網(wǎng)絡流量。

No.4：密鑰管理

企業(yè)應該以管理密鑰為目的，但是如果密鑰被云加密服務供應商管理，Gartner說，他們就必須確保自己部署了訪問管理控件，可以滿足數(shù)據(jù)泄露防護的要求。如果密鑰由CSP管理，那么企業(yè)應該要求在準確定義和托管的密鑰管理進程套件中提供基于硬件的密鑰管理系統(tǒng)。

Gartner認為，當密鑰被托管或是可在云中獲取時，供應商有必要對實時工作負載的截圖提供監(jiān)控，以防止分析風險。

No.5：訪問控制

Gartner建議企業(yè)要求CSP支持IP子網(wǎng)訪問限制策略，這樣企業(yè)就可以通過已知的IP地址和設備限制終端用戶的訪問。企業(yè)應該要求加密服務供應商提供用戶訪問和管理控件，強效驗證替代方式，如雙要素驗證，訪問許可管理以及按管理職責分區(qū)，如安全，網(wǎng)絡和維護。

企業(yè)還應該要求：

1. 記錄所有用戶和管理員對云資源的訪問，把日志以適合日志管理或安全信息和事件管理系統(tǒng)的形式提交給企業(yè)。

2. CSP限制用戶訪問可能對實時工作負載截屏，執(zhí)行數(shù)據(jù)遷移或數(shù)據(jù)備份與恢復的敏感系統(tǒng)管理工具。

3. 遷移或截屏工具捕獲的圖像同樣被視為企業(yè)敏感數(shù)據(jù)。

No.6：加密系統(tǒng)的長期性

Gartner建議企業(yè)了解對應用，數(shù)據(jù)庫檢索，查找和分類的影響。他們應該特別留意高級搜索功能，如子字符串匹配功能和通配符，如“contains”或“ends with”。

如果加密服務供應商提供“功能保留型加密”——例如，保留分類——由于這樣可能減弱加密功能的效用，所以規(guī)則會要求使用標準化的運算法則或獨立證書。