[乾貨] 資料洩露事件背後,眾多的企業級加密技術,誰能堪負重任?

架構師技術聯盟發表於2018-01-03

640?wx_fmt=png&wxfrom=5&wx_lazy=1


0?wx_fmt=gif&wxfrom=5&wx_lazy=1

      今天話題與安全褲無關,而是正經的談資料安全和加密。據Identity Theft Resource Center和Cyber Scout的報告顯示,截止2017年11月,資料洩露事件數量增加到1202起,這比2016年全年的1093起多出了10%。資料洩露的目標除了政府機構和財富500強的最終客戶之外,甚至擴大到安全廠商和解決方案提供商自身。


      攻擊者的攻擊範圍也擴大到從信用卡號碼到選民登記細節以及密碼和加密金鑰等方方面面。這些安全事件大多是由於錯誤配置或者安全性較差的雲伺服器導致,從Equifax到Uber,甚至VerizonCloudflare德勤和Accenture,都發生了規模較大的資料洩露和安全事件。


      那麼如何才能有效的解決資料洩露等風險問題呢?當然,加密技術就是用來保護資料在儲存和傳輸(鏈路加密技術)過程中的安全性,對做儲存的技術人員來說,平常遇到的加密方案和技術主要是儲存後端支援加密,如加密盤或儲存加密。但加密技術從資料加密位置一般分為應用層加密(如備份軟體,資料庫),閘道器層加密(如加密伺服器,加密交換機等),儲存系統加密加密硬碟技術。鏈路加密技術今天暫不討論。

0?wx_fmt=png

      相容性最好的當屬應用層加密技術(很多辦公軟體都是這種加密實現方式),因為這種加密方案在儲存、網路層是無感知的。個人認為應用層加密技術意義和實用價值更大些,可以保證資料端到端的安全性,而不是隻在儲存側或磁碟上資料是安全加密的。


      閘道器層加密技術容易造成效能問題,而且相容性不好,往往需要二次開發,因為所有資料流都需要經過加密裝置(通常用在Block儲存服務加密,需要在作業系統通用塊層實現加密能力),閘道器層加密實現方式通常有SNA交換機、閘道器加密伺服器等實現方式。


0?wx_fmt=png

      在專案中,我最早接觸的加密技術是閘道器層加密,有一家叫Bloombase Spitfire StoreSafe Security Server加密伺服器,支援的加密演算法較多,而且支援SAN、NAS、DAS、帶庫的加密,在形態上類似加密網管,Bloombase StoreSafe Security Server已經和業界主流的儲存、網路、伺服器廠商都跟其進行過認證測試,以後若有時間可以跟大家分享下其技術和方案。


      加密技術只是一種技術手段,每個地域或國家都有其對應的資料加密標準,從分類上講,目前主要分為國際標準和國家標準,今天,我們也是聚焦國際標準進行闡述。


      國際標準實際上也還涵蓋了不同行業標準,主要包括IEEE Std 1619-2007、歐盟的資料保護指令95/46/EGNIST FIPS140-2、各行業法規如SEC Rule 17a-4(證券經紀商)、HIPAA(醫療保健)、Sarbanes-Oxley(上市公司)、21CFR Part 11(生命科學)以及DOD 5015.2(政府)等,


      其中影響較大是FIPS140-2,它是由NIST所釋出針對密碼模組的安全需求,它指定了密碼模組需要的安全需求,被應用在安全系統之中保護敏感資料,提供了密碼模組測評、驗證和最終認證的基礎,具體規定了保護敏感或有價值資料的密碼模組的安全設計與實現的相關要求。FIPS140-2標準根據密碼模組應用和環境,定義了Level 1、Level 2、Level 3、Level 4四個級別。


      此外當然,還要考慮NIST 800-57金鑰生命週期管理標準和安全互操作協議KMIP(Key Management Interoperability Protocol)協議。

 

      資料加密演算法主要從機密性、完整性、真實性和不可抵賴性等方面來衡量,詳細描述可以參看下面這個表。

0?wx_fmt=png

      不同維度也有對應的加密演算法。提起加密演算法,大家更多的關注的是機密性對稱和非對稱加密演算法,實際上在一套加密系統或方案中,往往會涉及不同加密演算法同時使用。

0?wx_fmt=png

      金鑰管理系統就是加密系統的管家,目前在企業級資料系統中常見的有SafeNet和Vormetric等。由於密管系統主要的作用就是管理金鑰,雖說角色十分重要,但是對系統效能要求不高,採用主備方式部署保證可靠性,然而,現在的虛擬機器版本也越來越流行。

0?wx_fmt=png

      今天重點討論下基於應用透明加密(主要用於NAS和Object加密)技術和方案,即透明代理資料加密解決方案,詳解講解一下Vormetric 和SafeNet 的解決方案。


1、Vormetric Transparent Encryption解決方案


      在客戶被保護的應用主機上執行Vormetric Transparent Encryption Agent;進行資料的加解密。網路中部署Vormetric Data Security Manager(加密金鑰的管理伺服器,支援叢集模式),進行加密金鑰的管理。該方案的最大優點就是對客戶應用和儲存系統都是透明的。


      除此之外,Vormetric 還支援雲下加密,資料上雲方案。採用Vormetric Cloud Encryption Gateway解決方案在使用者側完成加解密,加密後的資料(物件、檔案)可以保持在S3或雲上。

 

0?wx_fmt=png


2、SafeNet ProtecFile、ProtecApp資料加密解決方案


      SafeNet主要提供SafeNet ProtecFile、ProtecApp對檔案、物件資料加密解決方案。與Vormetric(加密閘道器)有所不同的是SafeNet可以在AWS上提供了的金鑰管理租賃服務,可以把金鑰管理伺服器放在雲上。

 

      檔案加密方案採用 SafeNet 的ProtectFile解決方案實現基於檔案的加解密。  


  • ProtectFile是一套部署在使用者的主機上的軟體,實現對NAS儲存共享的檔案進行加解密。加密功能對應於主機和儲存系統透明。在被保護的應用伺服器上部署SafeNet Protectfile本地檔案和遠端儲存共享的檔案進行資料加解密。

  • KeySecure提供檔案加解密金鑰的集中管理,部署在使用者網路中,通過SSL安全通道分發金鑰。網路中部署Safenet keySecure進行加密金鑰的管理。

  • ProtectFile提供配置檔案整合KeySecure,無需進行二次開發。


      SafeNet ProtectFile實現透明加密,授權使用者可以對加密資料進行讀寫訪問;非授權使用者不能訪問加密資料。


      SafeNet ProtectFile檔案系統級加密,通常稱為檔案或資料夾加密,其中單個檔案或目錄由檔案系統本身加密。


    物件加密方案,採用ProtectApp提供的加解密介面API對S3物件資料進行加解密,同樣網路中要部署Safenet keySecure對物件加密金鑰進行管理。   


  • SafeNet ProtectApp是一個基於應用程式的加密產品,可對敏感應用資料進行加密。

  • ProtectApp解決方案可以保護非結構化資料(例如Excel表格、PDF檔案等)和結構化資料(如信用卡號碼、社會安全號碼、身份證、密碼等)。加密發生在資料生產或者第一次處理時,確保資料整個生命週期都是安全的,無論資料被轉移、備份或複製。

  • ProtectApp解決方案可以部署在物理、虛擬機器和雲基礎設施環境中保護資料,並且支援從一個環境遷移到另一個環境中,無需對現有加密策略或相關應用程式程式碼進行修改。


      金鑰管理(SafeNet KeySecure)是業界領先的加密金鑰集中管理與保護平臺,它可以支援廣泛的加密生態體系。其中包括SafeNet和第三方產品,保護在傳統的和虛擬化資料中心以及公共雲環境中的資料庫、檔案伺服器和儲存、虛擬工作負載以及應用程式中的敏感資料。


0?wx_fmt=png


      SafeNet可提供跨越FIPS 140-2第3級或第2級經驗證硬體裝置的靈活部署選項,同時也能提供支援使用Gemalto SafeNet Luna硬體安全模組(HSM)或Amazon Cloud HSM服務硬體信任的強化虛擬裝置,應用非常廣泛。篇幅所限,今天分享就到這裡,下次我們將分享加密盤技術。

 

>>>推薦閱讀



溫馨提示:
請搜尋“ICT_Architect”“掃一掃”二維碼關注公眾號,點選原文連結獲取更多技術資料

640?wx_fmt=png

點選原文連結獲取技術資料

0?wx_fmt=gif

相關文章