-
-
[原创]企业数据加密策略规划与落地方案探讨
-
发表于: 2020-12-30 20:13 558
-
在全球范围内的大规模数据泄露事件频发,数据安全以及隐私保护法规政策逐步强化的背景下,企业数据安全防护体系建设对企业业务风险规避至关重要。一方面,企业核心数据资产的泄露,将给业务带来潜在的致命打击,另一方面,数据泄露也将面临监管机构的严厉处罚。2017年,美国信用评级公司Equifax因黑客攻击泄出近1.5亿人的个人信息及财务数据,并因此就“未能采取合理措施保护自身网络”的过错支付5.75亿美元罚金。
在我国,数据安全法律规范体系也逐步完善,如《网络安全法》、《密码法》、《数据安全法(草案)》、《个人信息保护法(草案)》等,其中《个人信息保护法(草案)》的处罚力度提升显著:对侵害个人信息权利的,情节严重情况下,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、至吊销相关业务许可或营业执照;应对数据泄露带来的业务风险问题最有效的方案是对关键信息做加密处理,这样即使数据库被拖库,或遭遇组织机构内部恶意越权访问,也不会造成敏感信息泄露的损害。
基于数据加密技术,构建数据的贴身安全防护
密码技术是目前世界上公认的,保障网络与信息安全最有效、最可靠、最经济的关键核心技术。通过数据加密实现对核心数据的机密性和完整性保护,将明文变为密文,配合健壮的密钥管理体系,可以防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击以及来自于内部越权用户的数据窃取,从而从根本上解决敏感数据泄漏带来的业务风险问题。
然而,数据加密技术实施具备一定的复杂度,要保障加密策略真正发挥安全效用,并确保获取加密价值回报与投入成本的最优解,需要对数据加密进行细致的策略规划。这包括:
明确数据加密策略核心目标:数据加密的价值主要包括几个方面:防拔盘、防黑客拖库、防内部人员、合规遵从等。不同加密策略可以解决的问题不同,加密策略目标直接影响加密策略的执行方案。如在在等保2.0以及商密合规场景,基于数据库原生TDE的加密策略在密钥的安全性管控、加密算法、商用密码产品认证等方面难以实现合规遵从;
明确数据加密的范围及粒度:加密策略是对数据的最高等级的保护,一般选择敏感字段进行加密,如客户 信息、财务数据等商业数据或身份 证、电话号码等个人信息等;基于文件层或表空间的加密,一方面加密粒度粗,安全性差,另一方面也将带来无意义的性能损耗或带来潜在的稳定性问题;
评估加密策略执行对业务的影响:包括业务系统改造成本、业务性能影响、数据库兼容性、实施运维以及流程成本等。如数据在应用、DB、文件、存储中流动,加密实施点越靠近应用安全性越高,但加密实施以及密钥管理的复杂度也越高;不同数据库类型对加密技术策略支持程度不尽相同;以及加密后数据库联合检索以及事务处理能力等;
数据加密强度及密钥安全性:包括加密对象、加密算法以及密钥的安全管控机制评估。
总结而言,数据加密策略的实施需要进行系统而细致的规划。一般来说,应考虑以下几个要点,综合制定数据加密实施线路及方案:
- 对合规敏感性行业,充分考虑合规性条款,包括敏感数据划定及分级标准,加密算法以及密码产品合规性等;
- 加密策略落地前,梳理加密数据类型以及相应的业务数据流转逻辑,综合规划加密点、解密点、密钥管控逻辑等;
- 考虑业务运行状态及加密策略实施对系统的影响情况,如对已上线业务系统,考虑存量数据加密处理方案;对未来可能存在处理逻辑变动或持续扩展的系统,考虑加密策略的兼容性及扩展性成本;
- 详细评估数据加密策略实施中可能存在的数据一致性问题、系统平稳迁移问题,以及意外状况下的加密回滚与数据备份方案;
典型数据加密技术线路优劣势分析
目前,市面上提供了各类基于不同技术线路的数据加密解决方案,以下是针对典型的数据加密技术线路的实现分析及优劣势对比:
应用层开发:基本原理是在应用系统开发层,基于加密函数、密钥处理实现敏感字段加密。优点是安全性高,灵活实施,对数据库类型依赖程度低,商密合规遵从简单。缺点是涉及应用开发改造,对应用系统开发商存在依赖性,对数据库复杂运算存在影响。
数据库代理/协议解析:基本原理是基于数据库协议解析、数据库接口扩展机制进行加密处理。优点是对应用透明,不需要业务层逻辑处理。缺点是对数据库类型甚至版本依赖性重、容易造成性能瓶颈,商密合规遵从存在风险。
数据库原生TDE机制:基本原理是基于数据库原生提供的透明数据加密接口调用实现加密处理。优点是对应用透明,不需要业务层逻辑处理。缺点是并不能彻底解决拖库、内鬼问题,不能满足商密合规要求,且对数据库厂商支持情况依赖性重、仅支持有限类型的数据库厂商。
文件/存储级加密:基本原理是对数据库底层文件系统或存储硬件进行加密。优点是对应用透明,性能影响小。缺点是安全性低,不能解决拖库、内鬼问题,存在潜在稳定性问题。
企业在落地数据加密时,应综合考虑业务安全需求以及不同线路下的加密方案优劣势,评估并选择适合自身业务场景的加密技术实施方案。腾讯云在数据加密领域,也创新推出了云访问安全代理CASB(以下简称腾讯云CASB)产品,帮助用户解决数据加密难题。
腾讯云CASB数据加密技术线路
在弹性扩展云环境业务场景下,数据加密策略的实施也将面临更多的现实难题。当前,国内外云厂商普遍采用密钥管理系统KMS或云加密机CloudHSM服务实例提供数据加密方案,用户基于应用层开发实现敏感数据的加密实现数据安全性保护以及合规要求;应用层开发要求云租户具备一定的密码方案设计以及开发能力,在实际落地时存在较高的使用门槛。
为解决这个问题,在12月开发者大会上,腾讯云对外发布了云访问安全代理CASB解决方案:一款面向应用的数据防护服务,用免应用开发改造的配置方式,提供面向服务侧的字段级数据存储加密防护服务。
腾讯云商密合规数据加密解决方案
腾讯云CASB在加密技术线路上,更偏向于应用层加密:既保持了应用层加密的灵活性、安全性,以及商密合规遵从性,同时实现了免开发改造,对应用的透明。其基础思想是结合经典云访问安全代理(CASB)以及面向切面编程(AOP)思维:在数据访问访问层,如JDBC层安装数据安全插件,通过安全插件封装设定的数据加密与脱敏规则逻辑。当用户将数据安全插件部署到应用服务器,数据安全插件作为业务代码与底层数据库交互中间服务,代理并解析SQL语法和识别用户身份,对目标字段进行加密处理后再入库;在出库时,将密文从数据库中取出进行解密后返回给终端用户,同时也支持按照设定的脱敏策略进行处理。
腾讯云CASB加密方案特点及优势
防黑客拖库,防内部人员/DBA越权风险
明文存储的数据将面临拔盘、黑客拖库、内部越权访问等带来的大规模核心数据泄露高危风险。
腾讯云CASB数据库加密系统将敏感数据在应用服务内(如Tomcat)加密,除实现将数据加密后存入数据库,还能实现数据从应用服务到数据库之间以密文形式传输。在数据库的控制范畴内,不论是存储磁盘还是数据库范围内的内存、缓存,关键敏感信息是密文状态,可解除黑客拖库、DBA等风险。同时,管理员可对不同的数据库字段采用不同加密、脱敏、以及密钥策略,实现敏感数据访问授权最小化。
满足商密合规以及国密整改合规要求
腾讯安全云访问安全代理CASB数据加密方案⽀持国密SM系列算法加密运算,密钥管理采用三级密钥派生机制,根密钥和模块密钥均是由密码机产生的真随机数,工作密钥由模块密钥实时派生,实现“一字段一密钥”。 该服务已通过国家密码管理局的安全认证,可满足等保2.0以及商用密码应用安全性评估的对应用和数据机密性和完整性保护的合规要求。
借助腾讯云CASB数据加密方案,用户在信息系统建设和运行阶段,均能便捷基于商密合规数据加密技术实现对其数据进行安全保护;
系统性能影响小
腾讯云CASB方案在单CPU上的国密SM4加解密速度已突破130Gbps,加密10亿条⼿机号仅耗时20秒(即每秒5000万条),高性能密码实现保障用户使用密码产品后的效率和用户体验。除此之外,和数据库侧加密消耗数据库敏感的计算资源相比,CASB在应用服务侧加密,其加解密执行只在目标应用服务器上完成,不对数据库服务器CPU和内存造成损耗,对系统整体性能影响小。同时,加密性能也可跟随应用服务器线性扩展,满足高性能业务场景敏感数据加密需求。
应用免改造
⽆需开发改造应⽤,也⽆需适配数据库,实施周期短,成本低。腾讯云CASB数据加密系统对应⽤透明,不改变应⽤系统原有的运⾏机制和用户使⽤⽅式,可在用户⽆感知的情况下进行重要数据保护。
腾讯云CASB数据安全插件为数据访问层提供增强安全模块,该模式将安全机制与业务场景在技术上解耦、但又在能力上融合,实现免开发改造应用的数据加密策略敏捷实施,我们期待腾讯云CASB创新加密方案能够有效助力企业落地数据安全及数据加密策略。
总结
云访问安全代理CASB是腾讯安全云数据安全中台的重要组件之一。在数据安全领域,腾讯安全也将持续进行产品创新,丰富腾讯云“云数据安全中台”组件能力,助力企业降本增效,更加从容地应对来自数据安全的挑战,加速实现数字化、智能化的转型升级。
扫描下方二维码关注云鼎实验室~
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)