您的威胁模型专注于外部各方的入侵。但威胁远不止于此。

低级硬件备份、VM 快照和废弃硬件都可以包含数据。而且由于这些事情往往被认为具有较低的风险，因此它们经常被错误地处理。因此，这不是“不可能完成的任务”式的威胁。这是“呃，驱动器是旧的，只是折腾它”的威胁风格，这就是问题所在。即使对于大型云提供商。

而且，正如您所说，实施静态加密既便宜又容易，因此不实施它本身就是令人担忧和后续问题的原因。

人为因素问题，如密码策略和安全编码实践，也非常重要，但难以保证、确保和保持一致。因此，无论总体优先级如何，技术控制往往是重点。

这并不是要挑战静态加密的价值，它的访问成本非常低，所以没有理由不启用它，但它在优先级方面处于什么位置？

当您使用较低层进行加密（例如磁盘）时，它很便宜。当您想通过应用程序本身加密静态数据（特别是对于多用户访问）时，它会变得昂贵（在架构和代码设计方面）。

较低级别的加密可以很好地防止物理盗窃和媒体处理不当，但从应用程序的角度来看，它访问的是明文数据。这些数据也可以以明文形式提供给云公司管理员（或不提供 - 这完全取决于存储服务的功能）

如果您有一个应用程序负责自己的加密并且根本不依赖云提供商，那么您可以选择更“敌对”的环境（您不确定管理操作是否可靠）。我对基于内存的攻击不够精通，不知道在那里完全保护凭证是否可行，但我想当每个人都反对你时，这是不可能的。

总而言之：您对加密的管理越多，您就越独立，并且只要加密正确 - 您的数据就越安全，可以防止直接窥探。

那么公有云提供商肯定会有类似的控制措施吗？

我最近正在与您提到的供应商之一进行讨论。对于“您会记录您的管理员对我们数据的访问权限”的问题吗？答案是“不”（加上很多关于他们如何在未经授权的情况下永远不会访问数据的闲聊 yada yada yada - 关键是他们不知道谁首先访问了什么）。

甚至不是日志可以被管理员操纵，或者提出了我们不知道的极端要求（基于必须对我们保密的政府要求）或其他类似情况——只是没有记录句号.