GSS資安電子報0150期【如何做好企業金鑰管理】
撰文及整理:叡揚資訊資安事業處
近年來,資料保護機制在企業裡的運用越來越普遍,也帶來了重要的影響,其中重大的挑戰之一為金鑰管理與其相關的複雜性及成本。金鑰管理的發展相較過去,提供了更先進的安全解決方案,帶來更全面的金鑰管理生命週期功能(建立、轉換、儲存、備份及刪除)使整個生命週期中的金鑰在性質上更集中,金鑰管理能夠更一致,管理者將更有效率地進行管理及保護。但若缺乏管理工具的協助,面臨金鑰管理將為一大挑戰。
什麼是企業金鑰管理?
企業金鑰管理是使用一種集中作法控制企業中所有的加密金鑰,用於保護企業中所有重要資料,特別是所有關於加密的『機密』治理,包含以下幾種資源:
- 身份:包含終端用戶、端點及服務。這些為使用非對稱加密時所使用的公開金鑰基礎架構。
- 資訊:透過對稱加密,管理資料以及包含這些資料的容器及媒體。
企業金鑰管理主要透過標準化和集中化管理企業加密金鑰, 因此資訊安全團隊可以更有效地查看和控制金鑰管理和部署的方法。真正的企業金鑰管理是將所有與加密有關的資訊系統相關的秘密均以單一、統一的方式進行管理。在此架構下,數位保護將由資料加密、通訊加密和身分金鑰所定義。
圖說:企業金鑰管理基礎架構
金鑰管理生命週期的關鍵
主動積極全面防禦的資料安全
過去的資料安全投資及部署多為被動,例如:為了應付違規行為;為即將到來的稽核做準備;因應調整政策以符合將修改的法規。隨著企業資訊安全團隊組織發展,過去被動的行為逐漸變得主動且方法上也變得更有效率,企業金鑰管理將成為整體安全策略計劃的其中一部分,而非僅針對單一問題及法規一連串的被動回應。因此,資訊安全團隊將能更有能力及有效率地專注於保護最關鍵的資產,以確保企業最佳安全性。
持續且以資料為中心的防護
從過去經驗來看,許多加密解決方案都是以二分法的方式保護資源。例如:在儲存加密下,資訊安全團隊只能對整個備份磁帶或磁帶上的備份工作進行加密和解密。對筆記型電腦加密時,整個硬碟也將被加密。但是,這些解決方案中,在工作上遇到不少限制,因為當需要資料時,整個磁帶或系統都需要進行解密。此外,這些戰術部署通常只能處理一種特定的威脅。例如,磁帶加密只能防止磁帶遺失或遭竊,全磁碟加密也只能防止磁碟外洩。現在需要採取更持久細緻和更針對以資產為基礎的加密替代方案。持久的加密能透過全面的解決方案,防範各式的威脅及風險。這些加密機制需要管理員和終端用戶設定帳戶及密碼,將資源類型、特定資產進行加密。這代表我們不僅可以解密資料庫中的信用卡欄位,還可以加密Excel工作表中具有敏感薪資的資訊。透過更細膩的加密機制,更能夠有效監控、修復,符合稽核規範及法規要求。
以下是加密須符合的要素:
- 貫徹性
加密機制需要貫徹執行,因此若敏感性資料透過電子郵件進行發送,存取到隨身碟、存放在雲端應用程式中,或傳輸到任何其他位置,敏感資料應保持持續加密。
- 由上到下的政策執行
管理者需要有效率地由上到下貫策推動執行政策,讓整個企業都能夠始終如一、協調一致地應用資料保護方法,無論選擇的是加密或是去識別化,都應細分到特定的資產或是使用者層級。
- 終端使用者透明性
為了有效地採用,企業金鑰管理將採用對終端使用者完全透明的加密,確保最佳安全性及生產力。
集中金鑰管理及政策執行
實際上,企業金鑰管理要能集中管理整個企業的金鑰,,包含跨異質資料平台、應用程式環境、端點等。以下是這種作法的優點:
- 減少金鑰暴露:在安全性方面提供基本優勢,因為限制了金鑰所在位置的數量,盡量減少外洩的可能性。
- 貫徹一致政策:集中金鑰管理使管理員能夠更一致執行符合企業標準及跨企業的政策。例如:管理員能夠一次性在特定資產周圍部署使用者憑證及政策,然後確保有效地執行,無論資料是儲存的資料庫伺服器、大型主機或是筆記型電腦。
- 簡化管理:簡化管理流程,使管理員能夠一次性更新或修改相關設定並應用到所有相關領域。
- 提升加密效率:為一種更有效率的管理模型;相對於單點加密,資料在一個平台傳輸到另一個平台時必須對其進行解密及重新加密,現在特定資產只需加密一次就能分佈到多個系統,只在授權者需要存取時解密。
- 統一授權及治理:集中所有金鑰可以有效簡化稽核流程,因為所有金鑰的相關活動都已經整理在日誌裡了。
- 符號化(Tokenization)支援:隨著符號化(Tokenization)的發展成爲一種保護結構性資料的可行選擇,同時也是一個減少合規性範圍的手段。往後在執行符號化(Tokenization)和加密之間,集中式金鑰管裡將扮演關鍵角色。
選擇專用的安全產品及服務
為了最有效的保護金鑰管理基礎設施,企業需將金鑰管理從通用系統中移除。例如:軟體式的金鑰管理器將金鑰保存在與加解密資料放在相同的位置,這可能會造成可用性風險,例如:如果系統損毀,金鑰及資料都將遺失。此外,也可能遭受安全風險,因為這些基於軟體的機制通常容易有許多內部使用者取用。取而代之,組織需要確保金鑰在以安全為主的基礎設計架構下進行設置和管理。對於雲端服務業者和企業來說,採用軟體,硬體和服務須符合與通用標準(Common Criteria)和聯邦資訊處理標準(FIPS)等相關法規的合規性。
在使用硬體方面,則需要能預防竄改的硬體的安全模組,確保關鍵資料無法透過從裝置刪除實體金鑰存放裝置來竊取。例如:一個希望利用雲端供應商彈性儲存功能的企業可以在將資料移轉到雲端之前,先對敏感性資料進行加密,並在專門建構硬體安全模組中保留相關的加密金鑰,並確保訪問認證。即使是資料在外部移動時也符合相同的策略。此外,專業的系統及解決方案應證明及確保企業的合法性。
關於SafeNet金鑰管理
SafeNet KeySecure是業界領先的加密金鑰集中管理和安全平台,支持廣泛的加密生態系統(包括SafeNet和第三方產品),可保護傳統和虛擬化資料中心和公共雲環境中的資料庫、虛擬工作負載和應用程式的敏感資料。
SafeNet 硬體安全模組 (HSM) 為企業和政府組織提供可靠的應用程式、交易、身分識別和資訊資產防護,以確保其符合法規,降低法定義務的風險,並能提高收益。SafeNet HSM 是最安全且高效能的加密編譯金鑰防護解決方案,提供加密、解密、身分驗證和數位簽章服務,並可以保護付款交易、支付卡和 PIN 的安全。
圖說:資料容易暴露的地方
結論
近年來,加密及金鑰管理的方法變革迅速,但從成本及管理的角度來看,持續性發展和實現最嚴密的安全要求,還需要持續的進化。為此,企業需要先規劃及準備企業金鑰管理,實現單一且具有凝聚力的方法管理所有金鑰。提供開放性標準、靈活地整合、細膩持續地中央控制及管理。
相關文章分享:
GSS資安電子報0137期【FPE與Tokenization於不同情境的資料保護應用】
GSS資安電子報0128期【Tokenization技術 在不同產業的創新應用】
GSS資安電子報0123期【MSSQL EKM延伸金鑰管理 - 如何保障金鑰安全 提升資安強度?】
