微信号:ICT_Architect

介绍:分析和交流ICT行业最前沿技术,分享云计算、存储、服务器、数据中心、网络、软件定义和虚拟化等相关知识,旨在知识交流、开放共享和共同进步.

[干货] 数据泄露事件背后,众多的企业级加密技术,谁能堪负重任?

2018-01-03 21:07 Hardy


      今天话题与安全裤无关,而是正经的谈数据安全和加密。据Identity Theft Resource Center和Cyber Scout的报告显示,截止2017年11月,数据泄露事件数量增加到1202起,这比2016年全年的1093起多出了10%。数据泄露的目标除了政府机构和财富500强的最终客户之外,甚至扩大到安全厂商和解决方案提供商自身。


      攻击者的攻击范围也扩大到从信用卡号码到选民登记细节以及密码和加密密钥等方方面面。这些安全事件大多是由于错误配置或者安全性较差的云服务器导致,从Equifax到Uber,甚至VerizonCloudflare德勤和Accenture,都发生了规模较大的数据泄露和安全事件。


      那么如何才能有效的解决数据泄露等风险问题呢?当然,加密技术就是用来保护数据在存储和传输(链路加密技术)过程中的安全性,对做存储的技术人员来说,平常遇到的加密方案和技术主要是存储后端支持加密,如加密盘或存储加密。但加密技术从数据加密位置一般分为应用层加密(如备份软件,数据库),网关层加密(如加密服务器,加密交换机等),存储系统加密加密硬盘技术。链路加密技术今天暂不讨论。

      兼容性最好的当属应用层加密技术(很多办公软件都是这种加密实现方式),因为这种加密方案在存储、网络层是无感知的。个人认为应用层加密技术意义和实用价值更大些,可以保证数据端到端的安全性,而不是只在存储侧或磁盘上数据是安全加密的。


      网关层加密技术容易造成性能问题,而且兼容性不好,往往需要二次开发,因为所有数据流都需要经过加密设备(通常用在Block存储服务加密,需要在操作系统通用块层实现加密能力),网关层加密实现方式通常有SNA交换机、网关加密服务器等实现方式。


      在项目中,我最早接触的加密技术是网关层加密,有一家叫Bloombase Spitfire StoreSafe Security Server加密服务器,支持的加密算法较多,而且支持SAN、NAS、DAS、带库的加密,在形态上类似加密网管,Bloombase StoreSafe Security Server已经和业界主流的存储、网络、服务器厂商都跟其进行过认证测试,以后若有时间可以跟大家分享下其技术和方案。


      加密技术只是一种技术手段,每个地域或国家都有其对应的数据加密标准,从分类上讲,目前主要分为国际标准和国家标准,今天,我们也是聚焦国际标准进行阐述。


      国际标准实际上也还涵盖了不同行业标准,主要包括IEEE Std 1619-2007、欧盟的数据保护指令95/46/EGNIST FIPS140-2、各行业法规如SEC Rule 17a-4(证券经纪商)、HIPAA(医疗保健)、Sarbanes-Oxley(上市公司)、21CFR Part 11(生命科学)以及DOD 5015.2(政府)等,


      其中影响较大是FIPS140-2,它是由NIST所发布针对密码模块的安全需求,它指定了密码模块需要的安全需求,被应用在安全系统之中保护敏感数据,提供了密码模块测评、验证和最终认证的基础,具体规定了保护敏感或有价值数据的密码模块的安全设计与实现的相关要求。FIPS140-2标准根据密码模块应用和环境,定义了Level 1、Level 2、Level 3、Level 4四个级别。


      此外当然,还要考虑NIST 800-57密钥生命周期管理标准和安全互操作协议KMIP(Key Management Interoperability Protocol)协议。

 

      数据加密算法主要从机密性、完整性、真实性和不可抵赖性等方面来衡量,详细描述可以参看下面这个表。

      不同维度也有对应的加密算法。提起加密算法,大家更多的关注的是机密性对称和非对称加密算法,实际上在一套加密系统或方案中,往往会涉及不同加密算法同时使用。

      密钥管理系统就是加密系统的管家,目前在企业级数据系统中常见的有SafeNet和Vormetric等。由于密管系统主要的作用就是管理密钥,虽说角色十分重要,但是对系统性能要求不高,采用主备方式部署保证可靠性,然而,现在的虚拟机版本也越来越流行。

      今天重点讨论下基于应用透明加密(主要用于NAS和Object加密)技术和方案,即透明代理数据加密解决方案,详解讲解一下Vormetric 和SafeNet 的解决方案。


1、Vormetric Transparent Encryption解决方案


      在客户被保护的应用主机上运行Vormetric Transparent Encryption Agent;进行数据的加解密。网络中部署Vormetric Data Security Manager(加密密钥的管理服务器,支持集群模式),进行加密密钥的管理。该方案的最大优点就是对客户应用和存储系统都是透明的。


      除此之外,Vormetric 还支持云下加密,数据上云方案。采用Vormetric Cloud Encryption Gateway解决方案在用户侧完成加解密,加密后的数据(对象、文件)可以保持在S3或云上。

 


2、SafeNet ProtecFile、ProtecApp数据加密解决方案


      SafeNet主要提供SafeNet ProtecFile、ProtecApp对文件、对象数据加密解决方案。与Vormetric(加密网关)有所不同的是SafeNet可以在AWS上提供了的密钥管理租赁服务,可以把密钥管理服务器放在云上。

 

      文件加密方案采用 SafeNet 的ProtectFile解决方案实现基于文件的加解密。  


  • ProtectFile是一套部署在用户的主机上的软件,实现对NAS存储共享的文件进行加解密。加密功能对应于主机和存储系统透明。在被保护的应用服务器上部署SafeNet Protectfile本地文件和远程存储共享的文件进行数据加解密。

  • KeySecure提供文件加解密密钥的集中管理,部署在用户网络中,通过SSL安全通道分发密钥。网络中部署Safenet keySecure进行加密密钥的管理。

  • ProtectFile提供配置文件集成KeySecure,无需进行二次开发。


      SafeNet ProtectFile实现透明加密,授权用户可以对加密数据进行读写访问;非授权用户不能访问加密数据。


      SafeNet ProtectFile文件系统级加密,通常称为文件或文件夹加密,其中单个文件或目录由文件系统本身加密。


    对象加密方案,采用ProtectApp提供的加解密接口API对S3对象数据进行加解密,同样网络中要部署Safenet keySecure对对象加密密钥进行管理。   


  • SafeNet ProtectApp是一个基于应用程序的加密产品,可对敏感应用数据进行加密。

  • ProtectApp解决方案可以保护非结构化数据(例如Excel表格、PDF文件等)和结构化数据(如信用卡号码、社会安全号码、身份证、密码等)。加密发生在数据生产或者第一次处理时,确保数据整个生命周期都是安全的,无论数据被转移、备份或复制。

  • ProtectApp解决方案可以部署在物理、虚拟机和云基础设施环境中保护数据,并且支持从一个环境迁移到另一个环境中,无需对现有加密策略或相关应用程序代码进行修改。


      密钥管理(SafeNet KeySecure)是业界领先的加密密钥集中管理与保护平台,它可以支持广泛的加密生态体系。其中包括SafeNet和第三方产品,保护在传统的和虚拟化数据中心以及公共云环境中的数据库、文件服务器和存储、虚拟工作负载以及应用程序中的敏感数据。



      SafeNet可提供跨越FIPS 140-2第3级或第2级经验证硬件设备的灵活部署选项,同时也能提供支持使用Gemalto SafeNet Luna硬件安全模块(HSM)或Amazon Cloud HSM服务硬件信任的强化虚拟设备,应用非常广泛。篇幅所限,今天分享就到这里,下次我们将分享加密盘技术。

 

>>>推荐阅读



温馨提示:
请搜索“ICT_Architect”“扫一扫”二维码关注公众号,点击原文链接获取更多技术资料

点击原文链接获取技术资料

 
架构师技术联盟 更多文章 [赠书] 解析VMware生态、解决方案和认证体系 从科研角度谈“如何实现基于机器学习的智能运维” 谨赠20篇技术热文营造一个不一样的节日气氛! [解密] DNA存储技术究竟牛在哪里? NAND Flash是如何生产出来的?
猜您喜欢 一张图告诉你全球政府黑客的地理位置 Tinker:技术的初心与坚持 疑难杂症之被丢弃的SYN包 0428java基础班经验交流会 数据库事务系列-事务模型基础