靜態(tài)加密是網(wǎng)絡(luò)安全的重要組成部分,可確保存儲(chǔ)的數(shù)據(jù)不會(huì)成為黑客的輕松目標(biāo)。隨著網(wǎng)絡(luò)犯罪分子繼續(xù)開(kāi)發(fā)更復(fù)雜的方法來(lái)獲取和竊取業(yè)務(wù)信息,加密靜態(tài)數(shù)據(jù)已成為任何具有安全意識(shí)的組織的強(qiáng)制性措施。本文介紹靜態(tài)數(shù)據(jù)加密。繼續(xù)閱讀以了解加密靜態(tài)數(shù)據(jù)的重要性,并了解公司依靠哪些實(shí)踐來(lái)保證存儲(chǔ)資產(chǎn)的安全。
什么是靜態(tài)數(shù)據(jù)?
靜態(tài)數(shù)據(jù)是指以任何數(shù)字形式存在于計(jì)算機(jī)存儲(chǔ)中的數(shù)據(jù)。此數(shù)據(jù)類(lèi)型當(dāng)前處于非活動(dòng)狀態(tài),并且不會(huì)在設(shè)備或兩個(gè)網(wǎng)絡(luò)點(diǎn)之間移動(dòng)。沒(méi)有應(yīng)用程序、服務(wù)、工具、第三方或員工正在積極使用此類(lèi)信息。
靜止不是永久的數(shù)據(jù)狀態(tài)。一旦有人請(qǐng)求文件,該數(shù)據(jù)就會(huì)通過(guò)網(wǎng)絡(luò)移動(dòng)并成為傳輸中的數(shù)據(jù)。一旦某人(或某物)開(kāi)始處理文件,數(shù)據(jù)就會(huì)進(jìn)入使用狀態(tài)。靜態(tài)數(shù)據(jù)包括結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。公司可以在哪里存儲(chǔ)靜態(tài)數(shù)據(jù)的一些示例是:
- PC 和筆記本電腦上的硬盤(pán)和 SSD 驅(qū)動(dòng)器。
- 數(shù)據(jù)庫(kù)服務(wù)器。
- 云。
- 在第三方托管設(shè)施中。
- 邊緣設(shè)備和便攜式存儲(chǔ)(手機(jī)、USB、平板電腦、便攜式硬盤(pán)等)。
- 網(wǎng)絡(luò)附加存儲(chǔ) (NAS)。
靜態(tài)數(shù)據(jù)是黑客的首選目標(biāo)。與通過(guò)網(wǎng)絡(luò)移動(dòng)的單個(gè)動(dòng)態(tài)數(shù)據(jù)包不同,靜態(tài)數(shù)據(jù)存儲(chǔ)通常具有邏輯結(jié)構(gòu)和有意義的文件名。靜態(tài)數(shù)據(jù)通常還包含公司最有價(jià)值和最私密的信息,例如:
- 財(cái)務(wù)文件(過(guò)去的交易、銀行賬戶(hù)、信用卡號(hào)碼等)。
- 知識(shí)產(chǎn)權(quán)(產(chǎn)品信息、商業(yè)計(jì)劃、原理圖、代碼等)。
- 聯(lián)系人。
- 營(yíng)銷(xiāo)數(shù)據(jù)(用戶(hù)交互、策略、方向、潛在客戶(hù)等)。
- 員工和客戶(hù)的個(gè)人信息。
- 醫(yī)療保健數(shù)據(jù)。
- 合同。
- 供應(yīng)鏈信息。
雖然靜態(tài)數(shù)據(jù)是靜態(tài)的,但這種類(lèi)型的數(shù)據(jù)實(shí)際上是“移動(dòng)”的。公司經(jīng)常在虛擬化環(huán)境中復(fù)制靜態(tài)文件,將驅(qū)動(dòng)器備份到異地設(shè)施,允許員工將筆記本電腦帶回家,通過(guò)便攜式設(shè)備共享數(shù)據(jù)等。為了維護(hù)靜態(tài)數(shù)據(jù)的隱私和安全,公司應(yīng)該依賴(lài)數(shù)據(jù)加密。加密是將一段數(shù)據(jù)翻譯成未經(jīng)授權(quán)的人(或系統(tǒng))無(wú)法破譯的看似無(wú)意義的文本的過(guò)程。
什么是靜態(tài)數(shù)據(jù)加密?
靜態(tài)數(shù)據(jù)加密是一種對(duì)存儲(chǔ)數(shù)據(jù)進(jìn)行加密以防止未經(jīng)授權(quán)訪(fǎng)問(wèn)的網(wǎng)絡(luò)安全實(shí)踐。加密將數(shù)據(jù)打亂成密文,而將文件恢復(fù)到初始狀態(tài)的唯一方法是使用解密密鑰。如果未經(jīng)授權(quán)的人訪(fǎng)問(wèn)加密數(shù)據(jù)但沒(méi)有解密密鑰,則入侵者必須破壞加密以解密數(shù)據(jù)。與訪(fǎng)問(wèn)硬盤(pán)驅(qū)動(dòng)器上的未加密數(shù)據(jù)相比,此過(guò)程要復(fù)雜得多且消耗資源要多得多。加密靜態(tài)數(shù)據(jù)對(duì)于數(shù)據(jù)保護(hù)至關(guān)重要,這種做法可以降低在以下情況下數(shù)據(jù)丟失或被盜的可能性:
- 數(shù)據(jù)泄露。
- 丟失或被盜的設(shè)備。
- 無(wú)意的密碼共享。
- 意外的許可授予。
- 數(shù)據(jù)泄露。
在大多數(shù)情況下,靜態(tài)加密依賴(lài)于對(duì)稱(chēng)加密。同一個(gè)密鑰對(duì)數(shù)據(jù)進(jìn)行加密和解密,這與非對(duì)稱(chēng)加密不同,在非對(duì)稱(chēng)加密中,一個(gè)密鑰擾亂數(shù)據(jù)(公鑰),另一個(gè)解密文件(私鑰)。當(dāng)速度和響應(yīng)能力是首要任務(wù)時(shí),安全團(tuán)隊(duì)通常會(huì)選擇對(duì)稱(chēng)加密,這通常是靜態(tài)數(shù)據(jù)的情況。
不幸的是,數(shù)據(jù)加密不僅僅是一種防御策略。犯罪分子使用密碼學(xué)來(lái)發(fā)動(dòng)勒索軟件攻擊,這是一種危險(xiǎn)的網(wǎng)絡(luò)攻擊,會(huì)加密業(yè)務(wù)數(shù)據(jù)并迫使公司為解密密鑰支付贖金。即使有強(qiáng)大的響應(yīng)計(jì)劃,勒索軟件攻擊也經(jīng)常導(dǎo)致永久性數(shù)據(jù)丟失,這就是為什么許多組織在勒索軟件預(yù)防策略上投入巨資的原因。
靜態(tài)加密與傳輸中的加密
雖然靜態(tài)加密和傳輸中的加密都依賴(lài)于密碼學(xué)來(lái)保證數(shù)據(jù)的安全,但這兩個(gè)過(guò)程有很大的不同。下表概述了主要區(qū)別:
| 比較點(diǎn) | 靜態(tài)加密 | 傳輸中的加密 |
|---|---|---|
| 主要目的 | 保護(hù)存儲(chǔ)的靜態(tài)數(shù)據(jù)。 | 保護(hù)從一個(gè)位置移動(dòng)到另一個(gè)位置的數(shù)據(jù)(例如通過(guò) Internet、通過(guò)專(zhuān)用網(wǎng)絡(luò)或在服務(wù)之間)。 |
| 密碼學(xué)類(lèi)型 | 通常依靠對(duì)稱(chēng)密鑰來(lái)確保數(shù)據(jù)存儲(chǔ)保持可接受的速度。 | 通常使用非對(duì)稱(chēng)密鑰對(duì)動(dòng)態(tài)數(shù)據(jù)進(jìn)行額外保護(hù)。 |
| 主要漏洞 | 數(shù)據(jù)存儲(chǔ)包含比單個(gè)傳輸中數(shù)據(jù)包更有價(jià)值的信息,使這些文件成為黑客的目標(biāo)。 | 傳輸中的文件比靜態(tài)數(shù)據(jù)更容易受到攻擊,因?yàn)樵谕ㄟ^(guò) Internet 發(fā)送消息時(shí)無(wú)法可靠地防止竊聽(tīng)。 |
| 這個(gè)怎么運(yùn)作? | 保持?jǐn)?shù)據(jù)加密,直到一個(gè)人(或系統(tǒng))提供訪(fǎng)問(wèn)數(shù)據(jù)所需的解密密鑰。 | 在傳輸之前加密消息并在到達(dá)目的地時(shí)解密它們。 |
這兩種加密類(lèi)型并不相互排斥。理想情況下,公司應(yīng)該依靠靜態(tài)和傳輸中的加密來(lái)保證業(yè)務(wù)數(shù)據(jù)的安全。
靜態(tài)數(shù)據(jù)加密類(lèi)型
公司可以在四個(gè)不同級(jí)別部署靜態(tài)數(shù)據(jù)加密:
- 應(yīng)用程序級(jí)加密:修改或生成數(shù)據(jù)的應(yīng)用程序也在客戶(hù)端工作站或服務(wù)器主機(jī)上執(zhí)行加密。這種類(lèi)型的加密非常適合根據(jù)角色和權(quán)限為每個(gè)用戶(hù)自定義加密過(guò)程。
- 數(shù)據(jù)庫(kù)加密:安全團(tuán)隊(duì)加密整個(gè)數(shù)據(jù)庫(kù)(或其部分)以保證文件安全。
- 文件系統(tǒng)加密:這種類(lèi)型的加密使管理員能夠僅加密選定的文件系統(tǒng)(或文件系統(tǒng)中的文件夾)。任何人都可以使用此加密啟動(dòng)設(shè)備,但訪(fǎng)問(wèn)受保護(hù)的文件系統(tǒng)需要密碼。
- 全盤(pán)加密:這種安全策略將整個(gè)硬盤(pán)驅(qū)動(dòng)器上的數(shù)據(jù)轉(zhuǎn)換為無(wú)意義的形式。啟動(dòng)設(shè)備的唯一方法是提供密碼。
全盤(pán)加密是保護(hù)設(shè)備上數(shù)據(jù)的最安全形式。但是,您只能在新磁盤(pán)上使用這種類(lèi)型的加密,因?yàn)榧用墁F(xiàn)有磁盤(pán)會(huì)在此過(guò)程中清除設(shè)備。
靜態(tài)加密的重要性
如果沒(méi)有靜態(tài)加密,任何全面的數(shù)據(jù)保護(hù)策略都是不完整的。公司應(yīng)該通過(guò)加密來(lái)保護(hù)有價(jià)值的靜態(tài)數(shù)據(jù),因?yàn)檫@個(gè)過(guò)程:
- 阻止對(duì)關(guān)鍵數(shù)據(jù)的未經(jīng)授權(quán)的訪(fǎng)問(wèn),無(wú)論是來(lái)自組織內(nèi)部還是外部。
- 防止入侵者輕松識(shí)別、解釋和竊取有價(jià)值的數(shù)據(jù)。
- 在成功攻擊的情況下限制爆炸半徑。
- 在有人偷竊或丟失存儲(chǔ)設(shè)備時(shí)保護(hù)組織。
- 防止數(shù)據(jù)泄露后的勒索企圖。
加密靜態(tài)數(shù)據(jù)也有助于遵守法規(guī)要求。很好的例子是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (?PCI?) 或健康保險(xiǎn)流通與責(zé)任法案 (?HIPAA?),這兩項(xiàng)法規(guī)需要健全的靜態(tài)加密。雖然GDPR 和 CCPA不是必需的,但靜態(tài)加密也有助于確保客戶(hù)數(shù)據(jù)的隱私。
靜態(tài)數(shù)據(jù)加密最佳實(shí)踐
以下是組織在規(guī)劃、實(shí)施和管理其靜態(tài)加密策略時(shí)應(yīng)遵循的最佳實(shí)踐列表。
映射和分類(lèi)有價(jià)值的數(shù)據(jù)
在部署靜態(tài)加密(或任何其他類(lèi)型的安全策略)之前,您應(yīng)該首先映射您最敏感的公司和客戶(hù)數(shù)據(jù)。數(shù)據(jù)分類(lèi)因企業(yè)而異,但一個(gè)很好的起點(diǎn)是確定:
- 您擁有的每條數(shù)據(jù)的重要性。
- 您的組織保留的數(shù)據(jù)類(lèi)型。
- 存放有價(jià)值數(shù)據(jù)的數(shù)字位置。
- 所有存儲(chǔ)設(shè)備的物理位置。
- 有權(quán)訪(fǎng)問(wèn)敏感數(shù)據(jù)的所有人員、應(yīng)用程序和系統(tǒng)。
這種分析有助于評(píng)估哪些數(shù)據(jù)需要加密,哪些文件不需要如此高的保護(hù)級(jí)別。有了這些信息,您就可以開(kāi)始規(guī)劃您的加密策略,并將努力與您的業(yè)務(wù)的獨(dú)特需求和用例保持一致。
數(shù)據(jù)分類(lèi)是一個(gè)動(dòng)態(tài)過(guò)程,不會(huì)在第一次評(píng)估后結(jié)束。公司應(yīng)不斷重新評(píng)估數(shù)據(jù)的敏感度級(jí)別,并相應(yīng)地重新調(diào)整其加密策略。
強(qiáng)大的密鑰管理
加密策略?xún)H與您的密鑰管理一樣可靠和安全。在密鑰的整個(gè)生命周期(創(chuàng)建、存儲(chǔ)、使用、管理和刪除)中保持密鑰安全至關(guān)重要,這就是為什么您應(yīng)該實(shí)施以下密鑰管理最佳實(shí)踐:
- 切勿將加密數(shù)據(jù)與相應(yīng)的解密密鑰存儲(chǔ)在同一存儲(chǔ)中。
- 依賴(lài)于不同系統(tǒng)和子系統(tǒng)的各種密鑰。
- 定期更新密鑰。
- 不要依賴(lài)以前使用的密鑰。
- 使用零信任安全性來(lái)保證密鑰的安全。
- 將密鑰存儲(chǔ)在 HSM(硬件安全模塊)上。
- 切勿對(duì)密鑰進(jìn)行硬編碼。
- 擁有可靠的密鑰備份和恢復(fù)協(xié)議。
- 集中加密密鑰管理,使操作更加有效、安全和可見(jiàn)。
設(shè)置機(jī)密計(jì)算
如果您的組織依賴(lài)云服務(wù)并希望通過(guò)加密保護(hù)數(shù)據(jù),您應(yīng)該考慮機(jī)密計(jì)算。這種新的云安全模型通過(guò)數(shù)據(jù)在用保護(hù)擴(kuò)展了靜態(tài)和傳輸中的加密,確保了端到端的數(shù)據(jù)安全。
通過(guò)在處理過(guò)程中加密工作負(fù)載,機(jī)密計(jì)算甚至進(jìn)一步降低了泄露或泄漏的風(fēng)險(xiǎn)。該策略的一些主要好處包括:
- 整個(gè)數(shù)據(jù)生命周期的加密。
- 減少攻擊面。
- 將外部和內(nèi)部威脅的風(fēng)險(xiǎn)降至最低。
- 更好的環(huán)境控制和更高的透明度。
- 提高了多云設(shè)置的安全性。
牢記速度
加密組織中的每條數(shù)據(jù)并不是一個(gè)好的解決方案。解密數(shù)據(jù)是一個(gè)比訪(fǎng)問(wèn)純文本數(shù)據(jù)花費(fèi)更多時(shí)間的過(guò)程。過(guò)多的加密會(huì):
- 放慢操作。
- 影響應(yīng)用程序性能。
- 使日常任務(wù)過(guò)于復(fù)雜。
- 嚴(yán)重影響業(yè)務(wù)可擴(kuò)展性和團(tuán)隊(duì)敏捷性。
限制您加密的數(shù)據(jù)量以避免性能問(wèn)題。例如,如果數(shù)據(jù)庫(kù)包含敏感數(shù)據(jù)和非關(guān)鍵文件,您可以使用選擇性加密數(shù)據(jù)庫(kù)字段(或行或列)而不是加密所有數(shù)據(jù)。同樣,您應(yīng)該對(duì)密鑰大小敏感,因?yàn)榇竺荑€可能會(huì)導(dǎo)致問(wèn)題。例如,如果您使用 AES 對(duì)稱(chēng)加密,則不需要對(duì)所有數(shù)據(jù)使用頂級(jí) AES 256 加密。相反,您可以戰(zhàn)略性地使用更快的 128 位和 192 位 AES 來(lái)保護(hù)不太敏感但仍然有價(jià)值的信息。
使用全盤(pán)加密保護(hù)設(shè)備
雖然應(yīng)用程序、文件和數(shù)據(jù)庫(kù)級(jí)別的加密各有所用,但最安全的做法是依賴(lài)全盤(pán)加密。全盤(pán)加密是最安全的策略,因?yàn)榧词褂腥烁`取或丟失了包含敏感信息的設(shè)備,它也能保護(hù)數(shù)據(jù)。如果您的公司依賴(lài)BYOD(自帶設(shè)備)策略,則對(duì)全盤(pán)加密的需求變得更加重要。
不要忽視基礎(chǔ)設(shè)施安全
靜態(tài)數(shù)據(jù)加密僅與支持該過(guò)程的基礎(chǔ)設(shè)施一樣安全。確保團(tuán)隊(duì)運(yùn)行所有相關(guān)的正確補(bǔ)丁:
- 服務(wù)器。
- 網(wǎng)絡(luò)服務(wù)(IP 尋址、衛(wèi)星、DSL、無(wú)線(xiàn)協(xié)議等)。
- 操作系統(tǒng)。
- 網(wǎng)絡(luò)軟件(本地和云端)。
- 網(wǎng)絡(luò)安全應(yīng)用程序。
- 防火墻。
任何全面的網(wǎng)絡(luò)安全戰(zhàn)略的必備條件
通過(guò)正確的策略和健全的密鑰管理,公司可以使用靜態(tài)數(shù)據(jù)加密來(lái)降低數(shù)據(jù)泄露以及所有相關(guān)罰款和收入損失的可能性。除了傳輸中和使用中的加密,靜態(tài)數(shù)據(jù)加密應(yīng)該是您的網(wǎng)絡(luò)安全策略的基石。
