存储加密是指对传输中和存储介质里的数据进行加密。数据会在传递给存储设备(例如硬盘、磁带驱动器或保存密钥的存储库和阵列)的过程中被加密。把存储层面的加密与数据库和文件加密结合使用,可以大大降低数据丢失的风险。与网络加密一样,存储加密是一种相对比较生硬的一种工具,通常不问数据类型或敏感度如何就一股脑把每个磁带或硬盘上的所有数据全部保护起来。
从防止数据丢失的角度说,存储加密当然不失为确保数据安全的好办法。然而,对于数据库中的数据,逐个在文件、卷或列的层面进行加密,其实才更安全。如果数据是与其他用户共享的或者必须满足特定审计要求,这么做甚至可能是合规所必需的。
网络加密保护在通信网络上移动的数据。SSL(安全套接字层)协议(浏览器中挂锁符号背后的技术,更恰当的应该是指传输层安全[TLS]协议)是互联网通信中网络数据保护的默认形式;它通过人们熟悉的图标让用户放心使用网络。许多有良好安全意识的公司更进一步,不仅保护自己的互联网通信流,还用网络层面的加密手段保护内部网络、企业骨干网和虚拟专用网(VPN)。
然而与任何低级安全技术一样,网络层面数据加密也是一种相当生硬的工具。网络几乎完全不清楚流经它的数据究竟价值几何,并且这种上下语境的缺乏往往导致网络被配置成要么什么都保护,要么什么都不保护。即便采用“保护一切”的方法,潜在攻击者也可以从网络通信流模式中挖掘出有价值的信息。
在数据通过网络移动的过程中对其加密只是全面网络数据加密策略的一部分。机构还必须考虑信息在其源头(信息开始移动之前)和最终目的地的风险。要想偷窃一辆汽车,在停车场或私人车库下手,总比汽车在公路高速行驶时要容易百倍!
虽然“透明”的含义会因供应商的不同而各异,但是“CipherTrust透明加密”(CipherTrust Transparent Encryption)提供了文件层面的持续加密,可防止物理、虚拟和云环境中用户和进程的未经授权访问。这个执行方案对你的应用程序/数据库和存储是无缝且透明的,因此它可以涵盖整个企业环境发挥作用,即使在部署和展开期间也能保持业务和运营流程的正常运行,而无需做任何更改。
合规
加密是几乎所有合规和数据隐私标准和法规推荐的最佳实践,其中包括PCI DSS、HIPAA/Hitech、GDPR等。
在端到端加密中,数据默认在整个生命周期的任何时候都受保护。例如,在零售店的POS机中,敏感数据从被捕捉到的那一刻就被加密,并且在系统与安全域之间移动的过程中始终保持加密或重新加密。这种把加密当作数据“保镖”始终伴随数据对象(文件、文档、记录等)的加密理念确实很吸引人,但也在涉及密钥管理时引发了有关在不同域之间建立信任关系和互操作性的问题。
点对点加密(P2PE)是支付卡行业安全标准委员会制定的一个加密标准。它规定持卡人的信息输入商家POS机后必须立即加密,并且在接受支付处理器处理之前不得解密。如果P2PE流程执行正确,账户数据将在得到批准的安全密码设备(SCD,例如POS机)中加密,而且不会在商户环境中解密,那么商家有可能几乎被完全排除在PCI DSS范围之外。
要想让P2PE发挥预期效力,就必须对解密密钥的保护和访问实施严格控制。当前的指南要求用达到适当安全级别的硬件安全模块(HSM)来保护对这些密钥的访问。支付链中的收单方和其他参与者已开始销售采用了P2PE的增值服务来降低商家的合规成本。从PCI DSS的角度看,任何具有解密账户数据能力的系统都会立即进入范围,因此以保护HSM里密钥的方式隔离商家的能力可以为所有相关者带来显著好处。
应用层加密是一种数据安全解决方案,可以对流经应用程序的几乎任何类型数据进行加密。在这个层面执行加密时,数据将被在多个层级(包括硬盘、文件和数据库)加密。这种应用层加密法通过减少潜在攻击向量的数量来提高安全性。应用程序加密的另一优点在于,由于它是在应用层加密特定字段的,机构可以在敏感数据被存储到数据库、大数据或云环境之前对其实施安全保护。
令牌化通过替换非敏感数据来保护敏感数据。令牌化创建了一种无法辨识的令牌化数据形式,用以保持源数据的格式。举例来说,信用卡号1234-5678-1234-5678被令牌化成2754-7529-6654-1987后看上去与原始号码相似,可用在许多需要调用该格式数据的操作中,但却没有了与持卡人个人信息关联的风险。经过令牌化处理的数据还能以与原始数据相同的大小和格式存储。因此,存储令牌化数据不需要更改数据库架构或流程。
数据令牌化使你得以在把数据迁移到云、大数据和外包环境时始终保持控制和合规。
如果被存储的数据类型不具备这种结构,例如文本文件、PDF、MP3等,则令牌化将不是合适的假名形式。相反,文件系统层面的加密将是合适的。它会把原始数据块转变成数据的加密版本。
动态数据屏蔽是以动态屏蔽部分数据字段的方式保护数据的一种技术。例如,安全团队制定一项策略,使拥有客户服务代表凭证的用户只收到信用卡号的后四位数字,而客户服务主管可以访问完整的信用卡号。这项功能可使与动态屏蔽配套使用的令牌化给PCI DSS合规带来特别大的帮助。
数据被集中到一个地方时就叫静止数据。这些静止数据——即数据库、文件系统、大数据湖、云和一般存储基础设施中的数据——对于黑客的吸引力,可能远比在网络上传输的单个数据包更强烈。这些环境中的静止数据往往具有逻辑结构、有意义的文件名或出卖数据所在位置其他线索——表明这里就是“金钱”所在之处,即信用卡、知识产权、个人信息、医疗保健信息、财务信息等等的位置。
当然,即便“静止”的数据实际上也是在移动的。由于许多操作上原因,数据会被在虚拟化存储环境中复制和操作,并且常常“停留”在便携介质上。把备份磁带运到异地存储设施、把笔记本电脑带回家使用或带去出差等,都会增加风险。
静止敏感数据的泄露往往会导致不得不公开披露数据泄露事件、销售额下降和股价下跌,以及对机构声誉造成严重损害。
政府法规和行业协会往往强制性要求通过假名化技术(例如加密或令牌化)保护个人可识别信息(PII)、受保护的健康信息(PHI)和财务信息(其中包括信用卡和财务账号),同时通过用户访问管理严格控制对数据的访问。这些技术还适用于保护机构出于自身原因(例如知识产权)不希望与人共享的数据。
大多数法规规定,一个机构如果数据被盗,但数据是经过加密的,而且加密密钥并没有随数据一起失窃,则机构不必公开披露数据失窃事件,因为数据对于窃取它的人来说是无法辨识和无用的,并且不会伤害到与数据关联的人。
全盘加密(FDE)和自加密驱动器(SED)在数据写入磁盘时对其加密,并在数据被从硬盘中读出时对其解密。FDE对极易丢失或被盗的笔记本电脑很有意义。但是FDE不适合应对数据中心和云环境中面临的最常见风险。
FDE/SED的优点包括:
l 部署加密的最简单方法;
l 对应用程序、数据库和用户透明;
l 高性能、基于硬件的加密。
全盘加密/自加密驱动器(FDE/SED)的局限包括:
l 可应对的威胁有限(只能抵御存储介质物理丢失的情况);
l 缺乏针对高级持续威胁(APT)、恶意内部人员或外部攻击者的防护措施;
l 只满足最低合规要求;
l 不提供细粒度访问审计日志。
所谓第2层是指开放系统互连(OSI)模型规定的数据链路层;该模型标旨在推进全球电信和计算系统功能的标准化。当信息在网络内两点之间传输时,第2层加密可确保数据链路层信息的安全。
未经加密网络数据带来的挑战
l 网络犯罪分子可以“窃听”在网络上传输的未经加密数据。这会破坏隐私,使犯罪分子得以篡改或替换数据以发起更复杂的攻击。
l 许多业界行规要求对运动中数据实施保护,未照此执行的机构将面临罚款并被要求公开披露数据泄露事件。
l 根据应用的不同,嵌入路由器和交换机的加密功能可能无法发挥企业希望的那种安全与性能兼顾的作用。
第2层加密的优势
第2层加密保护传输中的数据,因此面对传输线路不安全的情况时会发挥很大作用。但是,由于消息会被在传输路径中的每台主机上解密,所以第2层加密最适合每台传输主机都安全的系统。