云內(nèi)數(shù)據(jù)的安全保障可以從如下多個方面全方位地進(jìn)行：

卷存儲加密

卷加密可抵御如下風(fēng)險：保護(hù)卷免除快照克隆或泄漏風(fēng)險；保護(hù)卷免除被云供應(yīng)商（和私有云管理員）而隨意查看的風(fēng)險；保護(hù)卷免除物理硬盤丟失（這更像是一個實際發(fā)生的安全事件，而不是僅僅滿足合規(guī)性要求那么簡單）而導(dǎo)致的信息泄漏風(fēng)險。

基礎(chǔ)設(shè)施服務(wù)的數(shù)據(jù)卷可通過以下三種方式加密：

實例管理加密。這種加密引擎是在實例中運行，密鑰被存放在卷中，并采用密碼或密鑰對進(jìn)行保護(hù)。

外部管理加密。這種加密引擎同樣在實例中運行，但密鑰在外部管理，并響應(yīng)實例請求而進(jìn)行分配。

代理加密。在這一模型里，先將卷連接到一個特定的實例或設(shè)備/軟件中，然后將該實例再連接到加密實例上。代理處理所有的加密操作，并將密鑰保管在代理內(nèi)部或外部之中。在線方式或外攜方式保管密鑰。

對象存儲加密

對象存儲加密用于抵御很多類似卷存儲同樣存在的風(fēng)險。因為對象存儲長期被暴露在公共網(wǎng)絡(luò)上，并允許用戶搭建虛擬私有存儲（VPS）。就像VPN一樣，它在保護(hù)好數(shù)據(jù)的同時，可以使用公共共享的基礎(chǔ)設(shè)施，即使這些數(shù)據(jù)被暴露，也只有那些有加密密鑰的人才能查看。

文件/文件夾加密和企業(yè)數(shù)字版權(quán)管理DRM：在將數(shù)據(jù)放到對象存儲前，先使用標(biāo)準(zhǔn)的文件/文件夾加密工具或者企業(yè)數(shù)字版權(quán)管理工具（EDRM）加密數(shù)據(jù)。

客戶端/應(yīng)用程序加密：在一個應(yīng)用程序（包括移動應(yīng)用）里，對象存儲通常被當(dāng)作后端使用時，可以使用嵌入在應(yīng)用程序內(nèi)或客戶端中的加密引擎加密數(shù)據(jù)。

代理加密：在數(shù)據(jù)發(fā)送到對象存儲前，使用加密代理進(jìn)行數(shù)據(jù)加密。

平臺服務(wù)加密

因為平臺服務(wù)（PaaS）是多樣化的，所以可以采用下面列表的保護(hù)機制：

客戶端/應(yīng)用加密：數(shù)據(jù)在PaaS應(yīng)用中加密，或者在訪問平臺的客戶端程序中加密。

數(shù)據(jù)庫加密：數(shù)據(jù)通過數(shù)據(jù)庫內(nèi)置的加密機制加密并存儲于數(shù)據(jù)庫中，這需要數(shù)據(jù)庫平臺支持這種加密機制。

代理加密：在數(shù)據(jù)發(fā)送到平臺前，通過一個加密代理進(jìn)行加密。

還可以在平臺中內(nèi)置加密API，外部加密服務(wù)和其它可選形式。

軟件服務(wù)加密

軟件服務(wù)（SaaS）供應(yīng)商可以使用上述提到的任何一種選項，對于多租戶式的隔離模型中，建議每個用戶使用不同的密鑰。以下選項可供軟件服務(wù)用戶使用：

服務(wù)提供方管理加密：數(shù)據(jù)在SaaS應(yīng)用中加密，并通常由服務(wù)提供方管理。

代理加密：數(shù)據(jù)通過加密代理后再送到SaaS應(yīng)用中。

數(shù)據(jù)防泄漏

云計算環(huán)境中的數(shù)據(jù)防泄漏（DLP）可定義如下：基于中心策略，通過深度內(nèi)容分析識別、檢測和保護(hù)數(shù)據(jù)的運轉(zhuǎn)和使用及其它過程的產(chǎn)品。DLP能夠發(fā)現(xiàn)是否違規(guī)操作數(shù)據(jù)并進(jìn)行阻斷操作（停止其工作流），或采用諸如DRM、ZIP或OpenPGP等加密機制處理后允許其繼續(xù)運行。

DLP常通過如下機制進(jìn)行內(nèi)容發(fā)現(xiàn)，監(jiān)測數(shù)據(jù)運行：

專用設(shè)備/服務(wù)器。在云環(huán)境與其他網(wǎng)絡(luò)/互聯(lián)網(wǎng)邊界，或云環(huán)境的兩個子區(qū)域的抑制點部署標(biāo)準(zhǔn)的硬件

虛擬設(shè)備。

終端代理。

Hypervisor代理。相對于在實例中運行，DLP代理則內(nèi)置在Hypervisor層，或可在Hypervisor層得以訪問到

DLPSaaS。DLP集成在一個云服務(wù)中（如：托管電子郵件），或者以一個獨立標(biāo)準(zhǔn)的服務(wù)提供（一般是內(nèi)容發(fā)現(xiàn)服務(wù)）

隱私保護(hù)

幾乎所有的云存儲系統(tǒng)都需要訪問者（云用戶或內(nèi)容供應(yīng)商）通過某種身份認(rèn)證方式來建立信任關(guān)系，無論是單向通訊還是雙向通訊均需如此。盡管加密證書能夠為多數(shù)應(yīng)用場景很多提供足夠的安全性保障，但其因為與真人（云用戶）而嚴(yán)格綁定而不適用于隱私信息。因為證書的任何一次應(yīng)用均可能將證書持有者的身份泄漏給發(fā)起認(rèn)證請求的團體。有很多場景（如：電子病歷存儲）就是因為采用了證書認(rèn)證方式而不必要的暴露了證書持有者的身份。

在過去的十到十五年里，大量技術(shù)（如密碼證書等）涌現(xiàn)，并且被用于使系統(tǒng)在值得信任的同時還能保護(hù)持有者的隱私信息（例如：隱藏真實持有者的身份信息等）?；趯傩缘淖C書就像普通加密證書（如x.509證書）一樣都使用數(shù)字（或加密的）簽名密鑰。然而，基于屬性的證書（attribute-basedcredentials,ABCs）允許持有者將其作為一個僅包含源證書內(nèi)所含屬性的子集封裝在新的證書里。這些封裝后的新證書能夠被當(dāng)作普通加密證書（使用公有密鑰）來校驗，以提供同樣強度的安全保證。

數(shù)字版權(quán)管理（DRM）

DRM的核心就是用其加密內(nèi)容，并應(yīng)用一系列版權(quán)要求。版權(quán)要求既可以簡單如防拷貝，也可以復(fù)雜如限定某組或基于用戶的諸多活動集合，諸如剪切、粘貼、發(fā)送郵件、改變內(nèi)容等。任何使用DRM進(jìn)行數(shù)據(jù)保護(hù)的應(yīng)用或系統(tǒng)必須能夠解釋和執(zhí)行權(quán)限，這常常意味著系統(tǒng)需整合密鑰管理系統(tǒng)。

這里有兩種主要的數(shù)字版權(quán)管理分類：

消費者DRM多用于保護(hù)廣泛分發(fā)的媒體內(nèi)容，如：提供給廣大受眾的音頻、視頻和電子書。這一DRM可使用各種不同的技術(shù)與標(biāo)準(zhǔn)，但重點是都基于單向分發(fā)方式。

企業(yè)DRM是用于保護(hù)組織內(nèi)部的信息和合作伙伴之間的信息。重點在于有很多復(fù)雜的權(quán)限、策略，以及與業(yè)務(wù)環(huán)境，尤其是企業(yè)目錄服務(wù)DS的整合。

企業(yè)DRM能夠很好地保護(hù)存儲在云中的信息，但需要深度的基礎(chǔ)架構(gòu)整合。這對基于內(nèi)容管理的文件和分發(fā)是非常有用的。消費者DRM能夠為分發(fā)給消費者的內(nèi)容有較好的保護(hù)，但是卻因為大多數(shù)技術(shù)在單點上易被破解而無法保持很好的跟蹤記錄。