數(shù)據(jù)加密又稱密碼學,它是一門歷史悠久的技術,指通過加密算法和加密密鑰將明文轉變?yōu)槊芪模饷軇t是通過解密算法和解密密鑰將密文恢復為明文。數(shù)據(jù)加密目前仍是計算機系統(tǒng)對信息進行保護的一種最可靠的辦法。它利用密碼技術對信息進行加密,實現(xiàn)信息隱蔽,從而起到保護信息的安全的作用。
數(shù)據(jù)中心安全體系
隨著數(shù)據(jù)中心安全體系結構格局發(fā)生變化,數(shù)據(jù)中心安全體系結構上逐漸演變的更為平穩(wěn),我們希望能看到應用工具(無論是主動的還是被動的)與專用服務子網(wǎng)絡結合在一起。由于服務器的虛擬化和整合,數(shù)據(jù)中心安全體系結構開始進行改變。
顯然,對硬盤驅動器和磁帶進行加密是保護數(shù)據(jù)的關鍵。那么為什么企業(yè)機構并不急于這么做呢?管理密鑰的復雜性是阻礙加密技術普及的最主要因素。畢竟,加密的方法有很多種,但是對密鑰的管理要么成功要么失敗。而且失敗極有可能是幾年之后才會發(fā)生的,這時候存在的漏洞已經(jīng)很深了。一些信息必須保存數(shù)十年之久,而要成功保存密鑰10年或者20年的確是一個嚴峻的挑戰(zhàn)。
所幸的是,現(xiàn)在那些降低丟失密鑰幾率的密鑰管理技術不斷升級,越來越多確保備份流程每個步驟加密數(shù)據(jù)的新技術選擇也層出不窮。大多數(shù)廠商都意識到了這個問題,并且積極致力于解決它。例如,RSA的KeyManagementSuite能夠兼容RSA合作伙伴的加密產品,為IT用戶提供一個管理所有密鑰的統(tǒng)一平臺。
加密廠商也開始將密鑰管理技術集成到他們的產品中,或者將其作為一項選配功能提供給那些并不急于應用這項技術的用戶。
數(shù)據(jù)中心加密方法
以下是目前市面上比較流行的幾種存儲加密方法:
1、文件級加密
文件級加密可以在主機上實現(xiàn),也可以在網(wǎng)絡附加存儲NAS這一層以嵌入式實現(xiàn)。對于某些應用來講,這種加密方法也會引起性能問題;在執(zhí)行數(shù)據(jù)備份操作時,會帶來某些局限性,對數(shù)據(jù)庫進行備份時更是如此。特別是,文件級加密會導致密鑰管理相當困難,從而添加了另外一層管理:需要根據(jù)文件級目錄位置來識別相關密鑰,并進行關聯(lián)。
在文件層進行加密也有其不足的一面,因為企業(yè)所加密的數(shù)據(jù)仍然比企業(yè)可能需要使用的數(shù)據(jù)要多得多。如果企業(yè)關心的是無結構數(shù)據(jù),如法律文檔、工程文檔、報告文件或其他不屬于組織嚴密的應用數(shù)據(jù)庫中的文件,那么文件層加密是一種理想的方法。如果數(shù)據(jù)在文件層被加密,當其寫回存儲介質時,寫入的數(shù)據(jù)都是經(jīng)過加密的。任何獲得存儲介質訪問權的人都不可能找到有用的信息。對這些數(shù)據(jù)進行解密的唯一方法就是使用文件層的加密/解密機制。
2、數(shù)據(jù)庫級加密
當數(shù)據(jù)存儲在數(shù)據(jù)庫里面時,數(shù)據(jù)庫級加密就能實現(xiàn)對數(shù)據(jù)字段進行加密。這種部署機制又叫列級加密,因為它是在數(shù)據(jù)庫表中的列這一級來進行加密的。對于敏感數(shù)據(jù)全部放在數(shù)據(jù)庫中一列或者可能兩列的公司而言,數(shù)據(jù)庫級加密比較經(jīng)濟。不過,因為加密和解密一般由軟件而不是硬件來執(zhí)行,所以這個過程會導致整個系統(tǒng)的性能出現(xiàn)讓人無法承受的下降。
由于數(shù)據(jù)庫中數(shù)據(jù)的結構和組織都非常明確,因此對特定數(shù)據(jù)條目進行控制也就更加容易。用戶可以對一個具體的列進行加密,如國家識別符列或工資列,而且每個列都會有自己的密鑰。根據(jù)數(shù)據(jù)庫用戶的不同,企業(yè)可以有效地控制其密鑰,因而能夠控制誰有權對該數(shù)據(jù)條目進行解密。通過這種方式,企業(yè)只需要對關鍵數(shù)據(jù)進行加密即可。
這種加密方法所面臨的挑戰(zhàn)是,用戶希望加密的許多數(shù)據(jù)條目在應用查詢中可能也具備同樣的值。因此系統(tǒng)設計師應當確保加密數(shù)據(jù)不參加查詢,防止加密對數(shù)據(jù)庫的性能造成負面影響。例如,如果賬戶編號已經(jīng)加密,而用戶希望查找一系列的編號,那么應用就必須讀取整個表,解密并對其中的值進行對比。如果不使用數(shù)據(jù)庫索引,這種原本只需要三秒鐘就可執(zhí)行完畢的任務可能會變成一個三小時的漫長查詢。但這種方法也有積極的方面,數(shù)據(jù)庫廠商已經(jīng)在其新版產品中加入了一些服務,能夠幫助企業(yè)解決這一問題。
3、介質級加密
介質級加密是一種新出現(xiàn)的方法,它涉及對存儲設備包括硬盤和磁帶上的靜態(tài)數(shù)據(jù)進行加密。雖然介質級加密為用戶和應用提供了很高的透明度,但提供的保護作用非常有限:數(shù)據(jù)在傳輸過程中沒有經(jīng)過加密。只有到達了存儲設備,數(shù)據(jù)才進行加密,所以介質級加密只能防范有人竊取物理存儲介質。另外,要是在異構環(huán)境使用這項技術,可能需要使用多個密鑰管理應用軟件,這就增加了密鑰管理過程的復雜性,從而加大了數(shù)據(jù)恢復面臨的風險。
4、嵌入式加密設備
嵌入式加密設備放在存儲區(qū)域網(wǎng)SAN中,介于存儲設備和請求加密數(shù)據(jù)的服務器之間。這種專用設備可以對通過上述這些設備、一路傳送到存儲設備的數(shù)據(jù)進行加密,可以保護靜態(tài)數(shù)據(jù),然后對返回到應用的數(shù)據(jù)進行解密。
嵌入式加密設備很容易安裝成點對點解決方案,但擴展起來難度大,或者成本高。如果部署在端口數(shù)量多的企業(yè)環(huán)境,或者多個站點需要加以保護,就會出現(xiàn)問題。這種情況下,跨分布式存儲環(huán)境安裝成批硬件設備所需的成本會高得驚人。此外,每個設備必須單獨或者分成小批進行配置及管理,這給管理添加了沉重負擔。
5、應用加密
最后一種方法可能也是最安全的方法。將加密技術集成在商業(yè)應用中是加密級別的最高境界,也是最接近“端對端”加密解決方案的方法。在這一層,企業(yè)能夠明確地知道誰是用戶,以及這些用戶的典型訪問范圍。企業(yè)可以將密鑰的訪問控制與應用本身緊密地集成在一起。這樣就可以確保只有特定的用戶能夠通過特定的應用訪問數(shù)據(jù),從而獲得關鍵數(shù)據(jù)的訪問權。任何試圖在該點下游訪問數(shù)據(jù)的人都無法達到自己的目的。
在這一層,集成加密技術確實有助于避免數(shù)據(jù)庫層的性能受到影響,因為用戶可以改變查詢的類型。然而,雖然這種方法是最安全的,但許多數(shù)據(jù)條目需要通過被多種不同的應用訪問,企業(yè)對這種應用,甚至不同用戶群的變化要進行及時的管理。事實上,如果企業(yè)使用廠商提供的打包應用,它們很可能根本無法實施這一層的解決方案,因為企業(yè)不可能獲得這些應用的源代碼。
數(shù)據(jù)加密形式
每一個提供數(shù)據(jù)中心產品服務的供應商似乎都是提供他們自己的數(shù)據(jù)加密形式。信息技術對于終端到終端的安全傳輸模式控制需要做些什么呢?
數(shù)據(jù)加密對于信息技術來說是一個正在關切的問題,目前獲得這么多關注的原因之一是在信息生命周期中的某個時候,作為云服務供應商所提供的產品在移動數(shù)據(jù)的過程中會脫離內部IT部門的控制。這個問題不僅僅是對于云技術的,而且從一開始就要知道你的數(shù)據(jù)在哪里,并確保它處于安全狀態(tài)下。
如果我必須找到一個用于保護數(shù)據(jù)的技術,目前似乎這個問題對于供應商來說最受關注,該技術應該是實時加密的某種形式。這個想法似乎借鑒了該技術的透明數(shù)據(jù)加密特性,它在數(shù)據(jù)處理過程中被建立,但有一個附加的層,對于該數(shù)據(jù)的用戶來說這是非常不易察覺到的,這增加了數(shù)據(jù)加密的安全性。
數(shù)據(jù)保護正出現(xiàn)各種不同的形式,從云技術的應用軟件數(shù)據(jù)加密/解密到傳輸客戶數(shù)據(jù),從云技術服務到在英特爾的Xeon5600處理器低端硬件中使用此技術,英特爾的Xeon5600處理器采用英特爾的AES-NI(高級加密標準新指令)借助CPU的特性進行專門的加密處理。
另外,還有一系列的專用產品針對你的網(wǎng)絡和通信加密,信息技術決定了這一安全層的特性。這些產品參與到網(wǎng)絡及其之間的連接,使之可以連接到外面的世界,并且控制通過他們所傳遞的數(shù)據(jù)的安全。
現(xiàn)在的問題變成了“什么樣的安全模式是最適合你的數(shù)據(jù)中心?”如果每一個服務供應商提供他們自己的加密模式,如果這些應用軟件使用他們自己的加密進行處理,以及迫于企業(yè)內部的壓力,堅持要使用加密功能,你怎么做才能使他們一起工作?這是目前我需要尋找答案的問題。
