安全专家Karen Scarfone逐一分析了市面上的几款顶尖全盘加密产品,确定哪一款可能最适合贵企业。
全盘加密(FDE)广泛应用于各种各样的台式机和移动设备操作系统上。这项技术可以加密硬盘上的所有静态数据,从而有助于保护重要信息,防止泄密。
市面上有多种类型的全盘加密软件产品。有些与其他安全套件捆绑在一起,有些是独立式的,还有一些内置在操作系统中。本文着重分析了非捆绑式的解决方案(独立式和内置于操作系统)。这倒不是说捆绑式解决方案较为逊色;不过,评估捆绑式解决方案所需的标准比纯FDE解决方案要广泛得多。
市面上五款领先的商用FDE产品是:Check Point全盘加密产品、戴尔数据保护和加密产品、迈克菲全面数据保护产品、Sophos SafeGuard和赛门铁克端点加密产品。值得注意的是,戴尔产品既可以在戴尔硬件上使用,也可以在非戴尔硬件上使用。另外还有几种大受欢迎的开源FDE解决方案,包括DiskCryptor。最后,还有操作系统提供的解决方案,比如苹果FileVault 2和微软BitLocker。
所有这些FDE解决方案都得到了广泛使用,FDE产品问世的时间通常只有短短几年。这些产品都提供了基本的FDE功能,保护台式机、笔记本电脑和某些移动设备上的静态数据。有些还可以用在服务器上;但是由于它们的主要保护对象是台式机和笔记本电脑,所以本文将着重介绍这些计算机平台。
由于市面上有那么多的FDE产品,找到适合企业的一款产品可能并非易事。幸好,有许多成熟的产品可供选择,另外还可以参考区别FDE产品的七大标准。
第一个标准:设备部署
操作系统提供的FDE软件在设备部署方面似乎会有显著的优势,因为软件已经作为操作系统的一部分而安装上去。然而实际情况并非如此。
在FDE部署环境中,配置软件以及严加看管配置的难度常常比软件安装大得多。如果用户能够改动FDE配置,他们就有可能无意中或有意削弱或禁用这项技术,因而让它毫无用处。用户们还可以对自己的系统发动拒绝服务攻击,只要删除加密密钥或者以其他方式对配置进行不明智的更改。
商用FDE产品提供了远程部署功能,那样系统管理员就不需要跑过去查看每一个最终用户设备。这可以节省宝贵的时间,另外对远程用户(比如说远程办公人员和长时间出差的人员)来说也必不可少。操作系统提供的微软BitLocker在一定程度上可以通过组策略(Group Policy)来加以管理,但它其实是用于本地管理,就跟苹果FileVault 2一样。开源产品通常需要本地安装和配置,它们通常假设循规蹈矩的最终用户不会更改FDE配置。
第二个标准:产品管理
就FDE而言,管理并不完全局限于FDE配置。管理的许多方面需要考虑,包括密钥轮换、密码更改、补丁安装和密码升级(比如加大密钥长度和采用新的加密算法)。
就企业FDE部署环境而言,集中式管理的重要性再怎么强调都不为过。FDE的主要成本不在于软件本身,而在于管理和支持。就因为某款解决方案的初始成本较低,并不意味着从长远来看其实际运营成本也会比较低。开源解决方案通常并不提供任何形式的集中式管理功能,这样一来,管理和支持起来特别费钱,尤其是在规模相当大的企业里。
FDE方面最让人惊讶的地方之一是,操作系统提供的产品常常被认为难以管理,使用其他FDE产品来作为补充。本文测评的一些商用产品实际上能够为操作系统提供的FDE添加管理功能,比如戴尔数据保护和加密产品、迈克菲全面数据保护产品和Sophos SafeGuard。从性能的角度来看这具有优势――能够使用原生FDE功能,同时确保已部署了单一、强大的集中式管理框架,能够同时满足FileVault和BitLocker的需要。
第三个标准:兼容性
就与现有环境兼容而言,许多企业应该最关心的是FDE解决方案如何处理进入休眠或待机模式的设备(通常是笔记本电脑)。问题在于,处于这样一种模式的笔记本电脑会丢失或被偷;如果FDE没有对电脑存储的数据进行强有力的保护,那么敏感数据就很容易外泄。
由于兼容性因产品和操作系统而异(甚至有可能因环境而异),强烈建议企业组织使用所考虑的每款FDE解决方案来测试自己的设备――无论是原生操作系统解决方案(微软BitLocker和苹果FileVault 2),第三方解决方案(Check Point全盘加密产品、戴尔数据保护和加密产品、迈克菲全面数据保护产品、Sophos SafeGuard和赛门铁克端点加密产品),还是开源解决方案(DiskCryptor)。那样一来,它们就能明白在其特定的环境下,各种FDE解决方案在电脑休眠或待机期间会有怎样的表现。
FDE软件与直接访问硬盘的应用程序之间可能也会有冲突――有些很明显,比如磁盘实用工具,有些则不太明显,比如某些资产管理程序。强烈建议企业组织对照可能直接访问硬盘的任何应用程序,测试每一款有意购买的FDE产品,找出任何不兼容之处,然后联络受影响产品的厂商,询问可能的解决办法。
第四个标准:验证服务整合
通常建议企业组织为FDE采用多因子验证(MFA),那样完全重复使用操作系统密码验证的产品通常不被接受。FDE软件应该有自己的验证机制,或者利用企业级MFA,比如活动目录、智能卡或密码令牌(后者最好)。本文中提到的所有商用产品都支持多因子验证,包括智能卡和密码令牌,而戴尔数据保护和加密产品尤其值得一提,原因在于它还专门支持生物特征识别技术。至于苹果FileVault 2和微软BitLocker功能,验证服务方面的选项相当有限,除非FileVault或BitLocker之外还使用可以添加集中式管理及其他功能的第三方商用产品。
第五个标准:密钥恢复
密码密钥恢复是FDE的一项特别重要的管理功能,因为如果密码恢复失败或没有可能,受影响用户就会永远无法访问所有本地存储的数据。复杂的集中式密钥恢复功能只有商用附加产品才提供。FileVault提供了一定的集中式密钥恢复:它会将恢复密钥存储在苹果公司,允许用户致电苹果来恢复该密钥。然而,请第三方保管加密密钥可能会违反企业安全政策,所以企业评估潜在产品时一定要留意恢复密钥存储在何处。微软BitLocker单独使用时,并不提供任何的集中式密钥管理。
商用产品支持管理员执行的集中式密钥恢复活动;有些产品还支持用户实现自助式恢复,比如Check Point全盘加密产品和赛门铁克端点加密产品。认真评估恢复方案各自的安全性,这点很重要。
比如说,自助式恢复产品可能需要用户回答一些问题,比如他们偏爱的颜色或宠物名称。不法分子可以利用这些问题,在未经授权的情况下擅自获取用户的密码,因而避开该用户设备上的FDE。评估密钥恢复方案时,企业组织应该先确定执行密钥恢复的将是用户还是管理员(还是两者都可以)。
第六个标准:缓解蛮力攻击
对付采用蛮力的密码攻击,最常见的缓解手法就是,延长验证尝试之间的间隔、将验证尝试暂停一段时间,或者在多次尝试失败后擦除设备上的数据。如果使用了单因子(密码)验证,最迫切需要任何这种缓解手法。除了Check Point全盘加密产品和赛门铁克端点加密产品外,本文提到的其他产品都无法提供对付蛮力攻击的缓解手法,所以向厂商询问这方面的详细信息很要紧。
第七个标准:密码算法
考虑到密码技术的现状,FDE产品通常应该采用高级加密标准(AES)算法,最好是采用长度是256位的密钥。本文提到的所有产品都采用AES,而且都支持使用256位密钥。
另外建议,正式评估FDE产品,确定它们实施的密码机制是否安全可靠,这实际上也是一些企业组织所要求的;最常见的认证是联邦信息处理标准(FIPS)140-2合规认证。FIPS 140-2合规认证方面的信息详见此处(http://searchsecurity.techtarget.com/feature/The-fundamentals-of-FDE-Comparing-the-top-full-disk-encryption-products)。
一些产品并不符合FIPS 140-2,比如赛门铁克终端加密和面向Yosemite的苹果FileVault 2,但这是由于这些是新产品(2014年底才推出)。这些产品正等着进行FIPS 140-2测试,所以预计它们在不远的将来会通过合规认证。DiskCryptor等开源产品并不符合FIPS 140-2标准,最可能是由于获得认证面临经济负担。因此,需要使用FIPS合规产品的企业组织可能不得不出资自行开展这些开源产品的认证过程,如果想要实施开源产品的话。
密码方面需要考虑的另一个方面是,密码密钥存储在哪里,本地还是远程;如果存储在本地,又存储在设备上的何处。比如说,戴尔数据保护和加密产品以及微软BitLocker就能使用本地可信平台模块(TPM),对存储的数据实行强有力的保护。如果密钥存储在本地,而存储的密钥又没有得不到适当的保护,攻击者就能够恢复密钥,避开FDE提供的保护机制,因而突破设备的安全防线。
结束语
本文介绍的所有软件都可以提供基本的FDE产品。产品是否适合用于企业,最大的决定因素是有无全面的软件管理功能。比如说,尽管许多企业已经拥有了操作系统提供的FDE软件,但还是购买FDE产品,原因就是管理操作系统提供的FDE面临诸多难题。另外还有一些开源产品,它们提供了免费的FDE功能,但它们缺少管理功能,最适合个人和一次性系统使用,并不适合标准的企业部署环境使用。
在诸多商用产品当中,没有哪款产品具有真正明显的优势。每家企业需要横向比较产品,确定哪款最适合自己的要求。在许多情况下,这意味着向提供企业内部使用的其他安全产品的同一家厂商购买产品。如果将任何商用产品用于整个企业的FDE部署环境,企业应该会觉得很轻松。