数据加密又称密码学,它是一门历史悠久的技术,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。
数据中心安全体系
随着数据中心安全体系结构格局发生变化,数据中心安全体系结构上逐渐演变的更为平稳,我们希望能看到应用工具(无论是主动的还是被动的)与专用服务子网络结合在一起。由于服务器的虚拟化和整合,数据中心安全体系结构开始进行改变。
显然,对硬盘驱动器和磁带进行加密是保护数据的关键。那么为什么企业机构并不急于这么做呢?管理密钥的复杂性是阻碍加密技术普及的最主要因素。毕竟,加密的方法有很多种,但是对密钥的管理要么成功要么失败。而且失败极有可能是几年之后才会发生的,这时候存在的漏洞已经很深了。一些信息必须保存数十年之久,而要成功保存密钥10年或者20年的确是一个严峻的挑战。
所幸的是,现在那些降低丢失密钥几率的密钥管理技术不断升级,越来越多确保备份流程每个步骤加密数据的新技术选择也层出不穷。大多数厂商都意识到了这个问题,并且积极致力于解决它。例如,RSA的KeyManagementSuite能够兼容RSA合作伙伴的加密产品,为IT用户提供一个管理所有密钥的统一平台。
加密厂商也开始将密钥管理技术集成到他们的产品中,或者将其作为一项选配功能提供给那些并不急于应用这项技术的用户。
数据中心加密方法
以下是目前市面上比较流行的几种存储加密方法:
1、文件级加密
文件级加密可以在主机上实现,也可以在网络附加存储NAS这一层以嵌入式实现。对于某些应用来讲,这种加密方法也会引起性能问题;在执行数据备份操作时,会带来某些局限性,对数据库进行备份时更是如此。特别是,文件级加密会导致密钥管理相当困难,从而添加了另外一层管理:需要根据文件级目录位置来识别相关密钥,并进行关联。
在文件层进行加密也有其不足的一面,因为企业所加密的数据仍然比企业可能需要使用的数据要多得多。如果企业关心的是无结构数据,如法律文档、工程文档、报告文件或其他不属于组织严密的应用数据库中的文件,那么文件层加密是一种理想的方法。如果数据在文件层被加密,当其写回存储介质时,写入的数据都是经过加密的。任何获得存储介质访问权的人都不可能找到有用的信息。对这些数据进行解密的唯一方法就是使用文件层的加密/解密机制。
2、数据库级加密
当数据存储在数据库里面时,数据库级加密就能实现对数据字段进行加密。这种部署机制又叫列级加密,因为它是在数据库表中的列这一级来进行加密的。对于敏感数据全部放在数据库中一列或者可能两列的公司而言,数据库级加密比较经济。不过,因为加密和解密一般由软件而不是硬件来执行,所以这个过程会导致整个系统的性能出现让人无法承受的下降。
由于数据库中数据的结构和组织都非常明确,因此对特定数据条目进行控制也就更加容易。用户可以对一个具体的列进行加密,如国家识别符列或工资列,而且每个列都会有自己的密钥。根据数据库用户的不同,企业可以有效地控制其密钥,因而能够控制谁有权对该数据条目进行解密。通过这种方式,企业只需要对关键数据进行加密即可。
这种加密方法所面临的挑战是,用户希望加密的许多数据条目在应用查询中可能也具备同样的值。因此系统设计师应当确保加密数据不参加查询,防止加密对数据库的性能造成负面影响。例如,如果账户编号已经加密,而用户希望查找一系列的编号,那么应用就必须读取整个表,解密并对其中的值进行对比。如果不使用数据库索引,这种原本只需要三秒钟就可执行完毕的任务可能会变成一个三小时的漫长查询。但这种方法也有积极的方面,数据库厂商已经在其新版产品中加入了一些服务,能够帮助企业解决这一问题。
3、介质级加密
介质级加密是一种新出现的方法,它涉及对存储设备包括硬盘和磁带上的静态数据进行加密。虽然介质级加密为用户和应用提供了很高的透明度,但提供的保护作用非常有限:数据在传输过程中没有经过加密。只有到达了存储设备,数据才进行加密,所以介质级加密只能防范有人窃取物理存储介质。另外,要是在异构环境使用这项技术,可能需要使用多个密钥管理应用软件,这就增加了密钥管理过程的复杂性,从而加大了数据恢复面临的风险。
4、嵌入式加密设备
嵌入式加密设备放在存储区域网SAN中,介于存储设备和请求加密数据的服务器之间。这种专用设备可以对通过上述这些设备、一路传送到存储设备的数据进行加密,可以保护静态数据,然后对返回到应用的数据进行解密。
嵌入式加密设备很容易安装成点对点解决方案,但扩展起来难度大,或者成本高。如果部署在端口数量多的企业环境,或者多个站点需要加以保护,就会出现问题。这种情况下,跨分布式存储环境安装成批硬件设备所需的成本会高得惊人。此外,每个设备必须单独或者分成小批进行配置及管理,这给管理添加了沉重负担。
5、应用加密
最后一种方法可能也是最安全的方法。将加密技术集成在商业应用中是加密级别的最高境界,也是最接近“端对端”加密解决方案的方法。在这一层,企业能够明确地知道谁是用户,以及这些用户的典型访问范围。企业可以将密钥的访问控制与应用本身紧密地集成在一起。这样就可以确保只有特定的用户能够通过特定的应用访问数据,从而获得关键数据的访问权。任何试图在该点下游访问数据的人都无法达到自己的目的。
在这一层,集成加密技术确实有助于避免数据库层的性能受到影响,因为用户可以改变查询的类型。然而,虽然这种方法是最安全的,但许多数据条目需要通过被多种不同的应用访问,企业对这种应用,甚至不同用户群的变化要进行及时的管理。事实上,如果企业使用厂商提供的打包应用,它们很可能根本无法实施这一层的解决方案,因为企业不可能获得这些应用的源代码。
数据加密形式
每一个提供数据中心产品服务的供应商似乎都是提供他们自己的数据加密形式。信息技术对于终端到终端的安全传输模式控制需要做些什么呢?
数据加密对于信息技术来说是一个正在关切的问题,目前获得这么多关注的原因之一是在信息生命周期中的某个时候,作为云服务供应商所提供的产品在移动数据的过程中会脱离内部IT部门的控制。这个问题不仅仅是对于云技术的,而且从一开始就要知道你的数据在哪里,并确保它处于安全状态下。
如果我必须找到一个用于保护数据的技术,目前似乎这个问题对于供应商来说最受关注,该技术应该是实时加密的某种形式。这个想法似乎借鉴了该技术的透明数据加密特性,它在数据处理过程中被建立,但有一个附加的层,对于该数据的用户来说这是非常不易察觉到的,这增加了数据加密的安全性。
数据保护正出现各种不同的形式,从云技术的应用软件数据加密/解密到传输客户数据,从云技术服务到在英特尔的Xeon5600处理器低端硬件中使用此技术,英特尔的Xeon5600处理器采用英特尔的AES-NI(高级加密标准新指令)借助CPU的特性进行专门的加密处理。
另外,还有一系列的专用产品针对你的网络和通信加密,信息技术决定了这一安全层的特性。这些产品参与到网络及其之间的连接,使之可以连接到外面的世界,并且控制通过他们所传递的数据的安全。
现在的问题变成了“什么样的安全模式是最适合你的数据中心?”如果每一个服务供应商提供他们自己的加密模式,如果这些应用软件使用他们自己的加密进行处理,以及迫于企业内部的压力,坚持要使用加密功能,你怎么做才能使他们一起工作?这是目前我需要寻找答案的问题。