淺談加強數據中心安全程序保護的方法
最近,NIST(美國國家標準與技術研究所)出版了《關鍵基礎設施網絡安全框架改善》白皮書。距離奧巴馬總統簽署網絡安全行政令正好一年。現在,數據中心的每一位基礎設施和硬件的管理人員都在正試圖確定該標準將會對他們的工作產生什么樣的影響,以及他們所在數據中心的框架到底屬于那一“層面”。
該框架的核心包括五個功能:識別,保護,檢測,響應和恢復。數據中心管理人員,系統管理員和首席信息安全官們都知道,如果在數據“保護”方面花費更多的時間,那么,在“響應”和“恢復”方面的時間必然將會有所減少。本著這一精神,在本文中,我們將為大家介紹有一些方法,以加強對于您不斷變化的數據中心的安全程序的保護的同時,又不會損失數據的有效性。
數據保護的層次
很大一部分的數據“保護”工作都涉及到數據加密。在數據中心中,數據可以有三種狀態:休息,運行和被使用。最常見的加密是在設備層面的加密,以便保護那些處于休息和運行狀態的數據。通常,設備層面進行加密相對容易實現,但其也只是提供了最低水平的數據保護。
大多數人認為,當數據保護是實現全磁盤加密(包括磁盤驅動器本身的加密或者文件系統的加密)就自然實現了對處于休息狀態的數據加密。但我們將這種方法僅僅視為對設備的保護,因為如果您拔出磁盤驅動器,所有磁盤上的數據固然均是加密的,只有那些有私人密鑰能夠解密數據的才可以訪問。但當磁盤被操作時,整盤加密或加密文件系統沒有提供任何保護。當文件被讀取或復制,其會自動解密,而當這些數據被轉移到另一個平臺,加密并不會同時隨之轉移。
運行中的數據加密通常被認為是通過協議,如SSL/TLS保障的。在運行中的數據保護是通過這些協議的嗅探。而沒有私人密鑰,將無法解密數據。
另一種考慮對休息和運行狀態數據保護的互補的方案是以數據為中心,而非以設備為中心的加密。如果對單個文件進行了加密,那么,就算某人刪除了驅動設備或試圖在傳輸過程中攔截敏感數據數據仍然是受保護的。只要在休息和運行狀態的數據被鎖定,那么你將不再依賴于單個設備或傳輸協議來為加密的數據提供保護,因為無論到哪里,以何種傳輸方式,其在本地存儲,SAN或NAS,或云中均是受保護的。
以數據為中心的方法?
以數據為中心的保護方法在技術上并不比設備加密更難。在過去,有關加密障礙和以數據為中心的保護的某些誤解主要是由于諸如企業缺乏有實力可以處理或加密大型機的內部人員等因素造成的。因此首先,我們將向大家介紹有關于以數據為中心的加密和設備級加密之間的差異的一些基本知識。
對于設備級加密,通常需要X.509證書以便在加密操作中提供密鑰,通常用很少的配置。從這點上看,既然已經對整體進行了加密,就沒有必要選擇對個別證書進行加密了,因為該設備已經采用了相同的通用加密。其執行是很容易的,也并非完全沒有價值,但其越來越受到高級攻擊或不必要的“訪客”威脅。
而另一方面,以數據為中心的加密保護單個文件,利用特定的認證確保每個文件只有那些具有特定訪問權限的人才能訪問。以數據為中心的安全性要求以一個經紀人協商的身份組合應用程序,密鑰和加密算法。身份驗證,要求您首先告知應用程序您是誰,然后關聯相應的密鑰認證您的身份。接下來,應用程序利用密鑰與適當的加密算法通過使用平臺,并利用相應的密鑰對數據進行加密解密。以數據為中心的加密解決方案都能夠使用多種鍵控源,以及聯系特定的鍵進行身份識別。他們還可以利用硬件加密的優勢,這將盡可能高效地進行數據加密。如主鍵訪問等功能使密鑰管理更加容易,并且能夠在非常大的規模來實現。
在實踐中的保護
安全就是縱深防御。以數據為中心的加密是對以設備為中心的加密的互補,但鑒于當今世界數據移動的大趨勢,我們必須著眼于數據第一,然后才是設備。因此,在數據傳輸過程中的數據保護遠比單純確保設備的安全更有效。
了解一些以數據為中心的安全的級聯效應,如從存儲的角度來看到影響是非常重要的。一個鮮為人知的事實是,壓縮加密數據是不可能。根據定義,加密數據是高度隨機的,因此其不能被壓縮。如果你要對數據進行加密,最好是在加密的同時進行壓縮,因為除此之外你就沒有壓縮加密數據的機會了。
值得一提的是,加密應該從您企業的敏感數據開始。實施更廣泛的加密方法固然有價值,但要煮沸一大片海水可能會錯過某些精致(和現實)業務數據的安全性。例如,您可以實施數據分類或將其與一個SAN和NAS上批量數據的DLP解決方案結合使用。但你會希望把重點放在敏感數據處理方面,并確保對休息和運行狀態數據的加密。
以層為出發點
新的NIST框架的第一個版本,避免陷入數據安全的紛爭,如建議加密類型。然而,在固體的方面之一:“層”系統,能夠讓企業和數據管理人員評估他們的風險偏好和分層的安全需求。較之許多其他的安全措施,其只是努力減少數據安全的預期,這是一個起點。而隨著密碼學作為“分層”的安全方法的一部分,數據中心管理人員可以建立自己的框架來保護敏感的商業信息安全。
