靜態(tài)加密是網(wǎng)絡安全的重要組成部分,可確保存儲的數(shù)據(jù)不會成為黑客的輕松目標。隨著網(wǎng)絡犯罪分子繼續(xù)開發(fā)更復雜的方法來獲取和竊取業(yè)務信息,加密靜態(tài)數(shù)據(jù)已成為任何具有安全意識的組織的強制性措施。本文介紹靜態(tài)數(shù)據(jù)加密。繼續(xù)閱讀以了解加密靜態(tài)數(shù)據(jù)的重要性,并了解公司依靠哪些實踐來保證存儲資產(chǎn)的安全。
什么是靜態(tài)數(shù)據(jù)?
靜態(tài)數(shù)據(jù)是指以任何數(shù)字形式存在于計算機存儲中的數(shù)據(jù)。此數(shù)據(jù)類型當前處于非活動狀態(tài),并且不會在設備或兩個網(wǎng)絡點之間移動。沒有應用程序、服務、工具、第三方或員工正在積極使用此類信息。
靜止不是永久的數(shù)據(jù)狀態(tài)。一旦有人請求文件,該數(shù)據(jù)就會通過網(wǎng)絡移動并成為傳輸中的數(shù)據(jù)。一旦某人(或某物)開始處理文件,數(shù)據(jù)就會進入使用狀態(tài)。靜態(tài)數(shù)據(jù)包括結構化和非結構化數(shù)據(jù)。公司可以在哪里存儲靜態(tài)數(shù)據(jù)的一些示例是:
- PC 和筆記本電腦上的硬盤和 SSD 驅動器。
- 數(shù)據(jù)庫服務器。
- 云。
- 在第三方托管設施中。
- 邊緣設備和便攜式存儲(手機、USB、平板電腦、便攜式硬盤等)。
- 網(wǎng)絡附加存儲 (NAS)。
靜態(tài)數(shù)據(jù)是黑客的首選目標。與通過網(wǎng)絡移動的單個動態(tài)數(shù)據(jù)包不同,靜態(tài)數(shù)據(jù)存儲通常具有邏輯結構和有意義的文件名。靜態(tài)數(shù)據(jù)通常還包含公司最有價值和最私密的信息,例如:
- 財務文件(過去的交易、銀行賬戶、信用卡號碼等)。
- 知識產(chǎn)權(產(chǎn)品信息、商業(yè)計劃、原理圖、代碼等)。
- 聯(lián)系人。
- 營銷數(shù)據(jù)(用戶交互、策略、方向、潛在客戶等)。
- 員工和客戶的個人信息。
- 醫(yī)療保健數(shù)據(jù)。
- 合同。
- 供應鏈信息。
雖然靜態(tài)數(shù)據(jù)是靜態(tài)的,但這種類型的數(shù)據(jù)實際上是“移動”的。公司經(jīng)常在虛擬化環(huán)境中復制靜態(tài)文件,將驅動器備份到異地設施,允許員工將筆記本電腦帶回家,通過便攜式設備共享數(shù)據(jù)等。為了維護靜態(tài)數(shù)據(jù)的隱私和安全,公司應該依賴數(shù)據(jù)加密。加密是將一段數(shù)據(jù)翻譯成未經(jīng)授權的人(或系統(tǒng))無法破譯的看似無意義的文本的過程。
什么是靜態(tài)數(shù)據(jù)加密?
靜態(tài)數(shù)據(jù)加密是一種對存儲數(shù)據(jù)進行加密以防止未經(jīng)授權訪問的網(wǎng)絡安全實踐。加密將數(shù)據(jù)打亂成密文,而將文件恢復到初始狀態(tài)的唯一方法是使用解密密鑰。如果未經(jīng)授權的人訪問加密數(shù)據(jù)但沒有解密密鑰,則入侵者必須破壞加密以解密數(shù)據(jù)。與訪問硬盤驅動器上的未加密數(shù)據(jù)相比,此過程要復雜得多且消耗資源要多得多。加密靜態(tài)數(shù)據(jù)對于數(shù)據(jù)保護至關重要,這種做法可以降低在以下情況下數(shù)據(jù)丟失或被盜的可能性:
- 數(shù)據(jù)泄露。
- 丟失或被盜的設備。
- 無意的密碼共享。
- 意外的許可授予。
- 數(shù)據(jù)泄露。
在大多數(shù)情況下,靜態(tài)加密依賴于對稱加密。同一個密鑰對數(shù)據(jù)進行加密和解密,這與非對稱加密不同,在非對稱加密中,一個密鑰擾亂數(shù)據(jù)(公鑰),另一個解密文件(私鑰)。當速度和響應能力是首要任務時,安全團隊通常會選擇對稱加密,這通常是靜態(tài)數(shù)據(jù)的情況。
不幸的是,數(shù)據(jù)加密不僅僅是一種防御策略。犯罪分子使用密碼學來發(fā)動勒索軟件攻擊,這是一種危險的網(wǎng)絡攻擊,會加密業(yè)務數(shù)據(jù)并迫使公司為解密密鑰支付贖金。即使有強大的響應計劃,勒索軟件攻擊也經(jīng)常導致永久性數(shù)據(jù)丟失,這就是為什么許多組織在勒索軟件預防策略上投入巨資的原因。
靜態(tài)加密與傳輸中的加密
雖然靜態(tài)加密和傳輸中的加密都依賴于密碼學來保證數(shù)據(jù)的安全,但這兩個過程有很大的不同。下表概述了主要區(qū)別:
| 比較點 | 靜態(tài)加密 | 傳輸中的加密 |
|---|---|---|
| 主要目的 | 保護存儲的靜態(tài)數(shù)據(jù)。 | 保護從一個位置移動到另一個位置的數(shù)據(jù)(例如通過 Internet、通過專用網(wǎng)絡或在服務之間)。 |
| 密碼學類型 | 通常依靠對稱密鑰來確保數(shù)據(jù)存儲保持可接受的速度。 | 通常使用非對稱密鑰對動態(tài)數(shù)據(jù)進行額外保護。 |
| 主要漏洞 | 數(shù)據(jù)存儲包含比單個傳輸中數(shù)據(jù)包更有價值的信息,使這些文件成為黑客的目標。 | 傳輸中的文件比靜態(tài)數(shù)據(jù)更容易受到攻擊,因為在通過 Internet 發(fā)送消息時無法可靠地防止竊聽。 |
| 這個怎么運作? | 保持數(shù)據(jù)加密,直到一個人(或系統(tǒng))提供訪問數(shù)據(jù)所需的解密密鑰。 | 在傳輸之前加密消息并在到達目的地時解密它們。 |
這兩種加密類型并不相互排斥。理想情況下,公司應該依靠靜態(tài)和傳輸中的加密來保證業(yè)務數(shù)據(jù)的安全。
靜態(tài)數(shù)據(jù)加密類型
公司可以在四個不同級別部署靜態(tài)數(shù)據(jù)加密:
- 應用程序級加密:修改或生成數(shù)據(jù)的應用程序也在客戶端工作站或服務器主機上執(zhí)行加密。這種類型的加密非常適合根據(jù)角色和權限為每個用戶自定義加密過程。
- 數(shù)據(jù)庫加密:安全團隊加密整個數(shù)據(jù)庫(或其部分)以保證文件安全。
- 文件系統(tǒng)加密:這種類型的加密使管理員能夠僅加密選定的文件系統(tǒng)(或文件系統(tǒng)中的文件夾)。任何人都可以使用此加密啟動設備,但訪問受保護的文件系統(tǒng)需要密碼。
- 全盤加密:這種安全策略將整個硬盤驅動器上的數(shù)據(jù)轉換為無意義的形式。啟動設備的唯一方法是提供密碼。
全盤加密是保護設備上數(shù)據(jù)的最安全形式。但是,您只能在新磁盤上使用這種類型的加密,因為加密現(xiàn)有磁盤會在此過程中清除設備。
靜態(tài)加密的重要性
如果沒有靜態(tài)加密,任何全面的數(shù)據(jù)保護策略都是不完整的。公司應該通過加密來保護有價值的靜態(tài)數(shù)據(jù),因為這個過程:
- 阻止對關鍵數(shù)據(jù)的未經(jīng)授權的訪問,無論是來自組織內(nèi)部還是外部。
- 防止入侵者輕松識別、解釋和竊取有價值的數(shù)據(jù)。
- 在成功攻擊的情況下限制爆炸半徑。
- 在有人偷竊或丟失存儲設備時保護組織。
- 防止數(shù)據(jù)泄露后的勒索企圖。
加密靜態(tài)數(shù)據(jù)也有助于遵守法規(guī)要求。很好的例子是支付卡行業(yè)數(shù)據(jù)安全標準 (?PCI?) 或健康保險流通與責任法案 (?HIPAA?),這兩項法規(guī)需要健全的靜態(tài)加密。雖然GDPR 和 CCPA不是必需的,但靜態(tài)加密也有助于確保客戶數(shù)據(jù)的隱私。
靜態(tài)數(shù)據(jù)加密最佳實踐
以下是組織在規(guī)劃、實施和管理其靜態(tài)加密策略時應遵循的最佳實踐列表。
映射和分類有價值的數(shù)據(jù)
在部署靜態(tài)加密(或任何其他類型的安全策略)之前,您應該首先映射您最敏感的公司和客戶數(shù)據(jù)。數(shù)據(jù)分類因企業(yè)而異,但一個很好的起點是確定:
- 您擁有的每條數(shù)據(jù)的重要性。
- 您的組織保留的數(shù)據(jù)類型。
- 存放有價值數(shù)據(jù)的數(shù)字位置。
- 所有存儲設備的物理位置。
- 有權訪問敏感數(shù)據(jù)的所有人員、應用程序和系統(tǒng)。
這種分析有助于評估哪些數(shù)據(jù)需要加密,哪些文件不需要如此高的保護級別。有了這些信息,您就可以開始規(guī)劃您的加密策略,并將努力與您的業(yè)務的獨特需求和用例保持一致。
數(shù)據(jù)分類是一個動態(tài)過程,不會在第一次評估后結束。公司應不斷重新評估數(shù)據(jù)的敏感度級別,并相應地重新調(diào)整其加密策略。
強大的密鑰管理
加密策略僅與您的密鑰管理一樣可靠和安全。在密鑰的整個生命周期(創(chuàng)建、存儲、使用、管理和刪除)中保持密鑰安全至關重要,這就是為什么您應該實施以下密鑰管理最佳實踐:
- 切勿將加密數(shù)據(jù)與相應的解密密鑰存儲在同一存儲中。
- 依賴于不同系統(tǒng)和子系統(tǒng)的各種密鑰。
- 定期更新密鑰。
- 不要依賴以前使用的密鑰。
- 使用零信任安全性來保證密鑰的安全。
- 將密鑰存儲在 HSM(硬件安全模塊)上。
- 切勿對密鑰進行硬編碼。
- 擁有可靠的密鑰備份和恢復協(xié)議。
- 集中加密密鑰管理,使操作更加有效、安全和可見。
設置機密計算
如果您的組織依賴云服務并希望通過加密保護數(shù)據(jù),您應該考慮機密計算。這種新的云安全模型通過數(shù)據(jù)在用保護擴展了靜態(tài)和傳輸中的加密,確保了端到端的數(shù)據(jù)安全。
通過在處理過程中加密工作負載,機密計算甚至進一步降低了泄露或泄漏的風險。該策略的一些主要好處包括:
- 整個數(shù)據(jù)生命周期的加密。
- 減少攻擊面。
- 將外部和內(nèi)部威脅的風險降至最低。
- 更好的環(huán)境控制和更高的透明度。
- 提高了多云設置的安全性。
牢記速度
加密組織中的每條數(shù)據(jù)并不是一個好的解決方案。解密數(shù)據(jù)是一個比訪問純文本數(shù)據(jù)花費更多時間的過程。過多的加密會:
- 放慢操作。
- 影響應用程序性能。
- 使日常任務過于復雜。
- 嚴重影響業(yè)務可擴展性和團隊敏捷性。
限制您加密的數(shù)據(jù)量以避免性能問題。例如,如果數(shù)據(jù)庫包含敏感數(shù)據(jù)和非關鍵文件,您可以使用選擇性加密數(shù)據(jù)庫字段(或行或列)而不是加密所有數(shù)據(jù)。同樣,您應該對密鑰大小敏感,因為大密鑰可能會導致問題。例如,如果您使用 AES 對稱加密,則不需要對所有數(shù)據(jù)使用頂級 AES 256 加密。相反,您可以戰(zhàn)略性地使用更快的 128 位和 192 位 AES 來保護不太敏感但仍然有價值的信息。
使用全盤加密保護設備
雖然應用程序、文件和數(shù)據(jù)庫級別的加密各有所用,但最安全的做法是依賴全盤加密。全盤加密是最安全的策略,因為即使有人竊取或丟失了包含敏感信息的設備,它也能保護數(shù)據(jù)。如果您的公司依賴BYOD(自帶設備)策略,則對全盤加密的需求變得更加重要。
不要忽視基礎設施安全
靜態(tài)數(shù)據(jù)加密僅與支持該過程的基礎設施一樣安全。確保團隊運行所有相關的正確補丁:
- 服務器。
- 網(wǎng)絡服務(IP 尋址、衛(wèi)星、DSL、無線協(xié)議等)。
- 操作系統(tǒng)。
- 網(wǎng)絡軟件(本地和云端)。
- 網(wǎng)絡安全應用程序。
- 防火墻。
任何全面的網(wǎng)絡安全戰(zhàn)略的必備條件
通過正確的策略和健全的密鑰管理,公司可以使用靜態(tài)數(shù)據(jù)加密來降低數(shù)據(jù)泄露以及所有相關罰款和收入損失的可能性。除了傳輸中和使用中的加密,靜態(tài)數(shù)據(jù)加密應該是您的網(wǎng)絡安全策略的基石。
文章鏈接: http://m.qzkangyuan.com/4496.html
文章版權:夢飛科技所發(fā)布的內(nèi)容,部分為原創(chuàng)文章,轉載請注明來源,網(wǎng)絡轉載文章如有侵權請聯(lián)系我們!
