最近,NIST(美國國家標(biāo)準(zhǔn)與技術(shù)研究所)出版了《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架改善》白皮書。距離奧巴馬總統(tǒng)簽署網(wǎng)絡(luò)安全行政令正好一年。現(xiàn)在,數(shù)據(jù)中心的每一位基礎(chǔ)設(shè)施和硬件的管理人員都在正試圖確定該標(biāo)準(zhǔn)將會對他們的工作產(chǎn)生什么樣的影響,以及他們所在數(shù)據(jù)中心的框架到底屬于那一“層面”。
該框架的核心包括五個(gè)功能:識別,保護(hù),檢測,響應(yīng)和恢復(fù)。數(shù)據(jù)中心管理人員,系統(tǒng)管理員和首席信息安全官們都知道,如果在數(shù)據(jù)“保護(hù)”方面花費(fèi)更多的時(shí)間,那么,在“響應(yīng)”和“恢復(fù)”方面的時(shí)間必然將會有所減少。本著這一精神,在本文中,我們將為大家介紹有一些方法,以加強(qiáng)對于您不斷變化的數(shù)據(jù)中心的安全程序的保護(hù)的同時(shí),又不會損失數(shù)據(jù)的有效性。
數(shù)據(jù)保護(hù)的層次
很大一部分的數(shù)據(jù)“保護(hù)”工作都涉及到數(shù)據(jù)加密。在數(shù)據(jù)中心中,數(shù)據(jù)可以有三種狀態(tài):休息,運(yùn)行和被使用。最常見的加密是在設(shè)備層面的加密,以便保護(hù)那些處于休息和運(yùn)行狀態(tài)的數(shù)據(jù)。通常,設(shè)備層面進(jìn)行加密相對容易實(shí)現(xiàn),但其也只是提供了最低水平的數(shù)據(jù)保護(hù)。
大多數(shù)人認(rèn)為,當(dāng)數(shù)據(jù)保護(hù)是實(shí)現(xiàn)全磁盤加密(包括磁盤驅(qū)動器本身的加密或者文件系統(tǒng)的加密)就自然實(shí)現(xiàn)了對處于休息狀態(tài)的數(shù)據(jù)加密。但我們將這種方法僅僅視為對設(shè)備的保護(hù),因?yàn)槿绻纬龃疟P驅(qū)動器,所有磁盤上的數(shù)據(jù)固然均是加密的,只有那些有私人密鑰能夠解密數(shù)據(jù)的才可以訪問。但當(dāng)磁盤被操作時(shí),整盤加密或加密文件系統(tǒng)沒有提供任何保護(hù)。當(dāng)文件被讀取或復(fù)制,其會自動解密,而當(dāng)這些數(shù)據(jù)被轉(zhuǎn)移到另一個(gè)平臺,加密并不會同時(shí)隨之轉(zhuǎn)移。
運(yùn)行中的數(shù)據(jù)加密通常被認(rèn)為是通過協(xié)議,如SSL/TLS保障的。在運(yùn)行中的數(shù)據(jù)保護(hù)是通過這些協(xié)議的嗅探。而沒有私人密鑰,將無法解密數(shù)據(jù)。
另一種考慮對休息和運(yùn)行狀態(tài)數(shù)據(jù)保護(hù)的互補(bǔ)的方案是以數(shù)據(jù)為中心,而非以設(shè)備為中心的加密。如果對單個(gè)文件進(jìn)行了加密,那么,就算某人刪除了驅(qū)動設(shè)備或試圖在傳輸過程中攔截敏感數(shù)據(jù)數(shù)據(jù)仍然是受保護(hù)的。只要在休息和運(yùn)行狀態(tài)的數(shù)據(jù)被鎖定,那么你將不再依賴于單個(gè)設(shè)備或傳輸協(xié)議來為加密的數(shù)據(jù)提供保護(hù),因?yàn)闊o論到哪里,以何種傳輸方式,其在本地存儲,SAN或NAS,或云中均是受保護(hù)的。
以數(shù)據(jù)為中心的方法?
以數(shù)據(jù)為中心的保護(hù)方法在技術(shù)上并不比設(shè)備加密更難。在過去,有關(guān)加密障礙和以數(shù)據(jù)為中心的保護(hù)的某些誤解主要是由于諸如企業(yè)缺乏有實(shí)力可以處理或加密大型機(jī)的內(nèi)部人員等因素造成的。因此首先,我們將向大家介紹有關(guān)于以數(shù)據(jù)為中心的加密和設(shè)備級加密之間的差異的一些基本知識。
對于設(shè)備級加密,通常需要X.509證書以便在加密操作中提供密鑰,通常用很少的配置。從這點(diǎn)上看,既然已經(jīng)對整體進(jìn)行了加密,就沒有必要選擇對個(gè)別證書進(jìn)行加密了,因?yàn)樵撛O(shè)備已經(jīng)采用了相同的通用加密。其執(zhí)行是很容易的,也并非完全沒有價(jià)值,但其越來越受到高級攻擊或不必要的“訪客”威脅。
而另一方面,以數(shù)據(jù)為中心的加密保護(hù)單個(gè)文件,利用特定的認(rèn)證確保每個(gè)文件只有那些具有特定訪問權(quán)限的人才能訪問。以數(shù)據(jù)為中心的安全性要求以一個(gè)經(jīng)紀(jì)人協(xié)商的身份組合應(yīng)用程序,密鑰和加密算法。身份驗(yàn)證,要求您首先告知應(yīng)用程序您是誰,然后關(guān)聯(lián)相應(yīng)的密鑰認(rèn)證您的身份。接下來,應(yīng)用程序利用密鑰與適當(dāng)?shù)募用芩惴ㄍㄟ^使用平臺,并利用相應(yīng)的密鑰對數(shù)據(jù)進(jìn)行加密解密。以數(shù)據(jù)為中心的加密解決方案都能夠使用多種鍵控源,以及聯(lián)系特定的鍵進(jìn)行身份識別。他們還可以利用硬件加密的優(yōu)勢,這將盡可能高效地進(jìn)行數(shù)據(jù)加密。如主鍵訪問等功能使密鑰管理更加容易,并且能夠在非常大的規(guī)模來實(shí)現(xiàn)。
在實(shí)踐中的保護(hù)
安全就是縱深防御。以數(shù)據(jù)為中心的加密是對以設(shè)備為中心的加密的互補(bǔ),但鑒于當(dāng)今世界數(shù)據(jù)移動的大趨勢,我們必須著眼于數(shù)據(jù)第一,然后才是設(shè)備。因此,在數(shù)據(jù)傳輸過程中的數(shù)據(jù)保護(hù)遠(yuǎn)比單純確保設(shè)備的安全更有效。
了解一些以數(shù)據(jù)為中心的安全的級聯(lián)效應(yīng),如從存儲的角度來看到影響是非常重要的。一個(gè)鮮為人知的事實(shí)是,壓縮加密數(shù)據(jù)是不可能。根據(jù)定義,加密數(shù)據(jù)是高度隨機(jī)的,因此其不能被壓縮。如果你要對數(shù)據(jù)進(jìn)行加密,最好是在加密的同時(shí)進(jìn)行壓縮,因?yàn)槌酥饽憔蜎]有壓縮加密數(shù)據(jù)的機(jī)會了。
值得一提的是,加密應(yīng)該從您企業(yè)的敏感數(shù)據(jù)開始。實(shí)施更廣泛的加密方法固然有價(jià)值,但要煮沸一大片海水可能會錯過某些精致(和現(xiàn)實(shí))業(yè)務(wù)數(shù)據(jù)的安全性。例如,您可以實(shí)施數(shù)據(jù)分類或?qū)⑵渑c一個(gè)SAN和NAS上批量數(shù)據(jù)的DLP解決方案結(jié)合使用。但你會希望把重點(diǎn)放在敏感數(shù)據(jù)處理方面,并確保對休息和運(yùn)行狀態(tài)數(shù)據(jù)的加密。
以層為出發(fā)點(diǎn)
新的NIST框架的第一個(gè)版本,避免陷入數(shù)據(jù)安全的紛爭,如建議加密類型。然而,在固體的方面之一:“層”系統(tǒng),能夠讓企業(yè)和數(shù)據(jù)管理人員評估他們的風(fēng)險(xiǎn)偏好和分層的安全需求。較之許多其他的安全措施,其只是努力減少數(shù)據(jù)安全的預(yù)期,這是一個(gè)起點(diǎn)。而隨著密碼學(xué)作為“分層”的安全方法的一部分,數(shù)據(jù)中心管理人員可以建立自己的框架來保護(hù)敏感的商業(yè)信息安全。