随着越来越多的组织采用数字化转型并加快数字化每条信息的步伐，它们变得越来越容易受到复杂的网络攻击和数据泄露的影响。

正如《2019年Thales数据威胁报告》所强调的那样，全球越来越多的组织正在将敏感数据用于云、虚拟化、大数据、物联网、区块链等数字化转型技术中，从而进一步增加了其遭受数据泄露的风险，在这些新技术环境中保护敏感数据成为一项复杂的任务。

到2023年，全球在数字化转型方面的支出预计将达到2.3万亿美元，除非组织做出明智的决定在组织级别实施具有凝聚力的数据保护策略，而避免传统的孤立方法，否则数据安全挑战将进一步上升。走向数据安全。

当涉及到最佳数据保护时，加密被广泛认为是保护数据免受网络攻击的最佳策略，因为任何加密的数据如果没有相应的解密密钥便会变得无用。保护敏感数据的最可靠方法是，首先确定其流向和驻留的位置（本地，云和虚拟环境，在文件服务器，应用程序，数据库和虚拟机以及流经的网络中），然后对其进行加密。简而言之，不管它的数据，静止或数据的运动，应考虑其状态的加密。

地面现实：充足的问题！

尽管大多数组织都承认加密是当今可用的最好的数据保护技术，但现实是许多组织拖延了数据加密，因为他们发现加密是一项复杂而艰巨的任务。

既有传统的内部应用程序又有新的数字化转换环境来保护，如今的组织发现自己陷入了由多种数据加密解决方案构成的多点生态系统的困境。每个解决方案都需要自己的合同，维护，基础设施，内部资源以及与其他企业工具的集成等，因此进一步增加了复杂性。

这种由多个孤岛加密的孤岛方法会导致大量问题，使整个加密过程变得复杂，低效且昂贵。

未来之路–选择正确的数据加密方法

具有多个要同时保护的环境，孤岛式方法使情况变得复杂而不是解决。为了打破这个难题，组织应该采取一种全面的方法来询问–我们旨在通过实施数据加密来减轻的各种风险是什么？

如何存储和使用数据：存在哪些风险以及如何缓解这些风险？

上表中要注意的一个相关点是，堆栈中的项目越低，它们提供的保护级别就越弱，但更易于实现。

从堆栈的底部开始，该堆栈通过全盘加密（FDE）涵盖了对物理设备的保护，该功能在存储设备发生物理丢失，被盗或处置不当时提供基本保护。充其量是最基本的方法，当打开物理设备时，FDE变得无用，因为没有防御机制来抵抗来自设备系统或应用程序内部的数据访问威胁。尽管FDE可能适用于笔记本电脑等单个设备，但它无法为组织的系统和网络基础结构提供全面的保护。从合规性的角度来看，除非对加密要求进行粗略的检查，否则FDE几乎无法提供防止数据泄露的保护。

当我们向上移动时，保护级别会随着每一层的提高而逐步增强，因为它提供了针对来自下一层以及其自身层的风险的保护。

堆栈的第二层覆盖系统级保护控件。这些保护机制使用文件夹加密（FFE），在系统级别上控制和管理访问，其中包括特权系统用户，例如系统管理员，存储管理员，网络管理员等，这些用户具有对相应系统所有数据的主访问权限。他们可以访问的。FFE方法最适合需要快速部署保护机制的组织。借助RESTful API，可以轻松地为每个系统自定义数据保护，并以完全自动化的方式快速部署。

在堆栈的第三层，我们遇到了App / Database Encryption，它通过允许开发人员保护数据不受应用程序和数据库以及系统和物理层的侵害，在其生成源本身对数据进行加密。为了保护数据库，建议使用透明数据加密（TDE）密钥管理解决方案来保护和管理主加密密钥，以防止数据库管理员滥用它。虽然应用程序/数据库加密提供了最高级别的保护，但它也是要实现的最复杂的数据保护机制之一。

最后，我们来谈谈Cloud Data Encryption。尽管云服务提供商（CSP）提供静态数据加密，但是Cloud Security Alliance定义的行业最佳实践建议，应从CSP系统和加密操作远程存储和管理加密密钥。云数据的加密密钥通常被称为“自带密钥”（BYOK），由客户自己控制和管理，从而使他们可以灵活地分离，创建，所有权和控制（包括撤销）加密密钥或用来创建租户的机密。为了在不断增长的多云环境中提供最佳的数据保护，全球领先的组织都使用Thales的BYOK解决方案 与Microsoft Azure，Amazon Web Services和Salesforce.com无缝集成。

尽管TDE密钥管理（用于数据库）和云加密解决方案提供了最佳级别的数据保护，但由于多种环境的泛滥，它们的实施非常复杂。拥有成千上万个数据库和数百个云应用程序，仅在整个生命周期内管理加密密钥就成为一项艰巨的任务。在这里，集中的，强大的密钥管理平台可在大型组织中有效地管理不断增长的异构加密环境中。

把它们加起来

《2019年Thales数据威胁报告》的主要发现之一是，没有任何组织可以幸免于数据安全威胁。随着网络攻击变得越来越复杂，加密敏感的静态数据并实施强大的访问控制机制必须成为任何组织成功的网络安全策略的基本组成部分。

但是，仅数据加密是不够的，因为密钥管理在最佳数据保护中起着同等重要的作用。组织应问自己以下相关问题：

• 我们的加密密钥存储在哪里？

• 谁控制他们？

• 他们是否可以与我们的第三方应用程序无缝协作？

• 这些密钥受信任吗？

• 他们会轻松通过审核吗？

Thales Cloud Protection＆Licensing提供了一个内聚的解决方案，可以解决所有这些问题。从咨询到部署apt加密解决方案，泰雷兹的广泛安全解决方案涵盖数据中心，WAN环境，公共，私有和混合云，大数据和其他数字化技术。通过Thales的单一平台，组织可以集中地无缝管理其整个数据安全环境。

无论数据在组织内的任何位置移动，引入的新安全性要求或组织中实施的新破坏性技术，Thales强大的数据安全平台都将以其固有的灵活性，可扩展性和高效性，共同促进集中控制和一致的数据安全策略。以满足现有和新的用例。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 保护云前沿：应对多云时代 SaaS 数据保护的复杂性

• Thales 2023年数据威胁报告：5G时代电信网络安全挑战加剧

• Thales 2023数据威胁报告：主权、转型和全球挑战

• 使用HSM巩固数字化转型的信任根密钥