021-54410609
媒体上的最新消息已经引起业界专家的质疑,即对现有密码标准甚至某些生成密钥材料的方法可以信任多少?公司必须准备对安全格局中的此类变化迅速而有效地做出响应,否则,一旦发生违规,它们将冒名誉受损和巨额成本的风险。
要理解为什么这种准备工作具有挑战性,我们应该考虑在企业内部通常如何部署加密技术。
加密痛苦之路
每个新项目都将接受威胁分析和定制的安全设计,以应对风险。在许多情况下,购买了称为硬件安全模块(HSM)的加密资源,以保护加密密钥不被暴露。HSM的选择将由成本,熟悉程度和安全性要求共同决定。安全设计师根据公司政策或当时的最佳判断,选择密钥长度,算法和加密模式。在了解了所选品牌HSM的特性和接口之后,开发人员将编写符合安全性设计的软件,希望以后可以提供某种程度的灵活性,但不太可能。
这种传统的加密方法存在一些问题。首先是缺乏敏捷性和灵活性。想象一下,如果RSA损坏或SHA-256被认为太弱而无法进一步使用,将会发生什么情况-对每个项目及其加密技术的使用进行紧迫而艰苦的审查,然后进行漫长的开发工作,测试和部署。这不仅非常昂贵,而且在进行更改之前,业务将一直处于风险之中。快速解决该问题的压力将导致引入更多的错误,而加密的分布式性质将使某些事件没有被发现的可能性更大。
第二个问题是部署成本。在每个项目的基础上购买和维护HSM,并要求开发人员了解每种不同类型的HSM的特性,这是一种昂贵的操作方式。请记住,典型的部署将至少需要四台设备:两台用于生产,一台用于灾难恢复以及一台用于测试/开发。由于难以理解容量以及一旦部署系统后就不愿更改系统,尝试重用其他项目中的HSM可能会非常具有挑战性。
最后,当加密技术的使用分散在整个企业中时,证明符合标准的工作变得更加复杂。即使所有项目都源于公司范围的政策,在每个项目的基础上进行演示都是很耗时的。如果审核的任何部分失败,解决方案将是对每个受影响的系统进行一系列的点修复,然后再对解决方案进行繁琐的重新审核。
新的时机已经到来,为企业重新思考他们的使用加密技术,并开发出满足21世纪需求的新途径。
密码服务
如今,为每个项目购买新服务器并将其部署在自己的机架中似乎已经过时了。世界已经发生了变化-服务器现在占据了黑暗的数据中心,并且在虚拟环境管理器中单击几次鼠标即可将其分配给项目。但是由于某些原因,尽管每个项目都购买和部署HSM的费用很高,但很少有公司考虑密码术是否可以相同的方式运行。
如果所有HSM一起放在一个机架中,并在需要它们的所有项目之间共享,则效率会更高。当需求超出可用容量时,将购买HSM,并将其添加到服务器场中。通过利用HSM所有品牌支持的标准化接口,可以以与供应商无关的方式设计服务器场。想象一下在采购会议上解释这一点!没有什么能像宣布您不在乎使用哪个供应商那样降低成本的,因为您的解决方案对所有供应商都适用。
现在我们有了一个HSM服务器集群,也可以集中应用一些策略。如果将安全决策推到各个项目中,它们将变得脆弱,并且在危机中难以更改。相反,项目应表达“什么是他们想做的事”,而不是“他们为什么想这样做”。集中式策略可以指示当前认为哪种算法,密钥长度或操作模式对于任务足够安全。如果在特定算法中发现了弱点,则可以将其从批准的列表中删除,并且项目可以立即开始使用其后继者。
集中的策略更易于审核,这可以大大降低证明符合行业法规的成本。
通过重新考虑在企业内部部署加密的方式,可以降低成本和风险,同时提高应对危机的能力。企业领导者必须开始考虑将加密技术作为一个 战略问题,与其他基础架构组件一样,应进行尽可能多的预先计划。适应需求以及不断证明符合标准的压力,都是追求基于服务的密码部署的绝佳原因。为了降低与部署安全项目相关的成本和风险,企业必须将加密技术视为值得进行前期投资的战略问题。
揽阁信息可提供的部分安全产品和解决方案信息
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
-
数据库访问控制:揽阁LGPAC系统
-
通用HSM:Luna HSM、ProtectServer HSM
-
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!
联系我们
免费试用留言
客服电话