最近，NIST(美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所)出版了《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架改善》白皮書(shū)。距離奧巴馬總統(tǒng)簽署網(wǎng)絡(luò)安全行政令正好一年。現(xiàn)在，數(shù)據(jù)中心的每一位基礎(chǔ)設(shè)施和硬件的管理人員都在正試圖確定該標(biāo)準(zhǔn)將會(huì)對(duì)他們的工作產(chǎn)生什么樣的影響，以及他們所在數(shù)據(jù)中心的框架到底屬于那一“層面”。

該框架的核心包括五個(gè)功能：識(shí)別，保護(hù)，檢測(cè)，響應(yīng)和恢復(fù)。數(shù)據(jù)中心管理人員，系統(tǒng)管理員和首席信息安全官們都知道，如果在數(shù)據(jù)“保護(hù)”方面花費(fèi)更多的時(shí)間，那么，在“響應(yīng)”和“恢復(fù)”方面的時(shí)間必然將會(huì)有所減少。本著這一精神，在本文中，我們將為大家介紹有一些方法，以加強(qiáng)對(duì)于您不斷變化的數(shù)據(jù)中心的安全程序的保護(hù)的同時(shí)，又不會(huì)損失數(shù)據(jù)的有效性。

數(shù)據(jù)保護(hù)的層次

很大一部分的數(shù)據(jù)“保護(hù)”工作都涉及到數(shù)據(jù)加密。在數(shù)據(jù)中心中，數(shù)據(jù)可以有三種狀態(tài)：休息，運(yùn)行和被使用。最常見(jiàn)的加密是在設(shè)備層面的加密，以便保護(hù)那些處于休息和運(yùn)行狀態(tài)的數(shù)據(jù)。通常，設(shè)備層面進(jìn)行加密相對(duì)容易實(shí)現(xiàn)，但其也只是提供了最低水平的數(shù)據(jù)保護(hù)。

大多數(shù)人認(rèn)為，當(dāng)數(shù)據(jù)保護(hù)是實(shí)現(xiàn)全磁盤(pán)加密(包括磁盤(pán)驅(qū)動(dòng)器本身的加密或者文件系統(tǒng)的加密)就自然實(shí)現(xiàn)了對(duì)處于休息狀態(tài)的數(shù)據(jù)加密。但我們將這種方法僅僅視為對(duì)設(shè)備的保護(hù)，因?yàn)槿绻纬龃疟P(pán)驅(qū)動(dòng)器，所有磁盤(pán)上的數(shù)據(jù)固然均是加密的，只有那些有私人密鑰能夠解密數(shù)據(jù)的才可以訪問(wèn)。但當(dāng)磁盤(pán)被操作時(shí)，整盤(pán)加密或加密文件系統(tǒng)沒(méi)有提供任何保護(hù)。當(dāng)文件被讀取或復(fù)制，其會(huì)自動(dòng)解密，而當(dāng)這些數(shù)據(jù)被轉(zhuǎn)移到另一個(gè)平臺(tái)，加密并不會(huì)同時(shí)隨之轉(zhuǎn)移。

運(yùn)行中的數(shù)據(jù)加密通常被認(rèn)為是通過(guò)協(xié)議，如SSL/TLS保障的。在運(yùn)行中的數(shù)據(jù)保護(hù)是通過(guò)這些協(xié)議的嗅探。而沒(méi)有私人密鑰，將無(wú)法解密數(shù)據(jù)。

另一種考慮對(duì)休息和運(yùn)行狀態(tài)數(shù)據(jù)保護(hù)的互補(bǔ)的方案是以數(shù)據(jù)為中心，而非以設(shè)備為中心的加密。如果對(duì)單個(gè)文件進(jìn)行了加密，那么，就算某人刪除了驅(qū)動(dòng)設(shè)備或試圖在傳輸過(guò)程中攔截敏感數(shù)據(jù)數(shù)據(jù)仍然是受保護(hù)的。只要在休息和運(yùn)行狀態(tài)的數(shù)據(jù)被鎖定，那么你將不再依賴于單個(gè)設(shè)備或傳輸協(xié)議來(lái)為加密的數(shù)據(jù)提供保護(hù)，因?yàn)闊o(wú)論到哪里，以何種傳輸方式，其在本地存儲(chǔ)，SAN或NAS，或云中均是受保護(hù)的。

以數(shù)據(jù)為中心的方法?

以數(shù)據(jù)為中心的保護(hù)方法在技術(shù)上并不比設(shè)備加密更難。在過(guò)去，有關(guān)加密障礙和以數(shù)據(jù)為中心的保護(hù)的某些誤解主要是由于諸如企業(yè)缺乏有實(shí)力可以處理或加密大型機(jī)的內(nèi)部人員等因素造成的。因此首先，我們將向大家介紹有關(guān)于以數(shù)據(jù)為中心的加密和設(shè)備級(jí)加密之間的差異的一些基本知識(shí)。

對(duì)于設(shè)備級(jí)加密，通常需要X.509證書(shū)以便在加密操作中提供密鑰，通常用很少的配置。從這點(diǎn)上看，既然已經(jīng)對(duì)整體進(jìn)行了加密，就沒(méi)有必要選擇對(duì)個(gè)別證書(shū)進(jìn)行加密了，因?yàn)樵撛O(shè)備已經(jīng)采用了相同的通用加密。其執(zhí)行是很容易的，也并非完全沒(méi)有價(jià)值，但其越來(lái)越受到高級(jí)攻擊或不必要的“訪客”威脅。

而另一方面，以數(shù)據(jù)為中心的加密保護(hù)單個(gè)文件，利用特定的認(rèn)證確保每個(gè)文件只有那些具有特定訪問(wèn)權(quán)限的人才能訪問(wèn)。以數(shù)據(jù)為中心的安全性要求以一個(gè)經(jīng)紀(jì)人協(xié)商的身份組合應(yīng)用程序，密鑰和加密算法。身份驗(yàn)證，要求您首先告知應(yīng)用程序您是誰(shuí)，然后關(guān)聯(lián)相應(yīng)的密鑰認(rèn)證您的身份。接下來(lái)，應(yīng)用程序利用密鑰與適當(dāng)?shù)募用芩惴ㄍㄟ^(guò)使用平臺(tái)，并利用相應(yīng)的密鑰對(duì)數(shù)據(jù)進(jìn)行加密解密。以數(shù)據(jù)為中心的加密解決方案都能夠使用多種鍵控源，以及聯(lián)系特定的鍵進(jìn)行身份識(shí)別。他們還可以利用硬件加密的優(yōu)勢(shì)，這將盡可能高效地進(jìn)行數(shù)據(jù)加密。如主鍵訪問(wèn)等功能使密鑰管理更加容易，并且能夠在非常大的規(guī)模來(lái)實(shí)現(xiàn)。

在實(shí)踐中的保護(hù)

安全就是縱深防御。以數(shù)據(jù)為中心的加密是對(duì)以設(shè)備為中心的加密的互補(bǔ)，但鑒于當(dāng)今世界數(shù)據(jù)移動(dòng)的大趨勢(shì)，我們必須著眼于數(shù)據(jù)第一，然后才是設(shè)備。因此，在數(shù)據(jù)傳輸過(guò)程中的數(shù)據(jù)保護(hù)遠(yuǎn)比單純確保設(shè)備的安全更有效。

了解一些以數(shù)據(jù)為中心的安全的級(jí)聯(lián)效應(yīng)，如從存儲(chǔ)的角度來(lái)看到影響是非常重要的。一個(gè)鮮為人知的事實(shí)是，壓縮加密數(shù)據(jù)是不可能。根據(jù)定義，加密數(shù)據(jù)是高度隨機(jī)的，因此其不能被壓縮。如果你要對(duì)數(shù)據(jù)進(jìn)行加密，最好是在加密的同時(shí)進(jìn)行壓縮，因?yàn)槌酥饽憔蜎](méi)有壓縮加密數(shù)據(jù)的機(jī)會(huì)了。

值得一提的是，加密應(yīng)該從您企業(yè)的敏感數(shù)據(jù)開(kāi)始。實(shí)施更廣泛的加密方法固然有價(jià)值，但要煮沸一大片海水可能會(huì)錯(cuò)過(guò)某些精致(和現(xiàn)實(shí))業(yè)務(wù)數(shù)據(jù)的安全性。例如，您可以實(shí)施數(shù)據(jù)分類或?qū)⑵渑c一個(gè)SAN和NAS上批量數(shù)據(jù)的DLP解決方案結(jié)合使用。但你會(huì)希望把重點(diǎn)放在敏感數(shù)據(jù)處理方面，并確保對(duì)休息和運(yùn)行狀態(tài)數(shù)據(jù)的加密。

以層為出發(fā)點(diǎn)

新的NIST框架的第一個(gè)版本，避免陷入數(shù)據(jù)安全的紛爭(zhēng)，如建議加密類型。然而，在固體的方面之一：“層”系統(tǒng)，能夠讓企業(yè)和數(shù)據(jù)管理人員評(píng)估他們的風(fēng)險(xiǎn)偏好和分層的安全需求。較之許多其他的安全措施，其只是努力減少數(shù)據(jù)安全的預(yù)期，這是一個(gè)起點(diǎn)。而隨著密碼學(xué)作為“分層”的安全方法的一部分，數(shù)據(jù)中心管理人員可以建立自己的框架來(lái)保護(hù)敏感的商業(yè)信息安全。