随着合规要求,企业上云,加密的需求也越来越多。但无论是安全人员和开发,真正能够说清楚加密方案的并不多。线上正在跑的生产进行数据加密,应该怎么同步?涉及到用户地址信息的加密,是在应用,还是在数据库或者存储里?是你在防范什么威胁,以及是否符合合规要求。
1、 加密系统组成
由三个部分组成:
(1)数据:要加密的对象,数据的位置对加密方案有很大影响。
(2)加密引擎:这个组件实际处理加解密操作。
(3)密钥管理:处理密钥,传递给加密引擎。
数据在哪里,加密在哪里,如何组合,是很多加密方案常见错误,这些组合决定了最终的安全性。
在基本加密系统里,这三个组件可能都在同一个系统,比如个人的全盘加密软件,密钥、引擎、数据都在同一个硬件,硬件丢了也就丢了引擎和KEY。这里的KEY,一般是用一个密码来保护,如果电脑在运行的情况下被盗,内存中的KEY就可能被盗。但对于更复杂的企业应用来说,这些组件是在不同的系统里的,这就增加了复杂性。
实际应用中会把这三个组件解耦,比如加密引擎是在应用里,数据在DB,密钥是专用设施管理。又或者DB里用的是TDE透明加密,引擎和数据在一个系统,但密钥在其他地方。
2、在哪里加密
所有的数据加密都是由数据所在位置来定义,层次上是:
(1)应用收集数据
(2)DB保存数据
(3)数据存储在文件
(4)文件驻留在存储卷(硬盘或虚拟存储等)
所有的数据都在这个层次中流动,加密越靠近应用安全性越高,但复杂度也更高,而且有些时候根本不可能做到。整个加密必然在这里的某一层进行,也就是你要决定在哪层加密。
3、为什么加密
做加密,无非三个原因:
(1) 数据移动,可能是物理,也可能是虚拟。
(2) 职责分离,例如防止运维人员看到数据。
(3) 有人要求你加密。
比如有人说,你必须加密所有手机号码。但这里又可以分解来看,目的是什么?目的如果是即使DBA账号被盗,数据也是安全的。存储层加密在这个需求里就没用,因为账号被盗之后,仍然可以在DB这一层访问。单独加密文件也没用,因为账号被授权在DB里工作,在这里数据不是加密的。
4、文件加密
有些应用是不用数据库的,直接在文件中存数据,数据写到文件时进行透明加密,操作系统和第三方都可以提供这种加密,加解密对应用透明。用户验证身份后请求文件时则进行解密,验证失败则给出无用加密数据。文件加密通常用于保护应用中的“静止数据”,也是很多大数据平台的加密方法。
5、磁盘/卷加密
现在很多磁盘和存储都带有自动数据加密功能,磁盘加密是在数据写入磁盘时,未经过验证的身份/应用解密,企业级密钥管理一般依赖KMS,可进行密钥轮换。
6、权衡
加密层越高越安全,代价是难以集成,需要动代码。在应用层加密可以充分利用身份验证、授权和业务流程来保证安全,但在现实中,这种精确的控制是难以实现成本高。透明加密比应用层加密快,代价是相对来说安全较弱。
7、应用
处理数据的都是应用,当需要细粒度控制的时候,就需要应用层对数据元素进行加解密,当然这个代价也比较高,需要对应用多做验证测试,但对有些系统来说这就是必不可少的,比如涉及到财务和人事的系统,其他不这么高敏感的则可以在静止数据上做加密,也就是文件或数据加密,一般都是足够的。
石家庄安企神电子科技有限公司,致力于信息数据安全产品及数据管理开发,为用户提供数据协同、安全管理、信息化安全建设服务与咨询,为更多的用户提供优质的产品和专业服务。
全球著名减震器制造商——天纳克携手安企神共筑安全制造新防线
天纳克(北京)汽车减振器有限公司天纳克(北京)汽车减振器有限公司成立于1995年,是天纳克在中国最早投资的合资企业。公司集设计、开发、生产及销售汽车减振器于一身。作为天纳克全球网络的一部分,能充分享受天纳克全球的技术积累经验和国际领先的设计理念,加之先进的生产设备和工艺技术。天纳克(北京)汽车减振器有限公司完全能保证为...
筑牢安全防线:安企神企业助力特种设备机械企业数据防泄密解决方案
西安苛菲特机械设备有限公司 西安苛菲特机械设备有限公司致力于特种设备的发展,专业从事特种设备的研发、制造和销售。目前已成为有色冶金特种设备、大型船舶特种设备、煤化工特种设备的领军品牌,并在业内得到了“ 特种设备专家”的称号。公司以打造国内一流特种设备为使命,主要产品定型为高品质特种(高温、高压、高合金)流量控...
安企神软件:三峡大学数据安全的坚实后盾与合作伙伴
学校介绍三峡大学是经国家教育部批准,由原武汉水利电力大学(宜昌)和原湖北三峡学院于2000年5月25日合并组建。2018年,学校被省人民政府列为“国内一流大学建设高校”,水利工程、土木工程、电气工程等3个学科被列为“国内一流学科建设学科”;目前,三峡大学已发展成为水利电力特色与优势比较明显、综合办学实力较强、享有较高社...
零部件企业数据保卫战:安企神软件如何筑起防泄密铜墙铁壁
瑞安市特迩翡汽车配件有限公司企业背景瑞安市戴尔菲汽车零部件有限公司一直致力于高共轨电喷(EFI)发动机和SCR排气系统的研发。通过了16949质量管理体系和CE认证,公司具备自主开发汽车电子系统和核心软件的技术能力。公司力争成为以市场为导向、以技术为支撑、以质量为先、以人才为本的知名创新型企业。产品包括:氮氧化物传感器...
强强联合!安企神软件携手瀚颐共筑汽车行业终端安全防线
瀚颐上海汽车电子科技有限公司EAST瀚颐中国团队成立于2015年。是国际AUTOSAR软件联盟的研发伙伴单位。具备汽车电子硬件设计、软件开发、CAN网络集成、系统集成测试以及项目管理的全面研发能力。专注于汽车电子以及相关产业并拥有25年以上的专业经验,拥有来自于德国和中国业内专家和高管组成的顾问团队,并向全球汽车行业客...