加密是保护网络附加存储(NAS)上数据的最有效工具之一。在加密后,即使网络攻击者获得驱动器的访问权限或拦截驱动器的通信,如果没有加密密钥,攻击者将无法读取数据。 通过使用NAS加密,可防止未经授权个人访问静态或动态机密数据。
这些数据可能包括信用卡号、知识产权、医疗记录、个人身份信息 (PII) 或其他类型的机密数据。此外,使用加密可确保遵守 GDPR 或 HIPAA 等法规。
如果没有加密,数据将以明文形式存储和传输,任何拦截通信或访问驱动器的人都可以读取数据。NAS设备还与其他设备和流量共享相同的LAN。这些系统包括计算机、打印机、智能手机、平板电脑和物联网设备。
NAS加密可能是复杂的过程,如果操作不当,可能会使敏感数据面临风险。对此,管理员可以通过遵循这七个最佳做法来简化他们的工作。
1. 确定要加密的内容
加密和解密数据会降低性能,有时会很显着。这里影响的程度取决于NAS设备、企业如何部署加密以及存储单元是否包含加密加速器。在某些情况下,加密还会降低数据缩减技术的效率。
因此,仅加密需要受到保护或需要遵守适用法规的数据。根据数据的机密性要求对数据进行优先级排序。为了帮助确定数据的优先级,请考虑如果某些类型的数据遭到破坏会产生的影响。
2. 加密静态敏感数据
静态数据是指存储在NAS设备上的数据,而不是端点之间传输的数据。这可能是传输数据的副本,但核心数据本身会持久保存到NAS介质。
使用NAS加密可保护敏感数据免遭未经授权的访问,即使设备被盗也是如此。但是,请确保用于加密和解密操作的加密模块符合公认的标准,例如NIST制定的联邦信息处理标准。
请使用高级加密技术,例如AES 256位加密。请加密元数据和其余数据。此外,加密应该能够根据需要进行扩展,而几乎不会中断操作。
3. 加密动态敏感数据
传输中的数据容易受到窃听和劫持等威胁。除非数据经过加密,否则网络攻击者可以访问在NAS设备和其他系统(包括其他NAS设备)之间传输的机密信息。因此,非常重要的是,对传输到 NAS 设备或从 NAS 设备传输的任何敏感数据进行加密。
对于超出企业受保护域的通信,NAS加密尤其重要,尽管这并不意味着内部网络没有风险。恶意员工或粗心大意的用户可能同样构成威胁。对动态数据进行加密时,请使用行业标准协议(例如传输层安全协议),并关闭 NAS 设备上所有未使用的端口。此外,应涵盖所有敏感信息,包括备份和复制的数据。
4. 加密管理会话
管理员经常需要访问他们的NAS系统以配置和控制存储组件,有时远程连接到系统。管理访问与其他类型的通信一样容易受到攻击。攻击者可以拦截会话数据,并访问NAS环境本身,在那里他们可以更改权限、窃取敏感信息、引入恶意软件或破坏数据。无论管理员是通过API、命令行界面还是其他客户端工具进行连接,请始终加密管理会话以防止数据泄露和其他风险。
5. 使用虚拟专用网络
虚拟专用网络通过互联网提供加密连接。它隐藏有关会话的详细信息,并为与NAS设备远程通信的客户端系统添加额外的保护层。由于虚拟专用网络会伪装用户的在线身份和活动,攻击者更难以窃取数据或破坏系统,甚至无法推断会话的内容或数据类型。在COVID-19大流行期间,虚拟专用网络变得尤为重要,因为越来越多的人在家工作并需要远程连接来完成工作。
6. 部署集中密钥管理
大多数加密方法依赖于加密密钥来加密和解密数据。因此,企业应该将密钥管理纳入NAS加密策略。加密密钥必须得到正确生成、分发、储存,并在完成使命后销毁。这个过程需要集中的密钥管理系统,以维护密钥并保护它们免受未经授权的访问。
如果没有这个系统,密钥可能会被泄露,使未经授权的个人有可能冒充用户、访问敏感数据、拦截消息,或进行一系列其他恶意行为。密钥管理还应考虑适用的法规,包括数据保护法律,以及与导入和导出加密技术相关的法律。
7. 不要仅仅依靠加密来保护敏感数据
加密是可用于保护敏感数据的最重要机制之一,但它不是唯一的工具。数据保护需要多层安全,以防止数据受到多种方式的破坏。
例如,员工可能被授权访问公司网络上的PII数据。当用户登录并访问数据时,它会被解密并以纯文本形式呈现,以便用户可以处理信息。如果网络攻击者获得用户的登录凭据,攻击者将能够访问网络并查看该员工可用的任何数据,即使数据经过加密。