網絡功能虛擬化(NFV)時代的一個主要干擾因素是電信云服務的擴展。 基于云的服務提供了巨大的好處，如可伸縮性、成本性能、中心和易于管理。 然而，這些服務是使用共享資源的集中信息存儲庫，這使得它們成為攻擊者的主要目標。

這些共享資源包括計算或云存儲服務器，單個服務器中的漏洞可能導致完整的信息泄漏和妥協。 因此，安全行業專家正在探索防火墻和加密等技術，以保護云服務和平臺。 隨著越來越多的電信云服務實現這些技術，了解當前的選項是很重要的。

加密使用密碼密鑰將明文（也稱為人類可讀數據）轉換為不可讀文本。 同樣，加密數據的解密需要一個各自的密碼密鑰將其轉換為其原始形式。 數據加密保證了數據的安全性和完整性.. 沒有密鑰，數據不能被攻擊者或未經授權的用戶解密，除非密鑰已經被破壞。 加密可以應用于兩種類型的數據：在運輸中和在休息時。

過境數據包括跨越互聯網和系統接口的數據，這些數據可以是系統外部的，也可以是服務器和軟件應用程序編程接口(API)之間的內部數據。 它可以使用HTTPS、TLS、IPSec等加密，這對于防止未經授權的用戶攔截至關重要。

數據在REST也意味著數據在存儲，包括存儲節點和可移動存儲介質。 數據在REST加密可以應用到特定的數據文件或所有存儲的數據.. 端到端加密是對數據進行加密的一種手段，因此它只能在端點處解密。 在傳輸過程中通過加密數據對云服務進行接口，可以消除服務器訪問的可能性，而不需要適當的密鑰-只有發送方和接收方可以通過這些接口解密消息。

加密也可以應用于云系統，以啟用授權用戶訪問，以及用于外部接口上的系統訪問，并保護存儲在云系統上的敏感數據。 沒有密碼密鑰，丟失或被盜數據無法訪問。

加密的服務器數據也使攻擊者在休息時訪問數據的機會最小化。 即使他們訪問了加密的服務器數據，攻擊者也無法“讀取”數據或破壞它，而沒有密鑰來解密它。 因此，在靜止狀態下加密數據是穩健云數據安全的關鍵要素。

一種專門設計用于保護密碼密鑰生命周期的專用密碼處理器，硬件安全模塊(HSM)保護和管理數字密鑰以進行強身份驗證，并提供密碼處理。

傳統上，HSMS要么是插件卡，要么是連接到計算機或網絡服務器的外部設備。 由于這些模塊通常是關鍵任務信息技術基礎設施的一部分，它們通常是為高可用性而分組的，包括雙電源模塊。

云運營商在HSM中保留其主要的項目秘密密鑰，稱為密鑰加密密鑰(KE K)，使用PKCS#11協議通過密碼插件與Barbican進行交互。 一個用于確保存儲、供應和管理秘密的RESTAPI，Barbican是一個Open Stack項目，使用戶能夠構建安全的、云準備的密鑰管理系統。

這些系統允許管理敏感信息，如對稱和非對稱密鑰以及原始秘密。 在HSM中，秘密被加密，然后在檢索時由特定于項目的KEK解密。 例如，HSM將每個服務生成一個加密密鑰來加密存儲卷。

另一個Open Stack項目是Keystone，它提供集中式API客戶端身份驗證、服務發現和分布式多租戶授權。 keystone在訪問任何其他服務之前首先對用戶進行身份驗證。 它還可以使用外部身份驗證系統，如LDAP或TACACS。 一旦成功認證，用戶將獲得包含在服務請求中的臨時令牌。 用戶接收服務訪問當且僅當令牌被驗證并且如果用戶有適當的角色..

首先，Barbican驗證keystone身份驗證令牌以識別用戶和項目訪問或存儲秘密。 然后，它應用策略來確定是否授權訪問。

巴比康用唯一的超鏈接取代敏感信息，如數據庫密碼，這些超鏈接被安全地存儲起來，以便以后檢索。 它用HSMS等專用加密設備加密敏感數據，以提供更高的安全性。

如前所述，密碼插件用于通過PKCS#11協議與HSM通信。 此協議指定一個API，稱為“Cryptoki”，用于攜帶密碼信息并執行技術無關的密碼功能的設備。

基于虛擬機(VM)或容器的云系統使用體積存儲。 因此，卷加密對于確保VM數據和物理存儲介質不被攻擊者竊取、泄露和訪問至關重要。 非加密的VM數據會有攻擊者闖入容量托管平臺并訪問許多不同VM的數據的風險。

加密卷功能的目標是在VM數據寫入卷/存儲（傳輸中的數據)之前對其進行加密，從而在存儲設備上駐留時保持數據保護(數據處于靜止狀態）。

隨著telco云N FV服務的持續增長，數據泄漏的可能性增加，因此需要關注和適當的解決方案.. 加密內部和外部接口、數據和卷、動態密鑰管理等是降低數據泄漏和信息竊聽風險的關鍵步驟。