雲端資料加密與金鑰管理

1·無論採取何種加密和解密的產品方案，都應採取業界認可的金鑰管理實務作法（best practice），並確認其來源的可靠性，加密方式也要依循相關的行業要求與政府標準，避免採用老式的加密作法如DES等。

2·請建立一系列的權責區分運作方式，例如將雲端服務供應商和金鑰管理方式分開，並且了解供應商的人員管理是否實施了職責分離，以避免系統管理員權限過大。

3·如果金鑰管理的機制是由雲端服務供應商所提供的，必須要確保金鑰的產生、使用、儲存、備份、還原和銷毀等生命周期，已經有適當的定義並導入管理作法，並且也要了解供應商如何區隔與管理多租戶在金鑰方面的使用。

4·針對金鑰的註冊和使用流程應進行完整的測試，尤其當企業採用DLP方案或檔案內容偵測系統時，應確認相關的加解密動作可以順利進行。

5·建議可將加密機制與金鑰管理運作及企業的身分驗證機制相結合，將可獲得彈性化的運作，並且易於進行安全審查和稽核。

6·包括靜態、傳輸和備份的資料，都應該納入加密的考量，如果採用了IaaS服務，包括虛擬機器（VM）的加密機制，也必須事前進行評估和了解。

了解你的雲端安全責任

在雲端服務之中，藉由服務供應商所提供的操作介面，我們看似可針對所擁有的資料進行上傳、編輯、下載等，進行種種的管理，但事實上用戶對於資料的掌控是受到限制的，例如無法得知資料實際所在的位置、資料被備份存放的地點，以及資料是否已完全進行銷毀等。因此，若想要避免可能的資安問題，並非都只是將責任完全轉嫁給服務供應商，自己不需要採取任何的安全措施。

當然，安全控管的實施內容是取決於用戶如何看待其所存放的資料，從現階段來看，在雲端服務之中，資料加密和金鑰管理已是可用來保護資料的機制，至於該如何實施，這就牽涉到用戶本身的企業營運模式，也請你務必要將法規風險放在其中加以審慎評估了。