静态加密是网络安全的重要组成部分,可确保存储的数据不会成为黑客的轻松目标。随着网络犯罪分子继续开发更复杂的方法来获取和窃取业务信息,加密静态数据已成为任何具有安全意识的组织的强制性措施。本文介绍静态数据加密。继续阅读以了解加密静态数据的重要性,并了解公司依靠哪些实践来保证存储资产的安全。
什么是静态数据?
静态数据是指以任何数字形式存在于计算机存储中的数据。此数据类型当前处于非活动状态,并且不会在设备或两个网络点之间移动。没有应用程序、服务、工具、第三方或员工正在积极使用此类信息。
静止不是永久的数据状态。一旦有人请求文件,该数据就会通过网络移动并成为传输中的数据。一旦某人(或某物)开始处理文件,数据就会进入使用状态。静态数据包括结构化和非结构化数据。公司可以在哪里存储静态数据的一些示例是:
- PC 和笔记本电脑上的硬盘和 SSD 驱动器。
- 数据库服务器。
- 云。
- 在第三方托管设施中。
- 边缘设备和便携式存储(手机、USB、平板电脑、便携式硬盘等)。
- 网络附加存储 (NAS)。
静态数据是黑客的首选目标。与通过网络移动的单个动态数据包不同,静态数据存储通常具有逻辑结构和有意义的文件名。静态数据通常还包含公司最有价值和最私密的信息,例如:
- 财务文件(过去的交易、银行账户、信用卡号码等)。
- 知识产权(产品信息、商业计划、原理图、代码等)。
- 联系人。
- 营销数据(用户交互、策略、方向、潜在客户等)。
- 员工和客户的个人信息。
- 医疗保健数据。
- 合同。
- 供应链信息。
虽然静态数据是静态的,但这种类型的数据实际上是“移动”的。公司经常在虚拟化环境中复制静态文件,将驱动器备份到异地设施,允许员工将笔记本电脑带回家,通过便携式设备共享数据等。为了维护静态数据的隐私和安全,公司应该依赖数据加密。加密是将一段数据翻译成未经授权的人(或系统)无法破译的看似无意义的文本的过程。
什么是静态数据加密?
静态数据加密是一种对存储数据进行加密以防止未经授权访问的网络安全实践。加密将数据打乱成密文,而将文件恢复到初始状态的唯一方法是使用解密密钥。如果未经授权的人访问加密数据但没有解密密钥,则入侵者必须破坏加密以解密数据。与访问硬盘驱动器上的未加密数据相比,此过程要复杂得多且消耗资源要多得多。加密静态数据对于数据保护至关重要,这种做法可以降低在以下情况下数据丢失或被盗的可能性:
- 数据泄露。
- 丢失或被盗的设备。
- 无意的密码共享。
- 意外的许可授予。
- 数据泄露。
在大多数情况下,静态加密依赖于对称加密。同一个密钥对数据进行加密和解密,这与非对称加密不同,在非对称加密中,一个密钥扰乱数据(公钥),另一个解密文件(私钥)。当速度和响应能力是首要任务时,安全团队通常会选择对称加密,这通常是静态数据的情况。
不幸的是,数据加密不仅仅是一种防御策略。犯罪分子使用密码学来发动勒索软件攻击,这是一种危险的网络攻击,会加密业务数据并迫使公司为解密密钥支付赎金。即使有强大的响应计划,勒索软件攻击也经常导致永久性数据丢失,这就是为什么许多组织在勒索软件预防策略上投入巨资的原因。
静态加密与传输中的加密
虽然静态加密和传输中的加密都依赖于密码学来保证数据的安全,但这两个过程有很大的不同。下表概述了主要区别:
| 比较点 | 静态加密 | 传输中的加密 |
|---|---|---|
| 主要目的 | 保护存储的静态数据。 | 保护从一个位置移动到另一个位置的数据(例如通过 Internet、通过专用网络或在服务之间)。 |
| 密码学类型 | 通常依靠对称密钥来确保数据存储保持可接受的速度。 | 通常使用非对称密钥对动态数据进行额外保护。 |
| 主要漏洞 | 数据存储包含比单个传输中数据包更有价值的信息,使这些文件成为黑客的目标。 | 传输中的文件比静态数据更容易受到攻击,因为在通过 Internet 发送消息时无法可靠地防止窃听。 |
| 这个怎么运作? | 保持数据加密,直到一个人(或系统)提供访问数据所需的解密密钥。 | 在传输之前加密消息并在到达目的地时解密它们。 |
这两种加密类型并不相互排斥。理想情况下,公司应该依靠静态和传输中的加密来保证业务数据的安全。
静态数据加密类型
公司可以在四个不同级别部署静态数据加密:
- 应用程序级加密:修改或生成数据的应用程序也在客户端工作站或服务器主机上执行加密。这种类型的加密非常适合根据角色和权限为每个用户自定义加密过程。
- 数据库加密:安全团队加密整个数据库(或其部分)以保证文件安全。
- 文件系统加密:这种类型的加密使管理员能够仅加密选定的文件系统(或文件系统中的文件夹)。任何人都可以使用此加密启动设备,但访问受保护的文件系统需要密码。
- 全盘加密:这种安全策略将整个硬盘驱动器上的数据转换为无意义的形式。启动设备的唯一方法是提供密码。
全盘加密是保护设备上数据的最安全形式。但是,您只能在新磁盘上使用这种类型的加密,因为加密现有磁盘会在此过程中清除设备。
静态加密的重要性
如果没有静态加密,任何全面的数据保护策略都是不完整的。公司应该通过加密来保护有价值的静态数据,因为这个过程:
- 阻止对关键数据的未经授权的访问,无论是来自组织内部还是外部。
- 防止入侵者轻松识别、解释和窃取有价值的数据。
- 在成功攻击的情况下限制爆炸半径。
- 在有人偷窃或丢失存储设备时保护组织。
- 防止数据泄露后的勒索企图。
加密静态数据也有助于遵守法规要求。很好的例子是支付卡行业数据安全标准 ( PCI ) 或健康保险流通与责任法案 ( HIPAA ),这两项法规需要健全的静态加密。虽然GDPR 和 CCPA不是必需的,但静态加密也有助于确保客户数据的隐私。
静态数据加密最佳实践
以下是组织在规划、实施和管理其静态加密策略时应遵循的最佳实践列表。
映射和分类有价值的数据
在部署静态加密(或任何其他类型的安全策略)之前,您应该首先映射您最敏感的公司和客户数据。数据分类因企业而异,但一个很好的起点是确定:
- 您拥有的每条数据的重要性。
- 您的组织保留的数据类型。
- 存放有价值数据的数字位置。
- 所有存储设备的物理位置。
- 有权访问敏感数据的所有人员、应用程序和系统。
这种分析有助于评估哪些数据需要加密,哪些文件不需要如此高的保护级别。有了这些信息,您就可以开始规划您的加密策略,并将努力与您的业务的独特需求和用例保持一致。
数据分类是一个动态过程,不会在第一次评估后结束。公司应不断重新评估数据的敏感度级别,并相应地重新调整其加密策略。
强大的密钥管理
加密策略仅与您的密钥管理一样可靠和安全。在密钥的整个生命周期(创建、存储、使用、管理和删除)中保持密钥安全至关重要,这就是为什么您应该实施以下密钥管理最佳实践:
- 切勿将加密数据与相应的解密密钥存储在同一存储中。
- 依赖于不同系统和子系统的各种密钥。
- 定期更新密钥。
- 不要依赖以前使用的密钥。
- 使用零信任安全性来保证密钥的安全。
- 将密钥存储在 HSM(硬件安全模块)上。
- 切勿对密钥进行硬编码。
- 拥有可靠的密钥备份和恢复协议。
- 集中加密密钥管理,使操作更加有效、安全和可见。
设置机密计算
如果您的组织依赖云服务并希望通过加密保护数据,您应该考虑机密计算。这种新的云安全模型通过数据在用保护扩展了静态和传输中的加密,确保了端到端的数据安全。
通过在处理过程中加密工作负载,机密计算甚至进一步降低了泄露或泄漏的风险。该策略的一些主要好处包括:
- 整个数据生命周期的加密。
- 减少攻击面。
- 将外部和内部威胁的风险降至最低。
- 更好的环境控制和更高的透明度。
- 提高了多云设置的安全性。
牢记速度
加密组织中的每条数据并不是一个好的解决方案。解密数据是一个比访问纯文本数据花费更多时间的过程。过多的加密会:
- 放慢操作。
- 影响应用程序性能。
- 使日常任务过于复杂。
- 严重影响业务可扩展性和团队敏捷性。
限制您加密的数据量以避免性能问题。例如,如果数据库包含敏感数据和非关键文件,您可以使用选择性加密数据库字段(或行或列)而不是加密所有数据。同样,您应该对密钥大小敏感,因为大密钥可能会导致问题。例如,如果您使用 AES 对称加密,则不需要对所有数据使用顶级 AES 256 加密。相反,您可以战略性地使用更快的 128 位和 192 位 AES 来保护不太敏感但仍然有价值的信息。
使用全盘加密保护设备
虽然应用程序、文件和数据库级别的加密各有所用,但最安全的做法是依赖全盘加密。全盘加密是最安全的策略,因为即使有人窃取或丢失了包含敏感信息的设备,它也能保护数据。如果您的公司依赖BYOD(自带设备)策略,则对全盘加密的需求变得更加重要。
不要忽视基础设施安全
静态数据加密仅与支持该过程的基础设施一样安全。确保团队运行所有相关的正确补丁:
- 服务器。
- 网络服务(IP 寻址、卫星、DSL、无线协议等)。
- 操作系统。
- 网络软件(本地和云端)。
- 网络安全应用程序。
- 防火墙。
任何全面的网络安全战略的必备条件
通过正确的策略和健全的密钥管理,公司可以使用静态数据加密来降低数据泄露以及所有相关罚款和收入损失的可能性。除了传输中和使用中的加密,静态数据加密应该是您的网络安全策略的基石。
