資訊中心管理
企業如何做好金鑰管理
下一篇 - Vital CRM 整合所有表單 讓業務一目了然
前往目錄

企業如何做好金鑰管理

撰文 | 叡揚資訊 資安事業處
金鑰管理的方法變革迅速,企業需要先規劃及準備,實現單一且具有凝聚力的方法管理所有金鑰。提供開放性標準、靈活地整合、細膩持續地中央控制及管理

近年來,企業運用資料保護機制越來越普 遍,不僅帶來許多影響,金鑰管理、金鑰複雜性及成本對企業來說更是非常大的挑戰。相較過往金鑰管理發展缺乏完善的管理工具協助,現在的金鑰管理管理工具提供了更先進的安全解決方案,更全面的金鑰管理生命週期功能(建立、轉換、儲存、備份到刪除),讓整個生命週期中的金鑰在性質上更集中、更一致,管理者也將更有效率地進行管理及保護。

什麼是企業金鑰管理?

企業金鑰管理是使用集中控制的方式控管企業中所有的加密金鑰,用於保護企業所有重要資料,特別是所有關於加密的『機密』治理,包含以下幾種資源:
• 身份:包含終端用戶、端點及服務。這些為使用非對稱加密時所使用的公開金鑰基礎架構。
• 資訊:透過對稱加密,管理資料以及包含這些資料的容器及媒體。

企業金鑰管理主要透過標準化和集中化管理企業加密金鑰,因此安全團隊可以更有效地查看、控制、管理和部署金鑰管理。而真正的企業金鑰管理是將所有與加密有關的資訊系統相關的秘密均以單一且統一的方式進行管理。在此架構下,數位保護將由資料加密、通訊加密和身分金鑰所定義。

金鑰管理生命週期的關鍵

主動積極全面防禦的資料安全 

過往,資料安全投資及部署多為被動,例如:為應付違規行為、為即將到來的稽核做準備和因應調整政策以符合將修改的法規。隨著企業安全團隊組織發展,過去被動的行為逐漸變得主動且方法上也變得更有效率,企業金鑰管理將成為整體安全策略計劃的一部分,而非僅針對單一問題及法規一連串的被動回應。因此,安全團隊將更有能力、有效率地專注於保護最關鍵的資產,以確保企業安全性。

持續且以資料為中心的防護

過往,許多加密解決方案都是以二分法的方式保護資源。例如:在儲存加密下,安全團隊只能對整個備份磁帶或磁帶上的備份工作進行加密和解密、筆記型電腦加密時硬碟也會全面加密、需要資料時整個磁帶或系統都需要解密,顯示這些解決方案都讓工作存在不少限制。此外,這些戰術部署通常只能處理特定威脅。像磁帶加密只能防止磁帶遺失或遭竊,全磁碟加密也只能防止磁碟外洩。

隨資訊科技發展。現今金鑰管理必須採取更持久、更細緻和更針對以資產為基礎的全面性解決方案,防範各式的威脅及風險。而新型態的加密機制需要管理員和終端用戶設定帳戶及密碼,將資源類型、特定資產進行加密。

這代表使用者不僅可以解密資料庫中的信用卡欄位,還可以加密 Excel 工作表中較企業金鑰管理基礎架構敏感的資訊,如薪資等相關敏感訊息。因此好的金鑰管理解決方案可透過更細膩的加密機制,有效監控、修復,符合稽核規範及法規要求。

以下是金鑰加密須符合的要素: 

貫徹性 

加密機制需貫徹執行,若敏感性資料無論透過電子郵件進行發送,存取隨身碟、存放雲端應用程式中或傳輸到任何其他位置,都應保持持續加密。

由上到下的政策執行

管理者需有效率地由上到下貫策推動執行政策,讓整個企業都能夠始終如一、協調一致地應用資料保護方法,無論方式是採加密或去識別化,都應將加密資料和權限細分到特定資產或使用者層級。

終端使用者透明性

為有效地採用,企業金鑰管理將採用對終端使用者完全透明的加密,確保最佳安全性及生產力。

集中金鑰管理及政策執行

集中管理整個企業的金鑰管理方式,包含跨異質資料平台、應用程式環境、端點等,其優點包含: 

減少金鑰暴露

集中管理限制金鑰所在位置的數量,減少外洩的可能性,在安全性方面具有優勢。

貫徹一致政策

集中金鑰管理使管理員能夠更一致執行符合企業標準及跨企業的政策。例如:管理員能夠一次性在特定資產周圍部署使用者憑證及政策,然後確保有效地執行,無論資料是儲存的資料庫伺服器、大型主機或是筆記型電腦。

簡化管理 

簡化管理流程,使管理員能夠一次性更新或修改相關設定並應用到所有相關領域。

提升加密效率

集中管理是更有效率的管理模型;相較單點加密,資料在不同平台時必須對其進行解密及重新加密,現在特定資產只需加密一次就能分佈到多個系統,並只在授權者需要存取時解密。

統一授權及治理

有效簡化稽核流程,因所有金鑰相關活動都已經整理在日誌。

符號化(Tokenization)支援

隨著符號化的發展成 一種保護結構性資料的可行選擇,同時也是一個減少合規性範圍的手段。往後在執行符號化和加密之間,集中式金鑰管裡將扮演關鍵角色。

選擇專用的安全產品及服務

為有效保護金鑰管理基礎設施,企業需將金鑰管理從通用系統中移除。例如:軟體式的金鑰管理器將金鑰與加解密資料保存在相同位置,可能造成可用性風險,如果系統損毀,金鑰及資料都將遺失。也可能遭受安全風險,因這些基於軟體的防護機制通常有許多內部使用者取用。

為使資料安全,組織需要確保金鑰在以安全為主的基礎設計架構下進行設置和管理。對於雲端服務業者和企業來說,採用軟體、硬體和服務須符合與通用標準(Common Criteria)和聯邦資訊處理標準(FIPS)等相關法規的合規性。

在硬體方面,則需要能預防竄改的安全模組,確保關鍵資料無法透過裝置刪除、竊取實體金鑰存放裝置。舉例來說,希望利用雲端供應商彈性儲存功能的企業,可在資料移轉到雲端前,先將敏感性資料加密,並在硬體安全模組中保留相關的加密金鑰,確保訪問認證。讓資料在外部移動時也符合相同的策略。此外,專業的系統及解決方案應證明及確保企業的合法性。

關於 SafeNet 金鑰管理

SafeNet KeySecure 是業界領先的加密金鑰集中管理和安全平台,支持廣泛的加密生態系統(包括 SafeNet 和第三方產品),可保護傳統和虛擬化資料中心、公共雲環境中的資料庫、虛擬工作負載和應用程式的敏感資料。 

SafeNet 硬體安全模組 (HSM) 為企業和政府組織提供可靠的應用程式、交易、身分識別和資訊資產防護,以確保其符合法規,降低 法定義務的風險,並能提高收益。SafeNet HSM 是最安全且高效能的加密編譯金鑰防護解決方案,提供加密、解密、身分驗證和數位簽章服務,並可以保護付款交易、支付卡 和 PIN 的安全。

結論

近年來,加密及金鑰管理的方法變革迅速,但從成本及管理的角度來看,持續性發展和實現最嚴密的安全要求,還需要持續的進化。為此,企業需要先規劃及準備企業金鑰管理,實現單一且具有凝聚力的方法管理所有金鑰。提供開放性標準、靈活地整合、細膩持續地中央控制及管理。