数据库加密依赖于有用的密钥管理
发布时间:2022-05-05 09:54:47 所属栏目:安全 来源:互联网
导读:越来越多的企业都已听取了监管机构的意见,增加数据库加密的强度,以确保遇到大规模违规事件时,数据信息的安全依然能够得到保障。但是,如果没有一个强大有效的密钥管理实践规范,这些企业可能会发现,他们的这些数据加密措施只是形同虚设罢了。 当加密数据
|
越来越多的企业都已听取了监管机构的意见,增加数据库加密的强度,以确保遇到大规模违规事件时,数据信息的安全依然能够得到保障。但是,如果没有一个强大有效的密钥管理实践规范,这些企业可能会发现,他们的这些数据加密措施只是形同虚设罢了。 “当加密数据库正真开始激增的时候,人们已陷入困境。”伏尔米公司的高级产品营销总监托德·希曼说。“若果你遇到了上述的数据库,那么你也获得了一份让人十分头疼的管理工作。” 他说,他曾了解到很多企业管理加密密钥失误的例子。 “在一次项目中,我们亲眼见过一个需要进入亚马逊的SSH密钥被存储在某个内部的Wiki页面中。”他说。“这不是一个安全的妥善做法。”“你需要好好保管这些东西,并具备一定的控制权。这样才能获得一个良好的安全状态,并给你的审计人员表明,所有的一切都是合规的。” 数据库加密密钥管理的基本准则就是永远不要把密钥与加密的数据库本身存放在同一台服务器上。 科塔里说:“这与你在停车时带走车钥匙相比来说没有什么太大的不同。对于管理密钥来说,让密钥与数据库完全脱离是至关重要的。” 无论企业选择在何处储存密钥,这个存储位置应是安全且有据可查的,以及与其数据本身具有同类型的备份和恢复机制。如果密钥丢失或因灾难事故而摧毁时,其数据依然将会完好如初。 “我们确实听到过一些环绕于安全或密钥被窃的严重事件,究其原因不是密钥被放错位置就是密钥被遗失了。”莫斯讲到,“如果你弄丢了这些密钥,那么基本上你就只能得到密码形式的数据了,直到永远。这是一个很常见的现象。” 除了密钥的存储问题之外,企业还需仔细考虑密钥管理员的管治。审计师将会在企业中寻找不同的人员进行职责分离,以便保证不是同一人负责所有数据管理的工作。通常数据库管理员并不具备密钥的控制权。 “绝大多数情况下,数据管理员们都乐于卸下那种安全责任,因为他们更专注于数据库的维护,同时他们也很高兴为安全团队帮一把手。”希曼很高兴地说。 科塔里建议,不仅仅要做到职责分离,还可以增加一个附属安全层,确保有多个保管人监管密钥。这样一来,即便某个管理员发生什么问题或是遇到内鬼,都将有一套制衡措施,以保证他人可以恢复密钥的使用。 科塔里还说:“你需要多个保管人,这样就会让控制权分散,单一一个密钥保管人是无法完全控制数据访问的。” 处在如今的云时代大背景下,密钥控制问题也已被提到了一个新的高度,科塔里讲道。在许多情况下,企业允许他们的云服务提供商具备密钥的掌控权,但科塔里认为,当加密数据建设在云服务提供商所提供的基础设施上时,企业的密钥管理应采取“级别下放”措施,将密钥控制权仅仅握在手中。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐