CCSP： 数据安全技术与策略

在学习 CCSP 考试时，您必须考虑如何实施数据安全技术并设计适合您业务和安全需求的数据安全策略。以下技术通常作为云中综合数据安全策略的一部分应用：

• 加密和密钥管理
• 散列法
• 数据丢失防护 （DLP）
• 数据去标识化（通过屏蔽和数据混淆）
• 代币化

加密和密钥管理

由于加密与云数据安全有关，因此加密和密钥管理是必须充分理解才能通过 CCSP 考试的关键主题。由于资源池（和多租户）是云计算的一个关键特征，因此请务必记住，物理分离和保护在云环境中并不常见。因此，战略性地使用加密对于确保在云中安全存储和使用数据至关重要。

在设计或实现加密技术时，请记住，加密体系结构有三个基本组件：

• 受保护的数据
• 执行所有加密操作的加密引擎
• 用于保护数据的加密密钥

虽然加密所有内容似乎是确保数据安全的最佳方式，但重要的是要考虑到加密对系统的性能有影响;每次加密或解密数据时，都会使用系统资源来处理加密算法，如果过度使用加密，则可能会增加加密算法。作为 CCSP，您有责任实施加密，以便尽可能确保数据安全，同时最大限度地减少对系统性能的影响。

在本地和云环境中实施加密技术时，还存在无数其他挑战和注意事项。一些关键的云加密挑战包括

• 几乎所有的数据处理都要求数据处于未加密状态。如果云客户使用 CSP 进行数据分析或处理，则实施加密可能具有挑战性。
• 加密密钥在使用时缓存在内存中，并且通常会保留一段时间。在多租户环境中，此注意事项是一个主要点，因为内存是租户之间的共享资源。CSP 必须实施保护措施，防止共享相同资源的租户访问租户的密钥。
• 云数据通常是高度复制的（出于可用性目的），这可能使加密和密钥管理具有挑战性。大多数 CSP 都有适当的机制来确保加密数据的任何副本保持加密状态。
• 在整个数据生命周期中，数据可能会更改状态、位置和格式，这可能需要在此过程中应用不同的加密。管理这些更改可能是一项挑战，但了解 Cloud Secure 数据生命周期有助于设计完整的端到端加密解决方案。
• 加密的核心是保密控制。它本身并不能解决对数据完整性的威胁。本章中讨论的其他技术应实现，以解决完整性问题。
• 加密解决方案的有效性取决于加密密钥的存储和管理安全性。一旦加密密钥落入坏人之手，所有受该密钥保护的数据都会受到损害。由 CSP 管理的密钥可能会被恶意内部人员访问，而客户管理的加密密钥通常处理不当或管理不善。

正如最后一点所指出的，密钥管理是确保加密实施有效保护云数据的重要因素。由于其重要性以及与云中密钥管理相关的挑战，此任务通常是与保护云数据相关的最复杂的任务之一。