云内数据的安然保障可以从以下多个方面全方位地进行：

　　卷存储加密

　　卷加密可抵抗以下风险：呵护卷免除快照克隆或泄漏风险;呵护卷免除被云供给商(和私有云治理员)而随便查看的风险;呵护卷免除物理硬盘丢掉(这更像是一个实际产生的安然事务，而不是仅仅知足合规性要求那么简单)而导致的信息泄漏风险。

　　根本举措措施办事的数据卷可经由过程以下三种编制加密：

　　实例治理加密。这类加密引擎是在实例中运行，密钥被存放在卷中，并采取暗码或密钥对进行呵护。

　　外部治理加密。这类加密引擎一样在实例中运行，但密钥在外部治理，并响应实例要求而进行分派。

　　代办署理加密。在这一模型里，先将卷连接到一个特定的实例或设备/软件中，然后将该实例再连接到加密实例上。代办署理措置所有的加密把持，并将密钥保管在代办署理内部或外部当中。在线编制或外携编制保管密钥。

　　对象存储加密

　　对象存储加密用于抵抗良多近似卷存储一样存在的风险。因为对象存储持久被透露在公共收集上，并承诺用户搭建虚拟私有存储(VPS)。就像VPN一样，它在呵护好数据的同时，可利用公共共享的根本举措措施，即便这些数据被透露，也只有那些有加密密钥的人才能查看。

　　文件/文件夹加密和企业数字版权治理DRM：在将数据放到对象存储前，先利用尺度的文件/文件夹加密东西或企业数字版权治理东西(EDRM)加密数据。

　　客户端/利用法度加密：在一个利用法度(包含移动利用)里，对象存储凡是被当作后端利用时，可利用嵌进在利用法度内或客户端中的加密引擎加密数据。

　　代办署理加密：在数据发送到对象存储前，利用加密代办署理进行数据加密。

　　平台办事加密

　　因为平台办事(PaaS)是多样化的，所以可以采取下面列表的呵护机制：

　　客户端/利用加密：数据在PaaS利用中加密，或在拜候平台的客户端法度中加密。

　　数据库加密：数据经由过程数据库内置的加密机制加密并存储于数据库中，这需要数据库平台撑持这类加密机制。

　　代办署理加密：在数据发送到平台前，经由过程一个加密代办署理进行加密。

　　还可以在平台中内置加密API，外部加密办事和其它可选情势。

　　软件办事加密

　　软件办事(SaaS)供给商可利用上述提到的任何一种选项，对多租户式的隔离模型中，建议每个用户利用不合的密钥。以下选项可供软件办事用户利用：

　　办事供给方治理加密：数据在SaaS利用中加密，并凡是由办事供给方治理。

　　代办署理加密：数据经由过程加密代办署理后再送到SaaS利用中。

　　数据防泄漏

　　云计较环境中的数据防泄漏(DLP)可定义以下：基于中间策略，经由过程深度内容阐发辨认、检测和呵护数据的运转和利用及其它过程的产品。DLP可以或许发现是不是背规把持数据并进行阻断把持(遏制其工作流)，或采取诸如DRM、ZIP或OpenPGP等加密机制措置后承诺其继续运行。

　　DLP常经由过程以下机制进行内容发现，监测数据运行：

　　专用设备/办事器。在云环境与其他收集/互联网鸿沟，或云环境的两个子区域的按捺点摆设尺度的硬件

　　虚拟设备。

　　终端代办署理。

　　Hypervisor代办署理。相对在实例中运行，DLP代办署理则内置在Hypervisor层，或可在Hypervisor层得以拜候到

　　DLPSaaS。DLP集成在一个云办事中(如：托管电子邮件)，或以一个自力尺度的办事供给(通常为内容发现办事)

　　隐私呵护

　　几近所有的云存储系统都需要拜候者(云用户或内容供给商)经由过程某种身份认证编制来成立信赖关系，不管是单向通信仍是双向通信均需如斯。虽然加密证书可以或许为大都利用处景良多供给足够的安然性保障，但其因为与真人(云用户)而严格绑定而不合用于隐私信息。因为证书的任何一次利用都可能将证书持有者的身份泄漏给倡议认证要求的集体。有良多场景(如：电子病历存储)就是因为采取了证书认证编制而不需要的透露了证书持有者的身份。

　　在过往的十到十五年里，大年夜量手艺(如暗码证书等)出现，并且被用于使系统在值得信赖的同时还能呵护持有者的隐私信息(例如：隐躲真实持有者的身份信息等)。基于属性的证书就像通俗加密证书(如x.509证书)一样都利用数字(或加密的)签名密钥。但是，基于属性的证书(attribute-basedcredentials,ABCs)承诺持有者将其作为一个仅包含源证书内所含属性的子集封装在新的证书里。这些封装后的新证书可以或许被当作通俗加密证书(利用公有密钥)来校验，以供给一样强度的安然包管。

　　数字版权治理(DRM)

　　DRM的核心就是用其加密内容，并利用一系列版官僚求。版官僚求既可以简单如防拷贝，也能够复杂如限制某组或基于用户的诸多勾当调集，诸如剪切、粘贴、发送邮件、改变内容等。任何利用DRM进行数据呵护的利用或系统必需可以或许诠释和履行权限，这常常意味着系统需整合密钥治理系统。

　　这里有两种首要的数字版权治理分类：

　　消费者DRM多用于呵护遍及分发的媒体内容，如：供给给广大年夜受众的音频、视频和电子书。这一DRM可利用各类不合的手艺与尺度，但重点是都基于单向分发编制。

　　企业DRM是用于呵护组织内部的信息和合作火伴之间的信息。重点在于有良多复杂的权限、策略，和与营业环境，特别是企业目次办事DS的整合。

　　企业DRM可以或许很好地呵护存储在云中的信息，但需要深度的根本架构整合。这对基于内容治理的文件和分发是很是有效的。消费者DRM可以或许为分发给消费者的内容有较好的呵护，可是却因为大年夜大都手艺在单点上易被破解而没法保持很好的跟踪记实。