发布日期:2024-12-21 浏览次数:
存储加密是指对传输中的数据和存储介质上的数据进行加密。数据在传输到存储设备(例如单个硬盘、磁带驱动器或包含它们的库和阵列)时会被加密。使用存储级加密以及数据库和文件加密可以大大降低丢失数据的风险。与网络加密一样,存储加密是一种相对钝化的手段,通常保护每个磁带或磁盘上的所有数据,无论数据的类型或敏感度如何。
存储加密是确保数据在丢失时安全的好方法。但是,在单个文件、卷或列级别对数据库中的数据进行加密被认为更安全。如果数据与其他用户共享或受特定审计要求的约束,这甚至可能是合规性的必要条件。
网络加密可保护在通信网络上传输的数据。SSL(安全套接字层)标准(浏览器中挂锁符号背后的技术,更恰当的说法是传输层安全性 [TLS])是互联网通信的默认网络数据保护形式,它通过其熟悉的图标让客户高枕无忧。许多注重安全的公司更进一步,不仅保护其互联网流量,还通过网络级加密保护其内部网络、企业骨干网络和虚拟专用网络 (VPN)。
然而,与任何低级安全技术一样,网络级数据加密是一种相当迟钝的工具。网络几乎完全不知道流经其的数据的价值,缺乏这种背景信息,网络通常配置为要么保护一切,要么什么也不保护。即使采取“保护一切”的方法,潜在的攻击者也可以从网络流量模式中收集有价值的信息。
在网络上传输数据时对其进行加密只是全面网络数据加密策略的一部分。组织还必须考虑信息在来源地(在传输之前)和最终目的地的风险。在停车场或私人车库偷车比在高速公路上高速行驶时偷车容易得多!
虽然“透明”的含义可能因提供商而异,但 CipherTrust 透明加密提供持续的文件级加密,可防止物理、虚拟和云环境中的用户和流程未经授权的访问。该实施对您的应用程序/数据库和存储来说是无缝且透明的,因此它可以在整个企业环境中工作,即使在部署和推出期间,业务和运营流程也能保持正常运行而无需更改。
CipherTrust Transparent Encryption(透明加密)是Thales的产品。您可以联系揽阁信息进行购买。
遵守合规性要求
加密是几乎所有合规性和数据隐私标准和要求的推荐最佳实践,包括 PCI DSS、HIPAA/Hitech、GDPR 等。
在端到端加密中,数据在其整个生命周期中无论去往何处都默认受到保护。敏感数据在被捕获的那一刻就被加密,例如在零售店的销售点 (POS) 设备中,并且在系统和安全域之间移动时保持加密或重新加密。这种将加密作为始终伴随数据对象(文件、文档、记录等)的数据“保镖”的概念很有吸引力,但在密钥管理方面,它引发了关于在不同域之间建立信任关系和互操作性的问题。
点对点加密 (P2PE) 是由支付卡行业安全标准委员会制定的加密标准。该标准规定,持卡人信息在商家的销售点终端上使用卡后立即加密,直到支付处理器处理完毕后才解密。如果正确实施 P2PE 流程,帐户数据在经批准的安全加密设备 (SCD)(如 POS 终端)内加密,并且在商家环境中完全不解密,则商家有可能几乎完全不受 PCI DSS 的约束。
为了使 P2PE 发挥预期作用,必须对解密密钥的保护和访问实施严格的控制。当前的指导方针要求使用具有适当安全等级的硬件安全模块 (HSM) 来保护对这些密钥的访问。收单机构和支付链中的其他参与者已经开始推广利用 P2PE 的增值服务,以降低商家的合规成本。从 PCI DSS 的角度来看,任何能够解密帐户数据的系统都会立即进入范围,因此通过保护 HSM 中的密钥来保护商家的能力可以为所有相关方带来巨大好处。
应用程序层加密是一种数据安全解决方案,可加密通过应用程序的几乎所有类型的数据。当加密发生在此级别时,数据会在多个层(包括磁盘、文件和数据库)上进行加密。这种应用程序层加密方法通过减少潜在攻击媒介的数量来提高安全性。应用程序加密的另一个优点是,由于它在应用程序层加密特定字段,因此组织可以在将敏感数据存储在数据库、大数据或云环境中之前保护它们。
标记化通过替换非敏感数据来保护敏感数据。标记化会创建一种无法识别的标记化数据形式,同时保持源数据的格式。例如,信用卡号 (1234-5678-1234-5678) 在标记化后 (2754-7529-6654-1987) 看起来与原始号码相似,并且可以用于许多需要该格式数据的操作,而不会有将其与持卡人的个人信息联系起来的风险。标记化数据还可以以与原始数据相同的大小和格式存储。因此,存储标记化数据不需要更改数据库架构或流程。
数据标记化使您在迁移到云、大数据和外包环境时能够保持控制和合规性。
如果存储的数据类型不具有这种结构(例如文本文件、PDF、MP3 等),则标记化不是一种合适的假名化形式。相反,文件系统级加密才是合适的。它会将原始数据块更改为数据的加密版本。
动态数据屏蔽是一种通过动态屏蔽数据字段的部分内容来保护数据的技术。例如,安全团队可以制定策略,以便拥有客户服务代表凭证的用户只能收到最后四位数字可见的信用卡号,而客户服务主管可以以明文形式访问完整的信用卡号。此功能使动态屏蔽标记化对于 PCI DSS 合规性特别有用。
当数据聚集在一个地方时,它被称为静态数据。对于黑客来说,这些静态数据(数据库、文件系统、大数据湖、云和存储基础设施中的数据)可能比通过网络的单个数据包更具吸引力。这些环境中的静态数据往往具有逻辑结构、有意义的文件名或其他线索,这些线索表明这个位置是“金钱”所在的地方——即信用卡、知识产权、个人信息、医疗保健信息、财务信息等。
当然,即使是“静止”的数据实际上也会移动。出于各种操作原因,数据在虚拟化存储环境中被复制和操作,并经常“停留”在便携式媒体上。备份磁带被转移到异地存储设施,笔记本电脑被带回家或出差,所有这些都增加了风险。
静态敏感数据的泄露通常会导致强制公开披露泄露情况、销售额和股价下降,以及组织声誉严重受损。
政府法规和行业协会通常要求保护个人身份信息 (PII)、受保护的健康信息 (PHI) 和财务信息,包括信用卡和金融账户号码;通过假名化(pseudonymization)技术(例如加密或标记化)并通过用户访问管理严格控制对数据的访问。这些技术也适用于保护组织因自身原因不愿共享的数据,例如知识产权 (IP)。
在大多数法规中,如果一个组织的数据被泄露,但数据是加密的,而且加密密钥没有随数据一起被盗,那么该组织不必报告泄露事件,因为这些数据对于窃取它的人来说是无法破译和无用的,并且不会对与数据相关的人造成任何伤害。
全盘加密 (FDE) 和自加密驱动器 (SED) 在将数据写入磁盘时对其进行加密,在从磁盘读取数据时对其进行解密。FDE 适用于笔记本电脑,因为笔记本电脑极易丢失或被盗。但 FDE 并不适合数据中心和云环境中面临的最常见风险。
FDE/SED 的优点包括:
部署加密的最简单方法
对应用程序、数据库和用户透明。
高性能、基于硬件的加密
全盘加密/自加密驱动器 (FDE/SED) 的局限性包括:
解决非常有限的威胁(仅防止存储介质的物理丢失)
缺乏针对高级持续性威胁 (APT)、恶意内部人员或外部攻击者的防护措施
满足最低合规性要求
不提供细粒度的访问审计日志
第 2 层是开放系统互连 (OSI) 模型指定的数据链路层,该模型对全球电信和计算系统的功能进行了标准化。第 2 层加密可在数据链路层保护在网络内两点之间传输的信息。
未加密网络数据的挑战
网络犯罪分子可以“窃听”网络上传输的未加密数据。这会危及隐私,并使这些犯罪分子能够修改或替换数据以发起更复杂的攻击。
许多行业法规要求对移动数据进行保护,不实施此保护的组织将面临罚款和被要求披露数据泄露的风险。
根据应用程序的不同,路由器和交换机中嵌入的加密功能可能无法提供企业所需的安全性和性能的组合。
第 2 层加密的优点
第 2 层加密可保护传输中的数据,因此在传输线路不安全时非常有用。但是,由于消息在传输路径上的每台主机上都会解密,因此第 2 层加密最适合每台传输主机都安全的系统。
揽阁信息拥有20年的信息安全行业经验,可为您提供定制化的安全解决方案,欢迎联系我们获取更多专业支持。
揽阁信息 · 值得您信赖的信息安全顾问!
服务热线
