10 najlepszych praktyk dotyczących zarządzania kluczami szyfrującymi i bezpieczeństwa danych

Autor: Eugene Taylor
Data Utworzenia: 14 Sierpień 2021
Data Aktualizacji: 1 Lipiec 2024
Anonim
Encryption 101 - Introduction to Encryption and Key Management
Wideo: Encryption 101 - Introduction to Encryption and Key Management

Zawartość


Źródło: Yap Kee Chan / Dreamstime

Na wynos:

Pojawiają się nowe zagrożenia dla bezpieczeństwa danych. Te dziesięć wskazówek może pomóc w zapewnieniu bezpieczeństwa danych dzięki szyfrowaniu.

W nowoczesnych aplikacjach szyfrowanie danych stało się istotną częścią rozwoju. Każda część danych ma swoje znaczenie i nie możemy ich narażać, bez mechanizmów szyfrowania i zabezpieczeń. Szyfrowanie danych stało się głównym zabezpieczeniem danych znajdujących się w bazach danych, systemach plików i innych aplikacjach przesyłających dane. Biorąc pod uwagę skalę bezpieczeństwa danych, należy przestrzegać najlepszych praktyk, wdrażając mechanizmy szyfrowania i bezpieczeństwo danych.

Tutaj dobrze omówiono niektóre z najlepszych praktyk, których należy przestrzegać przy wdrażaniu mechanizmów szyfrowania i bezpieczeństwa danych.

Zdecentralizuj proces szyfrowania i deszyfrowania

Jest to ważny aspekt projektowania i wdrażania planu bezpieczeństwa danych. Wybór polega na wdrożeniu go na poziomie lokalnym i rozpowszechnieniu w całym przedsiębiorstwie lub wdrożeniu w centralnej lokalizacji na oddzielnym serwerze szyfrowania. Jeśli procesy szyfrowania i deszyfrowania są rozproszone, menedżer kluczy musi zapewnić bezpieczną dystrybucję i zarządzanie kluczami. Oprogramowanie, które wykonuje szyfrowanie na poziomie pliku, bazy danych i poziomu aplikacji, jest dobrze znane z zapewniania najwyższego poziomu bezpieczeństwa, jednocześnie umożliwiając użytkownikom pełny dostęp do aplikacji. Zdecentralizowane podejście do szyfrowania i deszyfrowania ma następujące zalety:


  • Wyższa wydajność
  • Niższa przepustowość sieci
  • Wyższa dostępność
  • Lepsza transmisja danych

Centralne zarządzanie kluczami z wykonywaniem rozproszonym

Każde rozwiązanie oparte na architekturze hub-mówił uważane jest za dobrą architekturę. Ta architektura umożliwia istnienie węzła szyfrowania i deszyfrowania w dowolnym punkcie sieci korporacyjnej. Komponent zarządzania kluczem szprychowym można łatwo wdrożyć na różnych węzłach i można go zintegrować z dowolną aplikacją szyfrującą. Po wdrożeniu i przygotowaniu komponentów szprychowych wszystkie mechanizmy szyfrowania / deszyfrowania są dostępne na poziomie węzła, w którym wykonywane jest zadanie szyfrowania / deszyfrowania. Takie podejście zmniejsza przejazdy sieci danych. Takie podejście zmniejsza również ryzyko przestoju aplikacji z powodu awarii komponentu koncentratora. Menedżer kluczy powinien być odpowiedzialny za zarządzanie generowaniem, bezpiecznym przechowywaniem i wygasaniem kluczy używanych przez szprychy. Jednocześnie wygasłe klucze należy odświeżyć na poziomie węzła.


Obsługa wielu mechanizmów szyfrowania

Nawet jeśli mamy wdrożony najlepszy dostępny mechanizm szyfrowania, zawsze wskazane jest wsparcie dla różnych technologii szyfrowania. Staje się to niezbędne w przypadku fuzji i przejęć. W obu tych scenariuszach musimy współpracować z naszymi partnerami biznesowymi w naszych ekosystemach. Posiadanie systemu bezpieczeństwa obsługującego główny algorytm szyfrowania zgodny ze standardem branżowym zapewnia, że ​​organizacja jest dobrze przygotowana do przyjęcia wszelkich nowych przepisów i regulacji rządowych. (Czasami potrzebujesz czegoś więcej niż tylko szyfrowania, aby zabezpieczyć swoje dane. Sprawdź szyfrowanie Just Isnt Enough: 3 Krytyczne prawdy o bezpieczeństwie danych.)

Scentralizowane profile użytkowników do uwierzytelniania

Biorąc pod uwagę wrażliwość danych, niezbędne jest posiadanie odpowiedniego mechanizmu uwierzytelniania. Dostęp do tych danych powinien opierać się na profilach użytkowników zdefiniowanych w menedżerze kluczy. Tylko uwierzytelnieni użytkownicy będą przypisywani i wydawani poświadczenia, aby uzyskać dostęp do zaszyfrowanych zasobów powiązanych z profilem użytkownika. Te profile użytkowników są zarządzane za pomocą użytkownika, który ma uprawnienia administracyjne w menedżerze kluczy. Zasadniczo najlepszą praktyką jest stosowanie podejścia, zgodnie z którym żaden pojedynczy użytkownik lub administrator nie ma wyłącznego dostępu do kluczy.

Brak odszyfrowywania lub ponownego szyfrowania w przypadku rotacji lub wygaśnięcia klucza

Każde zaszyfrowane pole danych lub plik powinien mieć powiązany profil klucza. Ten profil klucza umożliwia aplikacji identyfikację zaszyfrowanych zasobów, których należy użyć do odszyfrowania pola danych lub pliku. Dlatego nie jest wymagane odszyfrowanie zestawu zaszyfrowanych danych, a następnie ponowne ich zaszyfrowanie po wygaśnięciu lub zmianie kluczy. Świeżo zaszyfrowane dane zostałyby odszyfrowane przy użyciu najnowszego klucza, natomiast w przypadku danych istniejących pierwotny profil klucza, który został użyty do szyfrowania, zostanie przeszukany i wykorzystany do odszyfrowania.

Utrzymuj kompleksowe dzienniki i ścieżki audytu

Logowanie jest istotnym aspektem każdej aplikacji. Pomaga w śledzeniu zdarzeń, które miały miejsce w aplikacji. Obszerne rejestrowanie jest zawsze pomocne w przypadku aplikacji rozproszonych i jest ważnym elementem zarządzania kluczami. Każdy dostęp do zestawu danych, który jest zaszyfrowany ze względu na wysoki stopień czułości, powinien być szczegółowo rejestrowany przy użyciu następujących informacji:

Bez błędów, bez stresu - Twój przewodnik krok po kroku do tworzenia oprogramowania zmieniającego życie bez niszczenia życia

Nie możesz poprawić swoich umiejętności programistycznych, gdy nikt nie dba o jakość oprogramowania.

  • Szczegół funkcji, która uzyskała dostęp do wrażliwych danych
  • Dane dotyczące użytkownika, który uzyskał dostęp do poufnych danych
  • Zasoby używane do szyfrowania danych
  • Dane, do których uzyskiwany jest dostęp
  • Czas dostępu do danych

Wspólne rozwiązanie szyfrowania / deszyfrowania dla całej aplikacji

Zawsze najlepszą praktyką jest stosowanie wspólnego mechanizmu szyfrowania w celu szyfrowania pól, plików i baz danych. Mechanizm szyfrowania nie musi znać danych, które szyfruje lub odszyfrowuje. Musimy zidentyfikować dane, które należy zaszyfrować, a także mechanizm. Po zaszyfrowaniu dane stają się niedostępne i można uzyskać do nich dostęp wyłącznie na podstawie praw użytkownika. Te prawa użytkownika są specyficzne dla aplikacji i muszą być kontrolowane przez użytkownika administracyjnego. (Aby dowiedzieć się więcej na temat szyfrowania, zobacz Ufanie szyfrowaniu, które stało się dużo trudniejsze.)

Integracja z innymi firmami

W przedsiębiorstwach jest powszechne podejście do posiadania dużej liczby urządzeń zewnętrznych. Te urządzenia mogą być urządzeniami w punkcie sprzedaży (POS), które są rozproszone w sieci. Nie mają one typowych aplikacji zorientowanych na bazę danych i są dedykowane do pojedynczej funkcji, przy użyciu zastrzeżonych narzędzi. Zawsze dobrym rozwiązaniem jest zastosowanie mechanizmu szyfrowania, który można łatwo zintegrować z dowolną aplikacją innej firmy.

Zasada co najmniej przywileju

Zawsze zaleca się, aby nie używać aplikacji wymagających uprawnień administratora, chyba że jest to absolutnie konieczne. Korzystanie z aplikacji przez zaawansowanego użytkownika lub użytkownika z uprawnieniami administracyjnymi sprawia, że ​​aplikacja jest podatna na zagrożenia i zagrożenia bezpieczeństwa.

Częste kopie zapasowe

Jednym z głównych aspektów bezpieczeństwa danych jest tworzenie kopii zapasowych danych. Biorąc pod uwagę skalę wrażliwości, należy codziennie wykonywać kopię zapasową wszystkich danych. Ważne jest również przywrócenie danych z kopii zapasowej i sprawdzenie poprawności aplikacji.

Wniosek

Szyfrowanie i deszyfrowanie są niezbędne do zapewnienia bezpieczeństwa danych w dzisiejszym świecie biznesu. Jeśli zastosujesz się do tych rad, Twoje dane powinny pozostać bezpieczne przed wścibskimi oczami.