GSS資安電子報0066期【SafeNet企業資料加密解決方案 – ProtectFile】

撰稿：叡揚資訊　資訊安全事業處

上一次我們介紹了SafeNet企業資料加密解決方案中，有關資料庫資料標記化(Tokenization)的解決方案。SafeNet Tokenization不同於其它資料遮罩的軟體，它是真正的把資料庫的敏感欄位資料遮罩，資料庫儲存的資料即是被遮罩過後的資料，達到資料防護的目的。

本次我們將介紹SafeNet在非結構化資料的資料保護方案，即是檔案加密SafeNet ProtectFile。ProtectFile可加密檔案伺服器與端點電腦上的資料夾，搭配DataSecure可做到金鑰集中控管。負責管理檔案加解密的功能是ProtectFile Manager，它存在於DataSecure中，若使用者購買了ProtectFile License，此功能便可在Data Secure中被Active。ProtectFile檔案加密可分為以下三種防護：

1. 伺服器檔案加密：

保護儲存在伺服器上的敏感檔案。加密的檔案以資料匣(Folder)為單位，將資料匣設為加密後，凡是被賦予權限的人皆可將檔案放入此加密資料匣，欲加密檔案可以選擇以依附檔名類別選擇性將檔案加密。若使用NAS作為檔案伺服器(如：Synology, QNAP…)，則需額外一台伺服器擔任檔案加密伺服器角色。

2. 端點檔案加密

保護儲存在桌上型電腦、筆記型電腦上的敏感檔案。加解密運作方式與檔案伺服器加密一樣，比較不同的是，端點加密的安裝設定(KEK設定)比較簡單，使用者登入時需要驗證其授權，端點電腦經過授權後，DataSecure上的Protect File Manager將Policy和金鑰送往端點電腦。另外，端點的ProtectFile設定可以套用群組的方式進行，以簡化其作業管理。

3. 可攜式媒體加密

若隨身碟或可攜式硬碟的檔案也要加密，可透過SafeNet ProtectFile Portable方式處理，ProtectFile Portable提供了(1)ProtectFile Encolled User Certificates (2)Certificate File (3)Password三種方式來處理可攜式檔案的加密處理方式。

SafeNet ProtectFile一樣使用DataSecure為其加解密核心，它可進行檔案伺服器與端點電腦之間的檔案加密、金鑰、與policy管理。與ProtectDB不同的是，資料加密的對稱性金鑰是本身加密電腦產生的，每個加密檔案都有屬於自己的File Encryption Key (FEK)，這把Key被Key Encryption Key (KEK)加密所保護，KEK則是由DataSecure所產生的(如下圖)。

在權限處理上，ProtectFile除了本身的使用者管理外，亦支援LDAP帳號管理，透過DataSecure加密檔案與目錄可支援AD覆寫存取控制權限。ProtectFile的加密存取權限控制分為以下五種：

1. No Access

使用者/群組無法存取，即在ProtectFile Manager中的Shared Access Policies設定中沒有設定的帳號，皆沒有權限存取該資料匣內的加密檔案。

2. Decrypt & Encrypt

取得該資料匣的存取權限及加密檔案的FEK，允許增加檔案進行資料加密及資料解密。

3. Decrypt

取得該資料匣的存取權限及加密檔案的FEK，只能進行資料解密，沒有加密功能。

4. Backup & Restore

取得該資料匣的存取權限，但無法取得加密檔案的FEK，故雖然可以存取到檔案，但因無加解密金鑰，故無法進行資料加解密，此權限適合做資料的備份與還原。

5. Backup

取得該資料匣的存取權限，但無法取得加密檔案的FEK，故無法讀取加密檔案，且只能做資料備份，無資料復原權限。

檔案加密雖然在市場上有眾多其它競爭性產品，但是SafeNet ProtectFile在企業資料加密的解決方案中，提供了一個全方位的檔案加解密功能，兼具Client與Server的檔案資料加密，也支援可攜式儲存媒體的加密，針對非Windows/Linux平台的硬體式NAS也支援，故可充分完整保護敏感性檔案的安全。另外，若企業亦導入資料庫加密(ProtectDB)、資料遮罩(Tokenization)等機制，一樣可透過Safenet DataSecure做集中的資料加解密安全防護，真正做到企業資料加密集中控管的完整解決方案。若您目前因為個資法關係在Survey資料加密解決方案，這樣完整的解決方案正是您所需要的。