靜態加密是網絡安全的重要組成部分,可確保存儲的數據不會成為黑客的輕松目標。隨著網絡犯罪分子繼續開發更復雜的方法來獲取和竊取業務信息,加密靜態數據已成為任何具有安全意識的組織的強制性措施。本文介紹靜態數據加密。繼續閱讀以了解加密靜態數據的重要性,并了解公司依靠哪些實踐來保證存儲資產的安全。
什么是靜態數據?
靜態數據是指以任何數字形式存在于計算機存儲中的數據。此數據類型當前處于非活動狀態,并且不會在設備或兩個網絡點之間移動。沒有應用程序、服務、工具、第三方或員工正在積極使用此類信息。
靜止不是永久的數據狀態。一旦有人請求文件,該數據就會通過網絡移動并成為傳輸中的數據。一旦某人(或某物)開始處理文件,數據就會進入使用狀態。靜態數據包括結構化和非結構化數據。公司可以在哪里存儲靜態數據的一些示例是:
- PC 和筆記本電腦上的硬盤和 SSD 驅動器。
- 數據庫服務器。
- 云。
- 在第三方托管設施中。
- 邊緣設備和便攜式存儲(手機、USB、平板電腦、便攜式硬盤等)。
- 網絡附加存儲 (NAS)。
靜態數據是黑客的首選目標。與通過網絡移動的單個動態數據包不同,靜態數據存儲通常具有邏輯結構和有意義的文件名。靜態數據通常還包含公司最有價值和最私密的信息,例如:
- 財務文件(過去的交易、銀行賬戶、信用卡號碼等)。
- 知識產權(產品信息、商業計劃、原理圖、代碼等)。
- 聯系人。
- 營銷數據(用戶交互、策略、方向、潛在客戶等)。
- 員工和客戶的個人信息。
- 醫療保健數據。
- 合同。
- 供應鏈信息。
雖然靜態數據是靜態的,但這種類型的數據實際上是“移動”的。公司經常在虛擬化環境中復制靜態文件,將驅動器備份到異地設施,允許員工將筆記本電腦帶回家,通過便攜式設備共享數據等。為了維護靜態數據的隱私和安全,公司應該依賴數據加密。加密是將一段數據翻譯成未經授權的人(或系統)無法破譯的看似無意義的文本的過程。
什么是靜態數據加密?
靜態數據加密是一種對存儲數據進行加密以防止未經授權訪問的網絡安全實踐。加密將數據打亂成密文,而將文件恢復到初始狀態的唯一方法是使用解密密鑰。如果未經授權的人訪問加密數據但沒有解密密鑰,則入侵者必須破壞加密以解密數據。與訪問硬盤驅動器上的未加密數據相比,此過程要復雜得多且消耗資源要多得多。加密靜態數據對于數據保護至關重要,這種做法可以降低在以下情況下數據丟失或被盜的可能性:
- 數據泄露。
- 丟失或被盜的設備。
- 無意的密碼共享。
- 意外的許可授予。
- 數據泄露。
在大多數情況下,靜態加密依賴于對稱加密。同一個密鑰對數據進行加密和解密,這與非對稱加密不同,在非對稱加密中,一個密鑰擾亂數據(公鑰),另一個解密文件(私鑰)。當速度和響應能力是首要任務時,安全團隊通常會選擇對稱加密,這通常是靜態數據的情況。
不幸的是,數據加密不僅僅是一種防御策略。犯罪分子使用密碼學來發動勒索軟件攻擊,這是一種危險的網絡攻擊,會加密業務數據并迫使公司為解密密鑰支付贖金。即使有強大的響應計劃,勒索軟件攻擊也經常導致永久性數據丟失,這就是為什么許多組織在勒索軟件預防策略上投入巨資的原因。
靜態加密與傳輸中的加密
雖然靜態加密和傳輸中的加密都依賴于密碼學來保證數據的安全,但這兩個過程有很大的不同。下表概述了主要區別:
| 比較點 | 靜態加密 | 傳輸中的加密 |
|---|---|---|
| 主要目的 | 保護存儲的靜態數據。 | 保護從一個位置移動到另一個位置的數據(例如通過 Internet、通過專用網絡或在服務之間)。 |
| 密碼學類型 | 通常依靠對稱密鑰來確保數據存儲保持可接受的速度。 | 通常使用非對稱密鑰對動態數據進行額外保護。 |
| 主要漏洞 | 數據存儲包含比單個傳輸中數據包更有價值的信息,使這些文件成為黑客的目標。 | 傳輸中的文件比靜態數據更容易受到攻擊,因為在通過 Internet 發送消息時無法可靠地防止竊聽。 |
| 這個怎么運作? | 保持數據加密,直到一個人(或系統)提供訪問數據所需的解密密鑰。 | 在傳輸之前加密消息并在到達目的地時解密它們。 |
這兩種加密類型并不相互排斥。理想情況下,公司應該依靠靜態和傳輸中的加密來保證業務數據的安全。
靜態數據加密類型
公司可以在四個不同級別部署靜態數據加密:
- 應用程序級加密:修改或生成數據的應用程序也在客戶端工作站或服務器主機上執行加密。這種類型的加密非常適合根據角色和權限為每個用戶自定義加密過程。
- 數據庫加密:安全團隊加密整個數據庫(或其部分)以保證文件安全。
- 文件系統加密:這種類型的加密使管理員能夠僅加密選定的文件系統(或文件系統中的文件夾)。任何人都可以使用此加密啟動設備,但訪問受保護的文件系統需要密碼。
- 全盤加密:這種安全策略將整個硬盤驅動器上的數據轉換為無意義的形式。啟動設備的唯一方法是提供密碼。
全盤加密是保護設備上數據的最安全形式。但是,您只能在新磁盤上使用這種類型的加密,因為加密現有磁盤會在此過程中清除設備。
靜態加密的重要性
如果沒有靜態加密,任何全面的數據保護策略都是不完整的。公司應該通過加密來保護有價值的靜態數據,因為這個過程:
- 阻止對關鍵數據的未經授權的訪問,無論是來自組織內部還是外部。
- 防止入侵者輕松識別、解釋和竊取有價值的數據。
- 在成功攻擊的情況下限制爆炸半徑。
- 在有人偷竊或丟失存儲設備時保護組織。
- 防止數據泄露后的勒索企圖。
加密靜態數據也有助于遵守法規要求。很好的例子是支付卡行業數據安全標準 (?PCI?) 或健康保險流通與責任法案 (?HIPAA?),這兩項法規需要健全的靜態加密。雖然GDPR 和 CCPA不是必需的,但靜態加密也有助于確保客戶數據的隱私。
靜態數據加密最佳實踐
以下是組織在規劃、實施和管理其靜態加密策略時應遵循的最佳實踐列表。
映射和分類有價值的數據
在部署靜態加密(或任何其他類型的安全策略)之前,您應該首先映射您最敏感的公司和客戶數據。數據分類因企業而異,但一個很好的起點是確定:
- 您擁有的每條數據的重要性。
- 您的組織保留的數據類型。
- 存放有價值數據的數字位置。
- 所有存儲設備的物理位置。
- 有權訪問敏感數據的所有人員、應用程序和系統。
這種分析有助于評估哪些數據需要加密,哪些文件不需要如此高的保護級別。有了這些信息,您就可以開始規劃您的加密策略,并將努力與您的業務的獨特需求和用例保持一致。
數據分類是一個動態過程,不會在第一次評估后結束。公司應不斷重新評估數據的敏感度級別,并相應地重新調整其加密策略。
強大的密鑰管理
加密策略僅與您的密鑰管理一樣可靠和安全。在密鑰的整個生命周期(創建、存儲、使用、管理和刪除)中保持密鑰安全至關重要,這就是為什么您應該實施以下密鑰管理最佳實踐:
- 切勿將加密數據與相應的解密密鑰存儲在同一存儲中。
- 依賴于不同系統和子系統的各種密鑰。
- 定期更新密鑰。
- 不要依賴以前使用的密鑰。
- 使用零信任安全性來保證密鑰的安全。
- 將密鑰存儲在 HSM(硬件安全模塊)上。
- 切勿對密鑰進行硬編碼。
- 擁有可靠的密鑰備份和恢復協議。
- 集中加密密鑰管理,使操作更加有效、安全和可見。
設置機密計算
如果您的組織依賴云服務并希望通過加密保護數據,您應該考慮機密計算。這種新的云安全模型通過數據在用保護擴展了靜態和傳輸中的加密,確保了端到端的數據安全。
通過在處理過程中加密工作負載,機密計算甚至進一步降低了泄露或泄漏的風險。該策略的一些主要好處包括:
- 整個數據生命周期的加密。
- 減少攻擊面。
- 將外部和內部威脅的風險降至最低。
- 更好的環境控制和更高的透明度。
- 提高了多云設置的安全性。
牢記速度
加密組織中的每條數據并不是一個好的解決方案。解密數據是一個比訪問純文本數據花費更多時間的過程。過多的加密會:
- 放慢操作。
- 影響應用程序性能。
- 使日常任務過于復雜。
- 嚴重影響業務可擴展性和團隊敏捷性。
限制您加密的數據量以避免性能問題。例如,如果數據庫包含敏感數據和非關鍵文件,您可以使用選擇性加密數據庫字段(或行或列)而不是加密所有數據。同樣,您應該對密鑰大小敏感,因為大密鑰可能會導致問題。例如,如果您使用 AES 對稱加密,則不需要對所有數據使用頂級 AES 256 加密。相反,您可以戰略性地使用更快的 128 位和 192 位 AES 來保護不太敏感但仍然有價值的信息。
使用全盤加密保護設備
雖然應用程序、文件和數據庫級別的加密各有所用,但最安全的做法是依賴全盤加密。全盤加密是最安全的策略,因為即使有人竊取或丟失了包含敏感信息的設備,它也能保護數據。如果您的公司依賴BYOD(自帶設備)策略,則對全盤加密的需求變得更加重要。
不要忽視基礎設施安全
靜態數據加密僅與支持該過程的基礎設施一樣安全。確保團隊運行所有相關的正確補丁:
- 服務器。
- 網絡服務(IP 尋址、衛星、DSL、無線協議等)。
- 操作系統。
- 網絡軟件(本地和云端)。
- 網絡安全應用程序。
- 防火墻。
任何全面的網絡安全戰略的必備條件
通過正確的策略和健全的密鑰管理,公司可以使用靜態數據加密來降低數據泄露以及所有相關罰款和收入損失的可能性。除了傳輸中和使用中的加密,靜態數據加密應該是您的網絡安全策略的基石。
