发布日期:2025-03-25 浏览次数:
全球范围内的数据隐私法规正在收紧,要求组织加强对云中敏感数据处理和存储的安全态势。对于银行、金融服务和保险 (BFSI) 客户来说,这一点尤其重要,因为他们继续将关键工作负载迁移到 AWS,并且必须遵守支付卡行业数据安全标准 (PCI-DSS)等严格标准。
在可用的安全控制措施中,标记化(Tokenization/令牌化)是一种安全技术,它用加密生成的非敏感标识符(称为令牌)取代敏感的支付信息(例如持卡人数据 (CHD))。每个令牌在数学上与原始数据无关,但保留其格式,使其既安全又可用。这种方法减少了组织系统中的敏感数据量,从而减少了 PCI DSS 审计范围内的系统数量并节省了与合规性相关的成本。
实施标记化的组织面临着影响其安全态势和运营效率的架构决策。他们认为标记化不是孤立的,而是其安全和合规框架不可或缺的一部分。这种观点在数据保护和业务敏捷性之间建立了平衡——解决敏感数据如何在系统中流动,同时保持运营连续性。
现代令牌化架构提供了两种不同的方法来满足业务需求。集中式令牌库为整个组织提供统一控制和简化的令牌管理,而分布式无库解决方案则通过实时令牌生成而无需数据库依赖性来提供优势。选择取决于数据主权要求、性能指标和现有的安全基础设施。随着威胁的出现和法规的演变,组织需要能够实施和配置以满足这些不断变化的需求的安全解决方案和技术。
Thales提供保险库和无保险库标记化解决方案,帮助组织满足 PCI-DSS 合规性要求。这些解决方案使企业能够实施强大的数据保护机制,同时保持 AWS 云的灵活性和可扩展性优势。
在本文,我们将探讨Thales 最新的 CipherTrust Tokenization 解决方案CipherTrust RESTful Data Protection(在 AWS 上实施)如何帮助组织满足 PCI-DSS 合规性要求,同时保护敏感的支付数据。该平台用保留格式的令牌替换敏感数据,并且作为基于 AWS 构建的云原生解决方案,在客户的 AWS 环境中原生集成。
标记化是Thales CipherTrust Data Security Platform(数据安全平台/CDSP)的一个关键组件,它可以帮助企业在多个环境和应用程序中保护其数据,同时满足各种安全要求。
Thales CDSP 通过三大关键功能帮助用户管理敏感数据:发现、保护和控制。这简化了安全管理并简化了合规性报告。
图 1: Thales CipherTrust 数据安全平台
Thales CDSP 的主要优势包括:
集中密钥管理和控制——从单一平台管理多个环境中的所有加密密钥,确保一致的政策和实践,并通过集中流程降低管理加密密钥的复杂性,使其更易于部署和维护。
合规性和审计准备– 通过安全地管理和保护敏感数据,确保遵守通用数据保护条例 (GDPR)、健康保险流通与责任法案 (HIPAA) 和 PCI-DSS 等监管要求。这包括维护所有关键管理活动的详细日志和报告、简化审计流程和证明合规性
可扩展性和灵活性——跨云端和本地管理密钥,无论数据位于何处都能实现无缝数据保护,同时还可以根据需要使用标记化、加密和访问控制模块扩展功能。
数据安全性和可用性——通过标记化、加密、数据通用化、数据屏蔽、编辑、细粒度访问控制和高可用性功能保护静态、传输中和使用中的数据,确保即使发生硬件故障也能持续提供服务。
与现有系统集成——通过 API 与现有应用程序和工作流程集成,实现无缝采用而不会中断业务运营。
Thales CDSP 提供有保险库和无保险库的标记化方法,包含两项基本操作:标记化(将敏感数据转换为标记)和去标记化(授权后恢复原始数据)。
在标记化过程中,用户与 Web 应用程序交互,以纯文本形式提交敏感数据。然后使用 Thales 的 CipherTrust 技术安全地对这些数据进行标记化,将原始敏感数据替换为非敏感数据,然后将数据存储在数据库中。
在去标记化过程中,应用程序从数据库中提取标记化的数据,并根据与用户对应的预定义访问控制策略对其进行去标记化。此过程可确保根据用户的权限向用户公开敏感信息,从而在整个生命周期内保持数据安全。
Thales CDSP 利用RESTful API通过多种加密操作和数据保护方法来保护敏感数据。该解决方案使用Amazon Virtual Private Cloud (Amazon VPC)部署在 AWS 区域内,并利用 AWS 服务提供可扩展、安全且合规的环境来处理敏感数据,而 Thales 的 CipherTrust 技术则确保标记化和密钥管理功能。
其核心是利用Amazon Elastic Kubernetes Service (Amazon EKS)集群来协调三个主要组件:
提供用户界面的 WebApp 部署
管理标记化操作的 CipherTrust RESTful 数据保护 (CRDP) pod
处理安全数据存储的 MySQL 部署
图 2:Thales CDSP 数据标记化流程
如图 2 所示,数据标记化工作流程始于通过AWS 应用程序负载均衡器 (ALB)将用户请求分发到 WebApp pod。此架构支持在同一区域内的多个 AWS 可用区之间进行水平扩展,从而确保高可用性和容错能力。当需要标记化时,WebApp pod 会将纯文本数据转发到 CRDP pod。然后,CRDP pod 与Thales Virtual CipherTrust Manager进行交互,后者托管在位于同一或单独 VPC 中的单独Amazon Elastic Compute Cloud (Amazon EC2)实例上。虚拟 CipherTrust Manager 为标记化过程提供必要的密钥和保护策略。它充当 CDSP 的中央管理点。它管理关键生命周期任务,包括生成、轮换、销毁、导入和导出,提供基于角色的密钥和策略访问控制,并支持审计和报告。
CRDP pod 根据 CipherTrust Manager 中管理的保护策略对数据进行标记,然后将标记后的数据发送回 WebApp,最终将其存储在 MySQL 数据库中。
图 3: Thales CDSP 数据去标记化流程
图 3 说明了数据去标记化过程。当需要去标记化时,WebApp 从 MySQL 数据库中检索标记化数据并将其发送到 CRDP pod。然后,CRDP pod 向 Thales CipherTrust Manager 咨询与用户相对应的策略,并根据用户的访问权限执行去标记化。
Thales的 CipherTrust 数据安全平台使全球企业获得了巨大的利益。例如,一家金融服务机构迅速发现并保护了超过 50% 的数据,同时集中了 100% 的密钥管理,从而减少了违规的影响。一家电信提供商整合了本地和云端的加密密钥管理。另一家金融公司使用 CipherTrust 保护资产,同时简化合规性和政策管理。
这些客户亮点展示了 CipherTrust 平台在各个行业的广泛适用性和切实优势。CipherTrust 平台的数据发现、分类、保护和集中密钥管理功能帮助企业增强了安全性并提高了运营效率。
随着金融服务、医疗保健和电信等各行各业的组织将工作负载迁移到云中,他们需要有效的数据保护解决方案来满足合规性要求。Thales在 AWS 上的标记化解决方案可帮助企业使用云计算,同时保持数据安全性和合规性。使用Thales在 AWS 上的标记化的组织可以保护敏感数据,包括信用卡号、社会保险号和其他个人身份信息。该解决方案有助于满足 PCI-DSS 要求,同时保护数据免受潜在威胁。
Thales CipherTrust 与 AWS 服务(包括 Amazon EKS 和 EC2)的集成,使客户能够使用 AWS 云原生技术构建安全且合规的环境来处理敏感数据。
点击此处,查看《CipherTrust Data Security Platform/CDSP/数据安全平台》产品介绍,您也可以联系揽阁信息,与我们的安全专家进行深入交流和讨论。
揽阁信息 · 值得您信赖的信息安全顾问!
服务热线
