由于可以通过前所未有的众多方式接入企业领域,这使得信息安全专业人员求助于众多数据保护方法。几十年来,加密一向是信息安全工具库当中的主要武器,但是面对我们如今亲眼目睹的数字化转变,加密需要重新评估。
传统方式的加密是一项耗费大量资源的工作,它带来的难题常常几乎与它解决的难题一样多。一些目光长远的企业期望利用现代化技术,有机会重新定义其数据保护策略,同时在这个过程中将安全由一项必要的保护措施转变成一个业务推动因素。为了做到这一点,必须考虑下列七大加密标准。
第一个标准:酌情处理。
是时候考虑我们的老朋友:80/20法则了。问一下自己:贵企业里面有多少比例的数据是真正的敏感数据?贵公司的信息绝大多数很有可能出现在时代广场的广告牌上,不过造成的影响极小;某人生日派对的策划文档根本不需要予以加密。
无所不在的加密会干扰应用程序的功能,尤其是报告和搜索功能,这个问题在如今高度整合的云模式下显得尤为复杂。一种酌情处理的、有所选择的加密方法可确保敏感数据的安全,又不妨碍新兴技术具有的好处。
第二个标准:符合企业安全政策。
你在制定指导准则以确定加密何时有必要时,不需要从头开始。可以参照企业内部现有的安全政策,就可以评估哪些敏感信息可能存在于贵企业环境中,并利用这些信息,为自己的加密策略奠定基础。另外别忘了考虑与贵公司有关的内外合规性法规。
第三个标准:高度自动化的加密。
一旦就哪些情况下需要加密达成了共识,接下来可以采取实际行动了。充分利用安全技术,找出企业里面的敏感内容,并使用加密作为针对风险特别大的事件的一种补救工具。如果让这个过程实现自动化,安全团队势必能够以一种智能化、内容感知的方式,迅速减小数据不恰当泄露的可能性,并且给企业安全状况带来实实在在的影响。
第四个标准:考虑到人员因素。
安全项目如今比以往更加需要将最终用户的需要考虑进来。如果企业的安全计划妨碍典型的用户工作流程,或者侵扰性太强(软件代理不值得考虑),员工就会规避企业系统,通过随手可得的软件即服务(SaaS)应用程序,利用他们可以获得的众多替代方法;如果需要的话,还有机会完全绕过企业网络,这归因于自带设备(BYOD)潮流。
第五个标准:云无处不在。
现在的问题不再是企业组织何时采用云技术,而是如何采用。你上一回跑到办公用品商店购买盒装软件是啥时候了?说实话,我也不记得了。
与云端加密有关的挑战归因于三大现象:云端数据急剧增加,现代用户的预期要求比较高,以及保留原生云功能具有的重要性。从2014年到2015年,我们目睹存储在公有云应用程序中的文件数量增长了10倍。加密这么多海量的数据就好比用气泡衬垫将整个房子包起来,而不是关注那些要紧的易损物品。
与此同时,安全负责人开始认识到用户个人上班时和下班后都在充分利用云技术,带来了一种更高效、更合作的移动生活方式。用户们在访问传统企业网络内外的SaaS应用程序。最后,正如我们已经讨论的那样,一刀切的加密会在云端带来复杂性,具体表现为影响搜索和报告功能。
第六个标准:自适应架构。
因而,现代的加密策略必须与许多企业奉行的云优先理念相一致,以便为员工队伍提供最出色的工具。为此,需要重新规划流量路由和重新配置网络的依赖硬件的加密网关或解决方案显得缺乏效率、并不理想。
与传统预置型加密模式有关的网络设备带来了单一故障点,并且缺乏可扩展性、部署简易性以及已成为新标准的移动/云兼容性。另外,它们无力应对从不在企业网络上传送的日益增加的云到云流量;也就是说,文件同步和共享应用程序与客户关系管理(CRM)整合起来。
第七个标准:加密只是个开头。
虽然加密具有重大的安全价值,但安全专业人员必须避免完全依赖加密这一诱惑。除了加密策略外,还要辅以另外的最佳实践,才能获得一项整体的安全计划。
别将用户当作对手,而是让他们变成安全代言人和搭档。经常与用户进行交流,确保他们的需求得到了解,同时创造机会以传达贵企业安全策略的目标和价值。你甚至可以让用户将某人的社会保障号码从那份生日派对策划文档中隐掉。
英文:7 Critical Criteria for Data Encryption In The Cloud