GSS 資安電子報0036期【評估資料加密解決方案-硬體、軟體解決方案之比較】

alt

摘要alt

今日,許多組織皆在評估或實施資料加密之解決方案,作為對抗資料被竊、確保遵守法規及行業規範的方法。為了充分並符合成本效益地解決資安缺口,組織於實施加密解決方案時,必須以最適合組織基礎架構及資安政策的方式進行。當組織考慮加密解決方案時,重要的決策之一即為選擇以軟體為基礎或以硬體為基礎(如SafeNet DataSecure™平台)的解決方案。本文將概述此兩種解決方案的主要差異,以及提供安全標準、效能、和管理能力的資訊。

集中vs. 分散式密鑰儲存

分散式密鑰儲存和以軟體為基礎的加密

以軟體為基礎的加密解決方案使用了分散式的密鑰儲存機制:密鑰存放在應用程式和資料庫伺服器,亦即資料進行加密的地方。

在簡單的情況下,如果只有一個資料庫伺服器,密鑰管理是適度簡單的。然而,在企業環境下,應用程式和資料庫伺服器通常數以十萬計,管理這些伺服器上的加密密鑰將變得越來越困難。此外,由於密鑰管理的複雜性增加,不備援密鑰、遺失密鑰的風險,將以指數升高。

當組織使用以軟體方式,將存在後端伺服器和資料庫的資料加密,且這些加密密鑰是以分散的方式分佈,這即造成了安全漏洞。因為資料庫和應用伺服器通常配置不正確,且無保持最新的安全補丁,使得他們易受到外部的網路攻擊、同時易於被沒有適當權限的內部員工存取。當加密密鑰存於不安全的平台時,因為往往儲存在易於閱讀的明文格式,攻擊者亦能夠快速存取。而隨著越來越多存在伺服器上的密鑰,它們將更容易被找到及被控制。

集中式密鑰儲存與SafeNet DataSecure平台

由於公司使用分散式網絡,使得密鑰管理及密鑰背後的安全政策,成為保護機敏資料最重要的面向。SafeNet的DataSecure平台為集中的密鑰儲存解決方案,所有密鑰皆於該平台上產生、存放,且從未脫離SafeNet平台。也因為所有密鑰皆儲存在同處,大大簡化了密鑰備份、修復、及密鑰輪換的管理。DataSecure平台能產生數千種密鑰,包括強大的加密演算法如RSA、3DES和AES,並可用於多個應用程式或資料庫伺服器。

此外,當加密密鑰是“儲存”於DataSecure磁碟內部時,會針對密鑰加密兩次以強化安全。客戶也可以選擇包含符合FIPS 140-2 Level3標準硬體安全模組的DataSecure平台,此平台符合美國政府法規要求,能確保儲存媒介本身即可防止篡改。

管理與存取控制

因為管理目的而存取DataSecure的唯一的方式,是透過一個安全的網路管理控制台、在命令行界面通過SSH(a command line interface over SSH)或直接連接控制台。同樣,不同於資料庫和應用伺服器,沒有人可以使用標準的Windows登入或命令列介元(UNIX shell)“登入”到SafeNet平台。

存取SafeNet平台,僅限於管理或維護SafeNet之效能及指令。該平台亦強化了安全性能:通常能於應用程式或資料庫伺服器找到的所有TCP監聽器和服務皆不存在;因此無法在DataSecure 平台上搜尋到密鑰。

為增加安全性,可對該平台設定,讓個別管理者只能存取他們負責的部分。DataSecure提供超過20存取控制列表(ACL),提供了管理功能上細密的控制。例如,一管理者只能存取網絡配置功能,而另一人僅能存取憑證管理控制。這個細密的級別存取控制,使客戶能夠控制和密切監視管理運作;一切使用者及管理者的動作也皆會被紀錄,以作成報表。

實施選擇

基於軟體的加密解決方案通常提供一種選擇,即在資料庫層部署加密。雖然此方式可適用於某些組織,但為配合基礎架構或安全要求,許多企業需於別處加密。使用SafeNet,組織可以在基礎設施內的多個層次執行加密,並用單一設備即可整合多個Web伺服器、應用伺服器和資料庫。這提供企業大量的彈性,讓加密方案可適應於特定效能、實施和安全要求。例如,組織可以選擇讓應用程式伺服器存放於相對開放、不安全的網段,且只有加密要求的權限;而位於更安全處的資料庫可進行解密要求。

延展性與效能

基於軟體的加密解決方案不分級別,因為所有加密運作皆於應用程式或資料庫伺服器CPU上執行,通常增加了現有資料庫伺服器10至25%的負擔。而當考慮擴充時,此就是其既有的缺陷,因此伺服器超過負荷時,客戶即必須加購應用程式和資料庫伺服器。在評估新硬體和軟體(作業系統、資料庫授權和加密軟體)成本時,將使擁有成本的大幅增加。

另一方面,SafeNet將加密作業轉移到DataSecure伺服器上,實際地減輕在客戶伺服器上額外的負載,並可讓DataSecure水平擴充。也就是說,透過將SafeNet產品插入於另一群集(cluster),客戶即可依需求增加多個SafeNet加密伺服器。效能可以根據需求而增加,客戶亦可隨著其組織和交易比率的增長,擴大使用的資料庫。為了滿足不同的加密需求,DataSecure可以同時接受多個資料庫或應用伺服器的存取。

擁有成本

如上所述,於管理密鑰、使用者及安全政策上,軟體比硬體的加密解決方案更為複雜。當需要於大批應用程式和資料庫伺服器部署加密解決方案時,複雜度即增加;此問題於擁有數百個應用程式和許多資料庫的企業環境下,更為顯著。

雖然基於軟體的加密解決方案於初始投資時所需成本較低,但在複雜的企業環境中,IT部署成本和管理這些以軟體為基礎解決方案的長期成本,往往令企業難以負擔。

  

上一篇 下一篇