10 лучших практик для управления ключами шифрования и защиты данных

Автор: Eugene Taylor
Дата создания: 14 Август 2021
Дата обновления: 1 Июль 2024
Anonim
Надежное шифрование данных средствами Windows. EFS. Зеленые имена файлов
Видео: Надежное шифрование данных средствами Windows. EFS. Зеленые имена файлов

Содержание


Источник: Яп Ки Чан / Dreamstime

вынос:

Новые угрозы безопасности данных постоянно появляются. Эти десять советов помогут вам защитить ваши данные с помощью шифрования.

В современных приложениях шифрование данных стало неотъемлемой частью разработки. Каждый отдельный фрагмент данных имеет свою важность, и мы не можем оставить их уязвимыми без использования каких-либо механизмов шифрования или функций безопасности. Шифрование данных стало основной защитой данных, которые хранятся в базах данных, файловых системах и других приложениях, которые передают данные. Учитывая степень безопасности данных, необходимо следовать передовым методам при реализации механизмов шифрования и безопасности данных.

Здесь мы рассмотрим некоторые из лучших практик, которые следует соблюдать при реализации механизмов шифрования и защиты данных.

Децентрализовать процесс шифрования и дешифрования

Это важный аспект разработки и реализации плана защиты данных. Выбор заключается в том, чтобы внедрить его на локальном уровне и распределить по всему предприятию или внедрить в центральном месте на отдельном сервере шифрования. Если процессы шифрования и дешифрования распределены, менеджер ключей должен обеспечить безопасное распределение и управление ключами. Программное обеспечение, которое выполняет шифрование на уровне файлов, баз данных и приложений, хорошо известно как обеспечивающее высочайший уровень безопасности при одновременном предоставлении пользователям полного доступа к приложению. Децентрализованный подход шифрования и дешифрования имеет следующие преимущества:


  • Более высокая производительность
  • Более низкая пропускная способность сети
  • Более высокая доступность
  • Лучшая передача данных

Центральное управление ключами с распределенным исполнением

Любое решение, основанное на архитектуре с хаб-спицами, считается хорошей архитектурой. Эта архитектура позволяет узлу шифрования и дешифрования существовать в любой точке сети предприятия. Компонент управления спиц-ключом может быть легко развернут на разных узлах и может быть интегрирован с любым приложением шифрования. После развертывания и готовности лучевых компонентов все механизмы шифрования / дешифрования становятся доступными на уровне узла, где выполняется задача шифрования / дешифрования. Такой подход уменьшает количество поездок по сети передачи данных. Этот подход также снижает риск простоя приложения из-за сбоя компонента-концентратора. Менеджер ключей должен отвечать за управление генерацией, безопасным хранением и истечением срока действия ключей, которые используются спицами. В то же время ключи с истекшим сроком действия необходимо обновить на уровне узла.


Поддержка нескольких механизмов шифрования

Даже если у нас реализован наилучший доступный механизм шифрования, всегда желательно иметь поддержку различных технологий шифрования. Это становится необходимым в случаях слияний и поглощений. В любом из этих двух сценариев нам необходимо работать с нашими деловыми партнерами в наших экосистемах. Наличие системы безопасности, которая поддерживает основной алгоритм шифрования промышленного стандарта, гарантирует, что организация хорошо подготовлена ​​к принятию любых новых правительственных норм и правил. (Иногда вам нужно больше, чем просто шифрование, чтобы сохранить ваши данные в безопасности. Проверьте шифрование просто не достаточно: 3 Критические истины о безопасности данных.)

Централизованные профили пользователей для аутентификации

Учитывая чувствительность данных, становится необходимым иметь соответствующий механизм аутентификации. Доступ к этим данным должен основываться на профилях пользователей, определенных в диспетчере ключей. Только аутентифицированным пользователям будут назначаться и выдаваться учетные данные для доступа к зашифрованным ресурсам, связанным с профилем пользователя. Этими профилями пользователей управляет пользователь, имеющий административные права в диспетчере ключей. В целом, рекомендуется следовать подходу, при котором ни один пользователь или администратор не имеет единоличного доступа к ключам.

Отсутствие расшифровки или повторного шифрования в случае ротации или истечения срока действия ключа

Каждое поле данных или файл, который зашифрован, должен иметь профиль ключа, связанный с ним. Этот профиль ключа позволяет приложению идентифицировать зашифрованные ресурсы, которые следует использовать для расшифровки поля данных или файла. Таким образом, не требуется расшифровывать набор зашифрованных данных, а затем повторно шифровать их обратно после истечения срока действия ключей или их изменения. Недавно зашифрованные данные будут расшифрованы с использованием самого последнего ключа, в то время как для существующих данных будет выполнен поиск исходного профиля ключа, который использовался для шифрования, и использовался для дешифрования.

Вести полные журналы и контрольные журналы

Ведение журнала является важным аспектом любого приложения. Это помогает отслеживать события, произошедшие в приложении. Обширное ведение журнала всегда полезно в случае распределенных приложений и является важным компонентом управления ключами. Каждый доступ к набору данных, который зашифрован из-за его высокой степени чувствительности, должен подробно регистрироваться со следующей информацией:

Нет ошибок, нет стресса - ваше пошаговое руководство по созданию изменяющего жизнь программного обеспечения без разрушения вашей жизни

Вы не можете улучшить свои навыки программирования, когда никто не заботится о качестве программного обеспечения.

  • Деталь функции, которая получила доступ к конфиденциальным данным
  • Подробная информация о пользователе, который получил доступ к конфиденциальным данным
  • Ресурсы, которые используются для шифрования данных
  • Данные, к которым осуществляется доступ
  • Время доступа к данным

Общее решение для шифрования / дешифрования всего приложения

Всегда рекомендуется следовать общему механизму шифрования для шифрования полей, файлов и баз данных. Механизм шифрования не должен знать данные, которые он шифрует или дешифрует. Мы должны определить данные, которые должны быть зашифрованы, а также механизм. После шифрования данные становятся недоступными и могут быть доступны только на основании прав пользователя. Эти права пользователя зависят от приложения и должны контролироваться администратором. (Чтобы узнать больше о шифровании, см. «Доверие к шифрованию. Просто много сложнее».)

Сторонняя интеграция

На предприятиях принято использовать большое количество внешних устройств. Эти устройства могут быть точками продаж (POS), которые рассредоточены по сети. Они не имеют типичных приложений, ориентированных на базы данных, и предназначены для одной функции с использованием проприетарных инструментов. Это всегда хороший подход - использовать механизм шифрования, который может быть легко интегрирован с любым сторонним приложением.

Принцип наименьших привилегий

Всегда рекомендуется не использовать приложения, требующие использования административных привилегий, если это не является абсолютно необходимым. Использование приложения через опытного пользователя или пользователя с правами администратора делает приложение уязвимым для угроз безопасности и рисков.

Частые резервные копии

Одним из основных аспектов безопасности данных является резервное копирование данных. Учитывая степень чувствительности, все данные должны ежедневно резервироваться. Также важно восстановить резервную копию данных и проверить правильность приложения.

Заключение

Шифрование и дешифрование необходимы для обеспечения безопасности данных в современном деловом мире. Если вы будете следовать этим советам, то ваши данные должны быть защищены от посторонних глаз.