云计算数据加密需求及方法

安全 云安全
将数据迁移到云中失去了对处于公司安全边界外的数据的控制,将会增加数据保护的复杂度,因而欺诈的风险也会上升。

将数据迁移到云中失去了对处于公司安全边界外的数据的控制,将会增加数据保护的复杂度,因而欺诈的风险也会上升。

云计算加密的需求

出于合规或公司隐私的需求,云中的机密数据必须要保护。随着由系统内部管理的机密信息不断的迁移到云中,与之相应,需要花同样的力气去保护这些机密信息。将数据迁移到云中对提高机密性和数据保护没有任何帮助。与之相反,由于失去了对处于公司安全边界外的数据的控制,将会增加数据保护的复杂度,因而欺诈的风险也会上升。

有很多因素促使企业考虑云中数据加密,包括:

在将数据迁移到云中时通过加密来保护数据,所需要做的多于仅仅确保使用安全转移通道(如TLS)。在数据传输过程中加密不能确保数据在云中能得到保护。一旦数据达到云中,这些数据无论在云中还是在使用仍然需要保护;

对于在云中存储或共享时必须保护的无结构文件。这些文件可能通过以数据为中心的加密进行保护,或者在能够直接对文件进行保护时将加密嵌入到文件格式之中;

理解在数据的整个生存周期中,如何管理加密或解密的密钥。只要有可能,都应避免依赖云服务提供商去保护,并且应该适当地使用密钥去保护企业的关键信息;

可以避免因为雇员失误造成的损失,或者区域法律造成的麻烦。除非需要委托别人访问你的加密文件。如果只有你自己有密钥,那么只有你有资格访问你的文件;

不要忘记保护那些经常被忽略的文件,因为它们经常包含敏感信息。登录文件和元数据可能是数据泄露的途径;

使用足够耐用的加密强度(如AES-256)的加密技术,遵守同一公司规定批准的方式去机密维护的文件。使用公开有效的格式,只要有可能的地方应避免使用专用加密格式。

当企业在评估通过加密或者其他方法保护哪些东西时,一般来说数据共享的风险可分解为两个基本的类别:泄露(公开)、滥用,包括以下方面:

意外公开泄露,使得信息或数据可被一般的公众通过公共网站获取;

意外或恶意泄露,由于不恰当的数据保护使信息或数据被第三方利用的行为;

政府公开,依据法律或法院命令将数据对政府公开;

滥用用户或网络档案资料,通过分析和数据挖掘去从看似为交通数据中提取出敏感信息,以揭露用户行为、关系、偏好或兴趣;

滥用推理,能够去描绘推理关于个人的行为或身份;

滥用重鉴定和去匿名,通过访问足够的匿名信息以推测原始主题。

云计算常用的加密方法

在加密部分常用两个互补的有效方法,它们是:

内容感知加密:在数据防泄露中使用,内容感知软件理解数据或格式,并基于策略设置加密。例如在使用email将一个信用卡卡号发送给执法部门时会自动加密;

保格式加密:加密一个消息后产生的结果仍像一个输入的消息。例如一个16位信用卡卡号加密后仍是一个16位的数字,一个电话号码加密后仍像一个电话号码,一个英文单词加密后仍像一个英语单词;

从企业内部到云上时,加密过程可以不需要用户干预是保障数据安全的首选方式。如果软件能配置协议感知,内容感知软件能够促进公有云加密的改善;现今的数据防泄露(DLP)应用案例满足产品的需求,能增强对将要离开企业的数据(通常以email形式)的保护,并在数据离开企业之前加密。这种原理可用于云数据保护,不过数据防泄漏产品或许产生警告。一个内容感知服务需要探测、加密和记录而不是警告。

保格式加密比内容感知更进一步,通过检测数据的敏感程度来决定加密及维持数据格式和类型。例如使用传统的加密,一个信用卡的卡号被加密后的结构是一个密文,再也不是一个16位的数字。保格式加密将会产生加密后的16位的密文数字。通过保持数据类型和格式,这一服务能在众多的协议上有秩序地轻易改变很多数值。保格式加密的关键挑战是加密大规模的明文数值,如存储在云中的email。大规模加密通常地是使用块加密算法,对文本数据进行。在保格式的应用中,需要花费一定的时间将每一个单词加密成相同长度的字符串。不过,加密后的密文结果能像原始明文一样存储在相同数据类型的文件中。

当然,在云应用中加密给商业应用提出一些问题,企业在部署应用架构时需要考虑解决,具体问题如下:

如果需要查询记录或者对象,加密过的主键(primary key)将使查询过程很复杂;

如果云应用集包含一批工作或其他涉及敏感数据的处理过程,尤其是PII和SPI数据,这些处理过程迁移到云中时,云环境将会使密钥管理变得复杂;

一个应用需要在数据库中找到记录或对象时,可能采用另外一种方式去存储唯一的值,例如令牌。令牌常被用在信用卡环境中,以确保信用卡卡号在应用中最低程度的被访问。从数值中产生的唯一的令牌能被用于产生新的主键,这些主键可以在公有云上的应用中使用,而不会暴露敏感数据;

在云上,与其他应用程序和数据一同工作的过程,如果需要操作明文数据,为实现其功能,必须能访问密钥或服务。

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2021-09-27 22:38:39

云计算安全数据

2018-05-22 14:16:35

云计算数据库云原生

2018-06-15 09:48:20

云计算数据中心架构

2012-04-06 09:17:52

云计算数据中心

2023-01-13 08:43:59

云计算数据管理

2019-09-26 10:56:04

云计算数据中心公共云

2017-11-21 09:15:51

2017-11-21 11:03:32

2012-01-12 09:03:53

2012-09-03 10:29:28

云计算数据中心

2020-01-15 12:02:25

云计算数据公共云

2012-01-09 11:16:31

2018-03-07 10:35:45

云计算存储系统

2018-09-12 07:39:06

2011-11-21 09:45:52

施耐德云计算数据中心

2013-08-22 09:50:47

2013-04-02 11:01:59

架构数据中心云计算

2015-08-25 09:02:59

2013-07-03 09:49:21

云计算数据中心

2012-09-04 13:48:57

云计算数据源Odata API
点赞
收藏

51CTO技术栈公众号