随着云计算逐渐成为主流，云安全也获得了越来越多的关注，传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是，与有清晰定义的“云计算”（NIST SP 800-145和ISO/IEC 17788）不同，业界对“云安全”从概念、技术到产品都还没有形成明确的共识。

从发展的脉络分析，“云安全”相关的技术可以分两类：

“安全即服务”和“云计算安全”这两类“云安全”技术的重合部分，即以云服务方式为使用云计算服务提供防护。

基于云计算的服务模式、部署模式和参与角色等三个维度，美国国家标准技术研究院（NIST）云计算安全工作组在2013年5月发布的《云计算安全参考架构（草案）》给出了云计算安全参考架构（NCC-SRA，NIST Cloud Computing Security Reference Architecture）。

NIST云计算安全参考架构的三个构成维度：

云计算的三种服务模式：IaaS、PaaS、SaaS

云计算的四种部署模式：公有、私有、混合、社区

云计算的五种角色：提供者、消费者、代理者、承运者、审计者 作为云服务的使用者，企业需要关注的以下几个子项的安全：

管理对云的使用 配置：调配各种云资源，满足业务和合规要求 可移植性和兼容性：确保企业数据和应用在必要时安全地迁移到其他云系统生态 商务支持：与云服务提供商的各种商务合作和协调 组织支持：确保企业内部的策略和流程支持对云资源的管理和使用

云生态系统统筹 支持云服务提供商对计算资源的调度和管理

功能层 包括网络、服务器、存储、操作系统、环境设置、应用功能等，不同服务模式下企业能够控制的范围不同

使用不同模式的云服务（IaaS、PaaS或SaaS）时，企业对资源的控制范围不同，有不同的安全责任边界，因此需要明确自己的责任边界，适当部署对应的安全措施。根据国家标准 GB/T 31167-2014《信息安全技术-云计算服务安全指南》规定，企业用户的控制范围主要在于虚拟化计算资源、软件平台和应用软件。

具体的责任分配可参考微软《云计算中的共担责任》中的说明，如下图。

传统上，有些企业会选择安全代管服务（Managed Security Service，MSS），将设备管理、配置、响应和维护等安全相关的工作外包给专业服务厂商（Managed Security Service Provider，MSSP），以减轻企业IT和安全部门在信息安全方面的压力。随着技术和网络的发展，部分专业安全厂商开始采取类似的策略，不再向客户出售独立的安全软件和设备，而是直接通过网络为企业提供相应的安全托管服务（hosted security service）：企业只需要负责配置和管理自身的安全策略和规则等工作，而不用涉及软硬件的安装和升级维护等。

在云计算技术逐渐成熟以后，安全托管服务即由厂商通过云服务平台提供；同时，也出现了一些直接通过云服务提供的其他安全技术和产品，统称安全即服务。按照云安全联盟（CSA，Cloud Security Alliance）发布的《云计算关键领域安全指南》（第四版，2017年7月）中介绍，SECaaS共有12类：

与传统安全产品相比，SECaaS产品有诸多优势：

根据企业对云计算服务的使用情况，云安全相关的主要场景可分为5大类，这里分别介绍比较有代表性的技术：

云计算安全 租用虚拟硬件资源（IaaS）,提供对外业务或内部应用 使用云服务（PaaS或SaaS）构建内部应用 私有云

安全即服务 集成云服务解决业务和应用中的安全挑战 使用云服务替代传统安全设备和方案

租用云服务器等虚拟硬件资源是云计算服务的最基本模式，也是企业需要承担最多安全责任的模式。除了确认云上业务应用本身的安全性，企业在规划租用虚拟硬件资源时，应该从三个方面分别考察相关安全技术和产品：虚拟硬件基础设施、应用底层架构和对外业务保障。这里将分别介绍11种主要技术的相关情况：

企业选择租用云服务器等虚拟硬件基础设施时，首先需要关注CSP能够提供哪些安全相关功能和如何利用这些安全功能构建可靠的云上硬件环境，为企业的云上业务和数据提供基础性的安全保障。

安全组（Security Group） 技术介绍：安全组定义了一组网络访问规则，可视为虚拟防火墙，是实现云服务器间网络隔离的基本手段。云服务器加入一个安全组后，该安全组的所有网络访问规则都将应用于该云服务器；如果一个云服务器加入了多个安全组，应用于该服务器的网络访问规则将是各安全组的合集；同一安全组内的云服务器之间能够互相通信。 客户收益：在基础网络的设定下，CSP从统一的资源池中为客户提供云服务器，安全组能够帮助客户实现以单个云服务器为基础的网络隔离，并划分安全域。需要特别注意的是，如果使用基础网络设定，不同租户的云安全服务器在默认情况下是网络互通的。 使用建议：安全组应用于所有云服务器。企业在使用云服务器时应仔细规划安全组的设置和信任关系，以确保在满足业务互通需求的同时实现有效隔离。

虚拟私有云（Virtual Private Cloud，VPC） 技术介绍：VPC是指CSP在公有资源池中为客户划分出的私有网络区域。与企业内部的物理网络类似，VPC在提供公网地址（IP）作为访问接口的同时，内部可自定义私有IP地址段，并可继续为VPC内部的云服务器建立安全组。 客户收益：使用VPC时，企业在云上的网络架构与传统的物理网络基本一致，且同一租户的不同VPC之间也不能直接通信。企业也可以将内部或IDC的物理网络与VPC通过专线、VPN或GRE等直接连接以构建混合云业务。 使用建议：VPC能为企业的云上资源提供网络隔离，防止其他租户嗅探或攻击；同时，由于设定的固定网段等限制，也将影响网络架构的弹性扩展。企业需要妥善规划和管理网络，设置路由策略和访问控制规则，并根据业务需求及时作出调整。

微隔离（Microsegmentation） 技术介绍：微隔离技术将网络划分成多个小的功能分区，对各功能区设置细致的访问控制策略，并可以根据需要通过软件随时进行调整。微隔离的实现主要基于网络（VLAN、VPN、SDN／NFV）或平台（如hypervisor、操作系统、容器等）的固有特性，或者通过防火墙等第三方设备以及主机客户端实现。 客户收益：微隔离技术在网络分段和隔离的基础上增加虚拟化和自动化，实现了按应用和功能的业务逻辑对网络访问进行控制。由于网络访问规则与业务逻辑一致，攻击者能获得的攻击面较小，也难以利用系统漏洞进行渗透；同时，即使黑客突破防御边界，由于不同应用的业务逻辑不同，对一个区域的成功渗透也很难用作攻击其他区域或应用的跳板，黑客在内网渗透的难度将明显提高。 使用建议：建议企业了解相关技术和产品的发展，保持关注。如果部署使用，微隔离形成的分区应具有类似的功能，在业务流程上尽可能一致；跨分区的网络通信必须符合策略设置，且被记录；安全事件发生后，可疑分区将被迅速隔离。另外，除了应该仔细规划各分区的组成和跨分区通信规则，还应该注意避免过度分区影响正常业务。

软件定义边界（Software-Defined Perimeter ，SDP） 技术介绍：SDP架构也称“黑云”，使企业对外隐藏内部的网络和应用，并使用策略控制对内部网络的接入和内部应用的访问，主要由SDP控制器和SDP主机组成。SDP控制器分析连接请求以及发起方和接收方的各种信息，基于设定的策略判断是否接受或发起连接；SDP主机控制数据通路，收集连接的相关信息，并根据SDP控制器的判断接受或发起连接。 客户收益：随着各种云服务和移动设备的广泛使用，传统上用于划定安全区的网络边界越来越难以清晰定义；同时，黑客获得传统安全区内设备的控制权也变得容易和常见。通过严格控制对内部网络的接入和应用访问，SDP帮助企业有效隐藏信息并缩小攻击面。 使用建议：随着用户来源和应用部署方式越来越多样，SDP的作用和好处将更为突出，企业的IT和安全人员应保持关注，并在条件允许的情况下开始试验性部署。

云资源管理和监控 技术介绍：云资源监控和管理平台（应用或服务）为企业呈现云服务器的CPU、内存、磁盘和网络等云资源的利用率，以及存储等各项云服务的负载和性能，对异常的消耗和中断等做出告警，并提供相关报表以供进一步分析，有些厂商还能提供优化建议，降低在云资源上的支出。 客户收益：云资源监控和管理平台能够帮助企业监控云资源的使用情况，保障业务运行，并为企业优化云资源配置提供建议，提高云资源利用率并降低成本。 使用建议：根据云上业务的重要程度，企业应尽量对云资源的使用进行专门的监控和管理，以保证业务的平稳运行。

基于安全的云上硬件环境，企业在部署业务应用前，需要设计和搭建应用底层架构。与传统硬件环境相比，在云上搭建应用底层架构更便捷，也更灵活，并能利用新技术进一步提高可靠性和安全性。

不可变基础设施（immutable infrastructure） 技术介绍：不可变基础设施是指采用云计算（或虚拟化）构建系统的基础设施时，部件实例如服务器和容器等在正式上线时被设置为“只读”（read-only）；如果需要对这些实例作出改动，只能使用新的实例替换旧的示例。由此，不可变基础设施通常与一次性部件（disposable component）同时存在。 客户收益：不可变基础设施充分利用了云计算的优势，也只能在纯的云计算环境下使用，且要求系统的部署和运行高度自动化。采用不可变基础设施，除了简化系统运营并提高效率，也能显著提高系统的可靠性并在遇到故障时及时回滚；同时，由于不能对线上的系统部件进行任何改动，不可变基础设施也能够更好地抵御黑客的攻击和渗透。 使用建议：不可变基础设施对运维部门有较高的技术要求，推荐有能力的企业进行试验性部署。

容器安全 技术介绍：容器技术能够实现对单个应用的标准封装，从而简化应用的分发和部署。容器安全主要包括两部分：部署系统的安全性包括对镜像文件（image）的扫描及验证和对仓库（repository）的识别和确认等；运行系统的安全性包括应用容器之间的隔离和容器中应用的权限控制。 客户收益：容器安全技术的使用能够提高容器系统的可靠性，也能够强化应用系统的安全，促进企业基于云计算平台构建完整的基础设施。 使用建议：企业在使用容器技术时应给予容器安全足够的重视，及时了解相关技术和产品的发展，并在有条件时部署。

虚拟机备份 技术介绍：虚拟机备份技术直接利用虚拟化平台提供的API对虚拟机（云服务器）镜像进行备份和恢复，而不依赖于主机上安装客户端软件。与传统的客户端备份软件相比，虚拟机备份技术不占用虚机本身的CPU和内存等资源，对虚拟机上运行的业务影响较小。 客户收益：虚拟机备份技术用于保护和恢复重要业务的虚拟机及其中存储的企业数据，使业务系统在异常中断后能迅速恢复运行。与传统的应用、磁盘和数据备份技术相比，虚机备份技术更易于操作和管理，恢复业务应用的效率更高。 使用建议：使用虚拟机备份技术将简化备份和恢复意外中断的业务，推荐企业在有条件时为承担关键业务和数据的虚拟机（云服务器）提供连续备份，制定业务连续性计划，并按要求进行演练。

企业提供对外业务时，将面临各种网络攻击和黑客入侵。除了在应用的设计、开发和部署时严格执行相关的安全策略、标准和规则，企业还应该考虑采用专门的安全技术，加强对应用的保护。

主机防护 技术介绍：主机防护技术用于帮助企业加固云服务器主机系统软件，通常包括漏洞扫描、补丁管理、入侵检测和配置管理等等。通过及时发现并修补系统漏洞、实时检测和阻断可能的入侵、自动检查系统配置、提示存在的问题并给出建议等措施，主机防护技术能显著提高主机的安全性。 客户收益：业务主机被黑客入侵大多是由于未能及时修补已经公开披露的系统漏洞，或在管理上过于松懈而缺少必要防范。主机防护技术可以有效提高运维效率，建立安全基线，并及时对攻击行为作出反应。 使用建议：云主机防护能有效提高云服务器抵御黑客入侵的能力，企业提供对外业务的云服务器应注意采用。除了直接采用各CSP提供的主机防护产品，企业还需要谨慎评估可能存在的问题和威胁，在必要时加强相关防护。另一方面，使用主机防护技术和产品的同时，主机管理员仍然需要密切关注系统的状态和可能受到的入侵，以便及时反应，最大限度地降低损失。

Web应用防火墙（Web Application Firewall，WAF） 技术介绍：云WAF是指以云计算服务方式提供的WAF功能。WAF通常采用反向代理技术，通过检查和过滤HTTP/S流量的内容，保护指定Web应用，帮助网站抵御各种攻击，保证企业的业务和数据安全。除了防御SQL注入和XSS（cross-site scripting，跨站脚本）等常见的Web攻击（OWASP Top 10），有些云WAF还提供网页防篡改等功能。 客户收益：为了入侵企业网站，黑客会不断寻找并利用Web应用中的实现漏洞和设计缺陷。WAF为企业网站提供一道外围防护，可以有效阻止黑客进行信息收集、攻击渗透、破坏业务和偷取数据，并能在事故发生后迅速恢复。与传统的WAF设备（包括虚拟设备）或软件相比，云WAF的部署更简单：企业管理员只需要在线填写网站域名等基本配置，而不用关注网络结构和部署位置等信息，即可迅速为网站提供保护。随着越来越多的企业网站部署到云服务器上，云WAF也获得了广泛的应用。 使用建议：云WAF可以为企业网站提供基本的安全保障，特别是当网站部署在云服务器上时，应该尽量同时购买云WAF服务。另一方面，虽然在厂商提供的默认配置下云WAF能够帮助企业网站抵御常见的网络攻击，企业管理员还是应该根据网站的Web应用和系统业务等情况，认真优化云WAF的相关安全配置。

云抗DDoS（Distributed Denial-of-Service） 技术介绍：云抗DDoS是指以云服务方式提供对DDoS攻击的防护。除了基于特征识别算法拦阻攻击流量，云抗DDoS还普遍采用代换接入IP的方案：所有公网流量先接入厂商的资源池入口IP，经过清洗后再转发至企业网站服务器的真实IP。根据厂商资源池的配置，代换接入IP方案目前已能够抵御Tb/s级的DDoS攻击。 客户收益：DDoS攻击是商业网站面临的一个主要威胁，云抗DDoS服务帮助企业有效地抵御攻击，保持站点稳定和业务正常运行。与传统抗DDoS设备相比，云抗DDoS部署更简单快捷，且可以按需采用，使用成本大大降低；同时，云抗DDoS能够处理的攻击流量也远大于传统抗DDoS设备。 使用建议：如果用户对企业网站提供的业务有较高的可用性要求，或者企业面临较强的竞争，应考虑使用云抗DDoS服务。除了IaaS厂商提供的免费服务，企业购买云抗DDoS服务时需要平衡DDoS攻击可能造成的损失和云抗DDoS的成本。

除了使用云上的虚拟硬件资源，越来越多的企业选择直接使用云应用替代本地应用软件或基于PaaS搭建内部应用。PaaS或SaaS服务模式下企业的安全责任范围较小，但由于是直接通过公共网络访问，且对应用软件、业务系统和基础设施都没有控制，企业需要利用新技术才能对用户和数据进行妥善保护和管理。

云应用识别 技术介绍：通过分析网络流量或防火墙和网络代理等的日志，能够识别用户所使用的各种云应用以及各应用可能存在的风险，帮助企业管理员充分认识存在的风险。云应用识别技术一般根据应用服务器地址、URL、HTTP请求参数和页面内容等特征判断所使用的云应用，同时根据应用是否接受信息提交、是否支持文件上传、提供商是否通过安全认证等等多种因素判定云应用的风险等级。 客户收益：云应用大都是Web应用，而传统防火墙或Web安全网关（上网行为管理）等安全设备通常都只关注网络和连接，不能对应用层进行深入分析和控制。同时，云应用已经在企业中广泛使用，但企业管理员还无法知道具体的使用情况和存在的风险，也无法进行充分的控制，即存在“影子IT”（Shadow IT）。云应用识别和管理技术主要作为Web访问安全代理（Cloud Access Security Broker，CASB）的重要功能，或作为附加模块集成到防火墙或Web安全网关，能够帮助企业管理员获知云应用的使用情况，以加强对用户使用云应用的管理。 使用建议：推荐企业关注具有云应用识别功能的产品。国内各个行业各种规模的企业中云应用的使用都已经非常普遍，但相关的安全问题还没有引起重视；尽管国内企业一般还没有使用云应用承载关键业务或用于处理核心数据，但由于员工已经在广泛使用各种云应用作为工具，很可能已经有不少企业遭受了损失但还未发觉。

云应用管理 技术介绍：对云应用的管理主要有两种实现方式：以代理方式充当用户与云应用通信的中间人或使用云应用提供的API。另外，除了简单的允许和阻止，对云应用的管理还包括对用户使用云应用时的环境、动作和对应用数据的操作等进行精确识别和管理。 客户收益：在识别云应用的基础上，根据业务需求和使用云应用所存在的风险，企业所使用的云应用可分为四类而分别进行管理：a)允许使用业务必需且风险较小的云应用，进行一般管理；b) 允许业务必需但风险较大的应用，对用户行为和数据处理进行严格管控；c)允许非业务必需且风险较小的应用，禁止有风险的操作；d)禁止非业务必需但风险较大的应用。 使用建议：企业在逐渐使用云应用承载核心业务和数据时，应该密切关注云应用管理技术和产品的进展，及时部署。同时，在选择云应用管理产品时，应该仔细了解产品对企业所使用和关注的核心应用的支持情况。

云防数据泄漏（DLP） 技术介绍：通过查找和匹配数据特征和文件指纹，云DLP帮助企业查找云应用中的违规数据，防止用户将敏感的企业数据上传到不安全的云应用或使用不安全的终端访问云应用中的企业数据。根据不同粒度的策略配置，云DLP可以拦阻用户动作、及时告警，或者在必要时对数据进行加密等等处理。 客户收益：云DLP在业务应用的执行逻辑之外从相对独立的数据维度加强了企业对数据的保护，帮助企业满足各种合规需求，防止企业的重要数据被泄漏或滥用。随着云应用在企业核心业务中的使用，云DLP的重要性在不断增强；同时，云DLP与企业本地部署的DLP集成能够显著提高数据识别和保护的效率，也有助于企业建立统一的数据保护机制。 使用建议：如果员工已经在使用云应用，可能导致数据泄漏或滥用，企业在加强对云应用的管理的同时，应该考虑使用云DLP；如果企业已经使用云应用处理关键业务并承载重要数据，应尽早部署云DLP。

云端数据加密 技术介绍：云端数据加密技术是指数据在提交到云应用提供商之前进行加密处理，确保云应用提供商或其他第三方在直接获得企业的云端数据时无法识别和解读。除了使用标准算法（通常以AES为主）对文件（非结构化数据）进行加密，云端数据加密还会使用如令牌化（Tokenization）等多种其他算法对结构化数据进行处理以满足不同场景需求，如保留数据格式、搜索、索引等等。 客户收益：云端数据加密主要用于帮助企业在不充分信任云应用提供商时使用其提供的云应用，打消企业在使用云应用时对数据安全的顾虑。同时，由于各种法律法规要求，特定数据被限定在企业内部使用和存储，如果企业对云应用的使用涉及这类数据，则必须对数据加密才能满足合规需求。 使用建议：如果对云应用提供商保护企业数据的能力或意愿有怀疑，企业应该购买云端数据加密产品或服务，同时注意明确提供云应用提供商和云数据加密提供商对保护企业数据的义务和责任。另一方面，如果企业在使用云应用时有相关合规需求，则需要在确认云端数据加密方案满足要求后才能使用云应用。

在私有云环境下，企业内部的网络结构和应用在逻辑上并没有实质性的变动，但虚拟化的引入使底层硬件设备与软件应用分离。同时，SDN（Software Defined Network，软件定义网络）以及进一步的HCI（hyper-converged infrastructure，超融合基础设施）使私有云的底层硬件（基础设施）具有更大的灵活性。企业对私有云能够实现从物理硬件到业务数据的全部控制，因此也需要对各方面的安全负责。

私有云的安全体系结构与传统IT类似，具体方案和措施可以参考微软发布的《A Solution for Private Cloud Security》系列文档。特别的，尽管安全应该与业务环境和流程紧密结合，但在传统IT架构下，由于历史原因安全常常被简化为各种由独立的设备提供特定的功能，而企业在迁移到私有云的过程中将有机会重新设计和构建整个安全体系。从私有云方案的初始设计阶段就考虑相关安全功能及实现，提高企业整体的安全能力和效率。

除了本章前述IaaS相关的安全技术可应用于私有云外，传统的网络安全相关的技术如防火墙和IPS等对于私有云的安全也非常必要。需要注意的是，私有云内部的流量发生在虚拟机之间，网络流量可能只限于在同一台物理服务器内部，跨物理服务器的网络流量也都使用相关隧道技术而与第三方隔离，独立的传统安全设备很难适应需求。另一方面，私有云内部的资源分配和网络构成经常发生变化，也要求安全功能相应快速变化：调整配置、改变功能、甚至重新部署。

因此，与传统IT环境相比，私有云安全也相应“云化”：

在软件开发中，通过调用各种库函数，工程师能够专注于实现核心业务，而不用去重复开发已经非常成熟的功能模块，更重要的是，不需要深入了解被调用函数的具体实现方式和相关专业知识。类似的，企业可以选择集成以云服务方式提供的安全功能和产品，解决业务中的各种安全挑战。

内容过滤 技术介绍：CSP将内容过滤功能通过网络提供给企业用户；企业用户使用指定网络接口地址提交可疑的文字、图片和视频等内容，并及时获得扫描结果，以识别可疑内容是否涉及暴恐、色情、政治或广告等，从而及时过滤、清理有害内容。 客户收益：作为云服务的内容过滤一般由大型网站基于自身业务的需求和积累提供，在内容识别的性能和准确性上都高于企业自行搭建的检测系统。同时，通过网络接口调用具有很强的通用性，易于集成。 使用建议：如果企业有面向公众的网站等平台，特别是如果允许自由提交文字、图片或视频等内容，应及时采用云内容过滤方案，既能提高过滤效率，也能有效降低对人工审核的需求，从而降低企业的运营风险。

用户验证 技术介绍：CSP 对企业开放API，基于网络提供用户验证服务；企业使用CSP提供的API将验证服务集成到业务流程中。在用户访问时，企业通过API提交用户的相关信息，CSP实时给出反馈，帮助企业确认用户的真实性和可信度。常见的用户验证服务包括验证码和登陆保护等。 客户收益：随着网络环境的复杂化，简单的用户名和密码验证已经难以应对网络黑产对用户的威胁，而一般企业缺乏足够的技术积累和经验，必须借助专业厂商才能提供较好的保护。使用API通过网络调用的方式在操作上难度较小，易于集成和应用。 使用建议：如果企业开发或提供的业务带有相应的用户模块，且提供公开访问入口，应当考虑集成第三方提供的用户保护服务，降低用户风险。

反行为欺诈 技术介绍：CSP基于网络提供用户行为审核服务，并对企业开放API；企业使用CSP提供的API将用户行为审核集成到业务流程中。在用户提交业务请求时，企业根据审核结果对用户的当前请求作出回应，并可以根据审核提供的信息和用户的历史行为决定是否进行封禁用户账号等操作。 客户收益：基于互联网开展的业务难以实现传统的审核和风险控制，基于行为欺诈的各种黑色和灰色产业已经形成了很大规模，一般企业很难凭借自身能力应对。以云服务方式提供的反行为欺诈服务能够帮助企业有效减少损失，提高运营效率。常见的反行为欺诈应用包括反刷单、防范羊毛党、骗贷等。 使用建议：企业基于网络提供业务时应该密切注意对欺诈行为的防范。如果有电商相关业务，应考虑使用市场上已有的反行为欺诈产品；同时，保持对其他反行为欺诈技术和市场的关注，及时跟进。

用户身份识别和管理（Identity-as-a-Service，IDaaS） 技术介绍：IDaaS也即IAM（Identity and Access Management，身份和访问管理）-as-a-Service，是指以云服务的方式提供对用户身份的管理，并与不同应用集成以管理用户的登录和访问，通常也支持单点登录（Single Sign-on，SSO）。在技术实现上，OAuth 2.0和OIDC（OpenID Connect）逐渐成为主流标准，部分应用还支持SAML（Security Assertion Markup Language，安全声明标记语言）2.0或MS-Federation。 客户收益：随着企业内部应用越来越多，对用户身份的管理和登录控制成为迫切的需求；同时，传统IAM方案往往局限于特定的企业内网环境，难以同时支持传统内网应用和新兴的SaaS应用，也不能适应用户使用多种终端特别是移动客户端的场景。IDaaS能够提供一个开放的应用框架，帮助企业管理各种不同应用，并支持移动终端。 使用建议：企业选用SaaS应用时应注意了解对OIDC或SAML集成的支持情况和计划，并在有SSO需求时考虑采用IDaaS产品，并注意IDaaS产品对企业内其他应用的支持情况。

密钥管理（KMaaS，Key Management-as-a-Service） 技术介绍：CSP为企业生成主密钥并代为存储和保存，企业在任何情况下都不能直接获得主密钥，而只能通过CSP提供的API使用密钥ID进行加解密处理：加密时，企业调用CSP提供的API并提供主密钥ID和数据明文，CSP返回密文；解密时，企业提供主密钥ID和数据密文，CSP返回明文。 客户收益： 密钥管理是加解密机制的核心，以云服务方式提供的密钥管理可以帮助企业避免复杂的密钥管理流程和高昂的使用及维护成本，并能够提供详细的密钥使用记录以便于审计。通常CSP只支持对少量数据（