最近,NIST(美國國家標準與技術研究所)出版了《關鍵基礎設施網(wǎng)絡安全框架改善》白皮書。該框架的核心包括五個功能:識別,保護,檢測,響應和恢復。
數(shù)據(jù)中心管理人員,系統(tǒng)管理員和首席信息安全官們都知道,如果在數(shù)據(jù)“保護”方面花費更多的時間,那么,在“響應”和“恢復”方面的時間必然將會有所減少。在本文中,我們將為大家介紹有一些方法,以加強對于您不斷變化的數(shù)據(jù)中心的安全程序的保護的同時,又不會損失數(shù)據(jù)的有效性。
數(shù)據(jù)保護的層次
很大一部分的數(shù)據(jù)“保護”工作都涉及到數(shù)據(jù)加密。在數(shù)據(jù)中心中,數(shù)據(jù)可以有三種狀態(tài):休息,運行和被使用。最常見的加密是在設備層面的加密,以便保護那些處于休息和運行狀態(tài)的數(shù)據(jù)。通常,設備層面進行加密相對容易實現(xiàn),但其也只是提供了最低水平的數(shù)據(jù)保護。
大多數(shù)人認為,當數(shù)據(jù)保護是實現(xiàn)全磁盤加密(包括磁盤驅動器本身的加密或者文件系統(tǒng)的加密)就自然實現(xiàn)了對處于休息狀態(tài)的數(shù)據(jù)加密。但我們將這種方法僅僅視為對設備的保護,因為如果您拔出磁盤驅動器,所有磁盤上的數(shù)據(jù)固然均是加密的,只有那些有私人密鑰能夠解密數(shù)據(jù)的才可以訪問。但當磁盤被操作時,整盤加密或加密文件系統(tǒng)沒有提供任何保護。當文件被讀取或復制,其會自動解密,而當這些數(shù)據(jù)被轉移到另一個平臺,加密并不會同時隨之轉移。
運行中的數(shù)據(jù)加密通常被認為是通過協(xié)議,如SSL/TLS保障的。在運行中的數(shù)據(jù)保護是通過這些協(xié)議的嗅探。而沒有私人密鑰,將無法解密數(shù)據(jù)。
另一種考慮對休息和運行狀態(tài)數(shù)據(jù)保護的互補的方案是以數(shù)據(jù)為中心,而非以設備為中心的加密。如果對單個文件進行了加密,那么,就算某人刪除了驅動設備或試圖在傳輸過程中攔截敏感數(shù)據(jù)數(shù)據(jù)仍然是受保護的。只要在休息和運行狀態(tài)的數(shù)據(jù)被鎖定,那么你將不再依賴于單個設備或傳輸協(xié)議來為加密的數(shù)據(jù)提供保護,因為無論到哪里,以何種傳輸方式,其在本地存儲,SAN或NAS,或云中均是受保護的。
以數(shù)據(jù)為中心的方法?
以數(shù)據(jù)為中心的保護方法在技術上并不比設備加密更難。在過去,有關加密障礙和以數(shù)據(jù)為中心的保護的某些誤解主要是由于諸如企業(yè)缺乏有實力可以處理或加密大型機的內(nèi)部人員等因素造成的。因此首先,我們將向大家介紹有關于以數(shù)據(jù)為中心的加密和設備級加密之間的差異的一些基本知識。
對于設備級加密,通常需要X.509證書以便在加密操作中提供密鑰,通常用很少的配置。從這點上看,既然已經(jīng)對整體進行了加密,就沒有必要選擇對個別證書進行加密了,因為該設備已經(jīng)采用了相同的通用加密。其執(zhí)行是很容易的,也并非完全沒有價值,但其越來越受到高級攻擊或不必要的“訪客”威脅。
而另一方面,以數(shù)據(jù)為中心的加密保護單個文件,利用特定的認證確保每個文件只有那些具有特定訪問權限的人才能訪問。以數(shù)據(jù)為中心的安全性要求以一個經(jīng)紀人協(xié)商的身份組合應用程序,密鑰和加密算法。身份驗證,要求您首先告知應用程序您是誰,然后關聯(lián)相應的密鑰認證您的身份。接下來,應用程序利用密鑰與適當?shù)募用芩惴ㄍㄟ^使用平臺,并利用相應的密鑰對數(shù)據(jù)進行加密解密。以數(shù)據(jù)為中心的加密解決方案都能夠使用多種鍵控源,以及聯(lián)系特定的鍵進行身份識別。他們還可以利用硬件加密的優(yōu)勢,這將盡可能高效地進行數(shù)據(jù)加密。如主鍵訪問等功能使密鑰管理更加容易,并且能夠在非常大的規(guī)模來實現(xiàn)。
在實踐中的保護
安全就是縱深防御。以數(shù)據(jù)為中心的加密是對以設備為中心的加密的互補,但鑒于當今世界數(shù)據(jù)移動的大趨勢,我們必須著眼于數(shù)據(jù)第一,然后才是設備。因此,在數(shù)據(jù)傳輸過程中的數(shù)據(jù)保護遠比單純確保設備的安全更有效。
了解一些以數(shù)據(jù)為中心的安全的級聯(lián)效應,如從存儲的角度來看到影響是非常重要的。一個鮮為人知的事實是,壓縮加密數(shù)據(jù)是不可能。根據(jù)定義,加密數(shù)據(jù)是高度隨機的,因此其不能被壓縮。如果你要對數(shù)據(jù)進行加密,最好是在加密的同時進行壓縮,因為除此之外你就沒有壓縮加密數(shù)據(jù)的機會了。
值得一提的是,加密應該從您企業(yè)的敏感數(shù)據(jù)開始。實施更廣泛的加密方法固然有價值,但要煮沸一大片海水可能會錯過某些精致(和現(xiàn)實)業(yè)務數(shù)據(jù)的安全性。例如,您可以實施數(shù)據(jù)分類或將其與一個SAN和NAS上批量數(shù)據(jù)的DLP解決方案結合使用。但你會希望把重點放在敏感數(shù)據(jù)處理方面,并確保對休息和運行狀態(tài)數(shù)據(jù)的加密。
以層為出發(fā)點
新的NIST框架的第一個版本,避免陷入數(shù)據(jù)安全的紛爭,如建議加密類型。然而,在固體的方面之一:“層”系統(tǒng),能夠讓企業(yè)和數(shù)據(jù)管理人員評估他們的風險偏好和分層的安全需求。較之許多其他的安全措施,其只是努力減少數(shù)據(jù)安全的預期,這是一個起點。而隨著密碼學作為“分層”的安全方法的一部分,數(shù)據(jù)中心管理人員可以建立自己的框架來保護敏感的商業(yè)信息安全。
河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年,專注服務器托管租用,是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網(wǎng)站建設、網(wǎng)站托管等網(wǎng)絡基礎服務,另有網(wǎng)總管、名片俠網(wǎng)絡推廣服務,使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話:
0371-60135900
虛擬主機/智能建站 24小時售后服務電話:
0371-55621053
網(wǎng)絡版權侵權舉報電話:
0371-60135995
服務熱線:
0371-60135900