移动安全 安全管理 应用案例 网络威胁 系统安全 应用安全数据安全 云安全
当前位置: 主页 > 信息安全 > 数据安全 >

云数据库加密及其实践建议

时间:2013-11-06 10:49来源:TuZhiJiaMi企业信息安全专家 点击:
云数据库加密 第一件事需要考虑加密数据的需要性。所有的数据库都具有限制拜候的功能。某些合适的实现已足以呵护数据奥秘性。 其他需要经由过程加密来呵护存储在数据库中的数据的身分
Tags数据安全(840)加密(97)云数据库(1)  

  云数据库加密

  第一件事需要考虑加密数据的需要性。所有的数据库都具有限制拜候的功能。某些合适的实现已足以呵护数据奥秘性。

  其他需要经由过程加密来呵护存储在数据库中的数据的身分有:对数据库的特权用户(如数据库治理员)隐躲数据;为了遵循法令律例,数据具有者不克不及经由过程帐户来节制对数据的拜候(如利用共享账户)。

  当利用云数据库,出格是用到了数据库的SaaS解决方案时,数据库的正常功能将会降落,迫使数据库或云利用能拜候密钥,除非能在密文上把持。

  数据加密会带来复杂度和机能上的成本。除加密以外,还有一些别的有效编制:

  利用对象安然。利用SQL准予及拔除声明往束缚账户拜候这些数据。这些账户中哪些准予拜候的必需严格节制,以确保只有授权的用户才能拜候。

  存储安然哈希值。存储这些数据的哈希值而不是直接存储这些数据,这能承诺企业的法度能证实持有者有准确的值而没必要实际存储它。

  密钥治理

  在公有云计较中一个很坚苦的过程就是密钥治理,公有云中的多租户模型造成其上运行的过程需要考虑密钥治理标题问题。

  最简单的利用案例是在公有云中有益用法度运行,加密数据的从企业内部流到公有云中,密钥仅供企业内部利用。有的加密引擎可以或许在数据流出时加密,在数据流进时解密。当公有云上的其他措置过程(例如批措置)需要拜候密钥往解密数据时,一个利用密钥的利用法度将变得复杂。

  企业中利用者需要具有他们本身的密钥,而不是一个能用于拜候全部企业的伶仃的共享密钥。最简单的解决编制是采取一个加密引擎,基于实体身份信息为每个用户或实体分派(或治理)一个密钥。以这类编制,为一个实体出格加密的任何信息将为那一实体所保护。假定一个群体内的实体需要共享数据,那么可觉得治理群体拜候的利用法度分派一个群体级别密钥,并在群体内的实体间共享密钥。密钥在企业内部应当像这一部门前面会商的那样进行治理。

  当数据存储在公有云环境中,在停用这一环境时,证实所稀有据(特别是PII或SPI数据或附属于法令律例的数据)已从公有云环境中删往,包含其他媒体如复制盘等,将存在着标题问题;保护本地密钥治理可以或许从密钥治理系统中拔除(或删除或丢掉)密钥,以确保任何数据残留在公有云的数据不克不及被解密,来供给这一包管。

  假定云办事供给商和用户没有一个有效的密钥治理过程,加密数据就没有多大年夜价值。 在办事供给方,需要存眷的身分包含:办事器具有加密的数据,同时拜候密钥办事器贫乏职责划分;数据库治理员能拜候小我密钥;或数据库办事架构依托于单一密钥。

  利用密钥加密密钥,在内存中产生加密密钥,和只存储密钥办事器的加密密钥,都是能节制和呵护密钥本身的有效的架构解决方案。构建任何解决方案时都应当考虑这些。 客户端密钥治理,在本身其实不服安的设备(如移动终端)上呵护密钥,或这一设备没有获得划一第别的节制,都是需要考虑的身分。

  实践中的具体建议

  在企业利用的具体实践中,可以遵守以下一些有益的建议:

  当利用任何情势的加密或解密产品时,利用最好的密钥治理办法;

  如有可能,应当利用可托源中现成的手艺,以获得最好实践;

  利用最好的密钥治理实践,获得手艺和产品用于加密、解密、签订,并从可托源中核实;

  特别建议组织要保护他们本身的密钥或利用已运营这类办事的可托暗码办事;

  假定一个组织需要利用存在云中的数据运行阐发或其他的措置,这个组织应当基于一个平台如Hadoop开辟,从云中的数据源中导出数据;

  密钥的管辖范围能在小我或集体级别保护;

  集体拜候的治理可利用现成的手艺,如DRM系统,或其他运行在桌面或笔记本上,用以加密硬盘、文件和email动静的软件;

  为了保护最好的实践办法和经由过程审计,企业应当本身治理他们的密钥,或利用来自于加密软件供给商那边的可托办事;

  现有加密手艺中利用的密钥如DRM和硬盘加密产品应当在企业内部,利用密钥存储手艺来集中治理;硬件安然调制应当用于存储密钥,和措置加密把持如加解密、签名和点窜等;

  企业利用者应当经由过程注册步调往启用企业中的加密把持和其他措置,如能按照需要来拜候加/解密钥的内容感知或保格局加密系统;

  基于身份认证的所有组件,将手艺摆设整合进公司系统,在措置流程中做授权决定利用***加密把持来治理加解密过程的密钥;

  如有可能,利用现有的系统如E-DRM或数据防泄漏(DLP);

  将加密把持和密钥治理***到公司的身份认证系统上,为组织供给最大年夜矫捷度的整合,和利用组织已体味、审计过的或查验过的手艺。

  别的,对云数据库的加密,可以参考以下实践建议:

  利用尺度算法。不要利用专用的不规范的手艺,专用加密算法没有被证实且等闲被攻破;

  避免利用旧的不服安的加密尺度如数据加密尺度(DES);

  利用对象安然。即便在加密的环境下,也应当对峙利用根基对象安然(SQL准予及拔除声明)往禁止对数据的拜候;

  不要加密主键或索引列。假定加密主键,将必需加密所有的参考外部键。假定企业加密索引列,当企业曾是利用加密数值时,查询数据将会很慢;

  利用柱状的编制往加密(因为大年夜数据系统利用这类编制)。

------分隔线----------------------------

推荐内容