2024數(shù)據(jù)存儲加密技術分析

PAGE24PAGE24數(shù)據(jù)存儲加密技術分析2024前言數(shù)據(jù)存儲加密技術白皮書在近日公布的某重大網(wǎng)絡安全審查相關行政處罰事件中，違法違規(guī)行為5000據(jù)安全最經(jīng)濟、最有效、最可靠的手段，對數(shù)據(jù)進行加密，并結合有效的密鑰保護手段，可在開放環(huán)境中實現(xiàn)對數(shù)據(jù)的強訪問控制，從而讓數(shù)據(jù)共享更安全、更有價值。聚焦十種數(shù)據(jù)存儲加密技術，希望能夠幫助讀者快速了解數(shù)據(jù)存儲加密技術的全貌，并在用戶需要通過“加解密技術”進行自身核心數(shù)據(jù)資產(chǎn)的安全保護時，在場景適用性判斷、相關技術與產(chǎn)品選型等方面提供參考和幫助。一實戰(zhàn)、雙合規(guī)數(shù)據(jù)存儲加密技術白皮書無處不在。段，可在開放環(huán)境中實現(xiàn)對數(shù)據(jù)的強訪問控制，讓數(shù)據(jù)開發(fā)利用更安全。圖1：數(shù)據(jù)安全的“一實戰(zhàn)、雙合規(guī)”需求數(shù)據(jù)流動中的安全控制點數(shù)據(jù)存儲加密技術白皮書此，傳統(tǒng)的“數(shù)據(jù)庫存儲加密”?是“數(shù)據(jù)存儲加密”的子集。B/S10讀分析。圖2：數(shù)據(jù)存儲加密技術總覽圖合規(guī)需求。十種數(shù)據(jù)存儲加密技術特性分析全面、系統(tǒng)、多維度技術一：DLP終端加密1）原理解析部署位置：終端原理：DLP（Dataleakageprevention）終端加密技術，目的是管理企業(yè)終端上（PC）的敏感數(shù)據(jù)，其原理是在受管控的終端上安裝代理程序，2）應用場景DLP力之上，可有效增強以下場景的數(shù)據(jù)防護能力：操作失誤或無意識外發(fā)導致技術數(shù)據(jù)泄漏；通過打印、剪切、復制、粘貼、另存為、重命名等操作泄漏數(shù)據(jù)；U移動筆記本被盜、丟失或維修等造成數(shù)據(jù)泄漏。3）優(yōu)勢1、文件外發(fā)強管控。和其他終端安全技術相比，能夠強制實現(xiàn)重要敏感文4）挑戰(zhàn)1、終端適配困難、運維成本高。技術二：CASB代理網(wǎng)關1）原理解析部署位置：終端-應用服務器之間原理：CASB（CloudAccessSecurityBroker）是一種委托式安全代理技術，將網(wǎng)關部署在目標應用的客戶端和服務端之間，無需改造目標應用，?需通過適配目標應用，對客戶端請求進行解析，并分析出其包含的敏感數(shù)據(jù)，化數(shù)據(jù)和非結構化數(shù)據(jù)同時進行安全管控。圖3：CASB代理網(wǎng)關技術原理2）應用場景隨著云的普及，傳統(tǒng)的IT架構正在發(fā)生變化。企業(yè)很多業(yè)務系統(tǒng)都托管在HR、社保、報銷、OASaaSCASB止敏感數(shù)據(jù)從企業(yè)資源轉(zhuǎn)移到私人資源。優(yōu)勢1CASB該位置可以獲取到豐富的業(yè)務上下文，可以基于用戶、資源、操作和業(yè)務屬性，靈活利用訪問者所對應屬性集合決定是否有權訪問目標數(shù)據(jù)，比如部門、區(qū)域、4）挑戰(zhàn)1、實施成本較高。為實現(xiàn)從客戶端請求中解析用戶在應用中的操作含義，需適配目標應用，適配工作量取決于目標應用的數(shù)量和復雜度以及安全管控粒度。技術三：應用內(nèi)加密（集成密碼SDK）1）原理解析部署位置：應用服務器（SDK統(tǒng)具備數(shù)據(jù)加密防護能力。圖4：應用內(nèi)加密（集成密碼SDK）技術原理2）應用場景通常情況下，當應用系統(tǒng)僅對數(shù)量有限的敏感數(shù)據(jù)存在加密需求時，適用于或字段相對較少。3）優(yōu)勢1、適用范圍廣。應用系統(tǒng)的開發(fā)商可以自行解決數(shù)據(jù)加解密的絕大多數(shù)問題，對數(shù)據(jù)庫系統(tǒng)本身或第三方的數(shù)據(jù)安全廠商沒有依賴；2、靈活性高。業(yè)務邏輯需求進行靈活選擇。挑戰(zhàn)1、需要對應用系統(tǒng)開發(fā)改造。2、對應用開發(fā)人員要求高。技術四：應用內(nèi)加密（AOE面向切面加密）1）原理解析部署位置：應用服務器（AOE應用系統(tǒng)中結構化數(shù)據(jù)和非結構化數(shù)據(jù)的存儲加密，并提供細粒度訪問控制、豐富脫敏策略、以及數(shù)據(jù)訪問審計功能，為應用打造全面有效且易于實施的數(shù)圖5：應用內(nèi)加密（AOE面向切面加密）技術原理應用場景應用內(nèi)加密（AOE面向切面加密）主要適用于企業(yè)在應用層想要實現(xiàn)免開/批量保護。優(yōu)勢1、數(shù)據(jù)加密與業(yè)務邏輯解耦。AOE以將安全與業(yè)務在技術上解耦，又在能力上融合交織，擁有高度靈活性；2、不影響業(yè)務運營。應用內(nèi)加密（AOE）適用于“應用免改3、基于細粒度權限控制的數(shù)據(jù)安全防護。4)挑戰(zhàn)1、對應用程序編程語言和框架需要做適配。企業(yè)實際應用系統(tǒng)錯綜復雜，AOE技術五：數(shù)據(jù)庫加密網(wǎng)關1）原理解析部署位置：應用服務器-數(shù)據(jù)庫之間安全的效果。圖6：數(shù)據(jù)庫加密網(wǎng)關技術原理2）應用場景數(shù)據(jù)庫加密網(wǎng)關可以為數(shù)據(jù)庫提供“入庫加密、出庫解密”的防護，可以建SQL。優(yōu)勢1、應用系統(tǒng)與加解密功能分離。相比較于傳統(tǒng)的應用內(nèi)加密（集成密碼SDK）技術，數(shù)據(jù)庫加密網(wǎng)關技術具有獨立性，能夠使用戶從高度復雜且繁重的加密解密處理邏輯的開發(fā)工作解放出來。挑戰(zhàn)1、存在一定的法律風險。對于Oracle等采用私有通信協(xié)議（不開源）的商業(yè)數(shù)據(jù)庫，安全廠商提供的數(shù)據(jù)庫加密網(wǎng)關破解協(xié)議的方案存在法律風險；2、高性能和高可用實現(xiàn)難度大。數(shù)據(jù)庫加密網(wǎng)關增加了額外的處理節(jié)點，在大數(shù)據(jù)量和高并發(fā)訪問場景下，要實現(xiàn)高性能、高可用，面臨工程化實現(xiàn)挑戰(zhàn)。技術六：數(shù)據(jù)庫外掛加密1)原理解析部署位置：數(shù)據(jù)庫口調(diào)用的方式實現(xiàn)對數(shù)據(jù)的加解密處理。視圖可實現(xiàn)對表內(nèi)數(shù)據(jù)的過濾、投影、圖7：數(shù)據(jù)庫外掛加密技術原理2）應用場景如果查詢涉及的加密列不多，查詢結果集中，且包含的數(shù)據(jù)記錄也相對不多3）優(yōu)勢1、獨立權控體系。使用數(shù)據(jù)庫外掛加密技術，可以在外置的安全服務中提供獨立于數(shù)據(jù)庫自有權控體系之外的權限控制體系，適用于對“獨立權控體系”有相關需求的場景，可以有效防止特權用戶（如DBA）對敏感數(shù)據(jù)的越權訪問。4）挑戰(zhàn)1Oracle數(shù)據(jù)庫外掛加密，目前大多數(shù)的技Oracle2、數(shù)據(jù)庫性能損耗較高。數(shù)據(jù)庫外掛加密是通過觸發(fā)器、多級視圖，進3、可擴展性差。在業(yè)務變化引起數(shù)據(jù)庫表結構發(fā)生變化時，需要對外掛程序業(yè)務邏輯進行調(diào)整，甚至需重新定制開發(fā)，存在后期維護成本。技術七：TDE透明數(shù)據(jù)加密原理解析部署位置：數(shù)據(jù)庫原理：透明數(shù)據(jù)加密（TransparentDataEncryption，TDE）OracleSQLServerMySQL圖8：透明數(shù)據(jù)加密技術原理應用場景透明數(shù)據(jù)加密技術適用于對數(shù)據(jù)庫中的數(shù)據(jù)執(zhí)行實時加解密的應用場景，OracleTDE“軟密鑰錢包”升級為外部密鑰管理系統(tǒng)，以增強密鑰安全性。3）優(yōu)勢1、獨立權控體系?？刂企w系；2、性能損耗較低。以更好保留，透明數(shù)據(jù)加密技術在數(shù)據(jù)庫加密技術中，性能損耗較低。4）挑戰(zhàn)1、防護顆粒度較粗。TDE本身是一種落盤加密技術，數(shù)據(jù)在內(nèi)存中處于明文狀態(tài)，需要結合其他訪問控制技術使用。在實戰(zhàn)場景中難以防范DBA等風險；2、數(shù)據(jù)庫類型適用性上有限制。透明數(shù)據(jù)加密因使用插件技術，對數(shù)據(jù)庫的版本有較強依賴性，且僅能對有限幾種類型的數(shù)據(jù)庫實現(xiàn)透明數(shù)據(jù)加密插件，在數(shù)據(jù)庫類型適用性上有一定限制。技術八：UDF用戶自定義函數(shù)加密1）原理解析部署位置：數(shù)據(jù)庫原理：UDF（UserDefinedFunction）用戶自定義函數(shù)是在已有數(shù)據(jù)庫功能UDF2）應用場景UDF3）優(yōu)勢1、擴展能力強。該加密技術適用于對數(shù)據(jù)有“定制化實現(xiàn)”的場景化需4）挑戰(zhàn)1、通用性低。該加密技術需要根據(jù)不同數(shù)據(jù)庫的類型，做相對應的定制化實現(xiàn)，并且在存儲過程或SQL中加以調(diào)用。技術九：TFE透明文件加密1）原理解析部署位置：文件系統(tǒng)原理：透明文件加密（TransparentFileEncryptionTFE），是訪問權限以及正確的安全通道，加密文件都將以密文狀態(tài)被保護。圖9：透明文件加密技術原理2）應用場景透明文件加密技術幾乎可以適用于任何基于文件系統(tǒng)的數(shù)據(jù)存儲加密需求，的場景并不適用。3）優(yōu)勢1、可對應用進程授權。透明文件加密的防護顆粒度較細，可以適用于對應用進程有綁定需求的場景，?有授權的“白名單”應用進程訪問文件時，才能獲得明文，而未授權應用?能獲取密文。4）挑戰(zhàn)1、管理員風險。由于文件系統(tǒng)加密技術的數(shù)據(jù)庫無關性，因此，該加密技DBA2、高性能實現(xiàn)難度大。挑戰(zhàn)。技術十：FDE全磁盤加密1）原理解析部署位置：存儲硬件原理：全磁盤加密（FullDiskEncryption，F(xiàn)DE）是指通過動態(tài)加解密技術，對磁盤或分區(qū)進行動態(tài)加解密的技術。FDEFDEFDE應用場景全磁盤加密技術適用于磁盤上所有數(shù)據(jù)（包括操作系統(tǒng)）進行動態(tài)加解密的場景，但由于不能提供針對用戶的增強權限控制，無法滿足對內(nèi)部超級用戶泄露敏感數(shù)據(jù)的風險防范需求。優(yōu)勢1、性能優(yōu)勢突出。全磁盤加密技術通過操作系統(tǒng)內(nèi)核層（或者存儲設備自身的物理結構）實現(xiàn)，能夠最大化減少加解密損耗，對上層業(yè)務服務提供性能最高的文件加解密服務；2、部署、實施簡單。全磁盤加密僅需對進入磁盤的數(shù)據(jù)進行加密，部署和實施簡單高效。挑戰(zhàn)1、數(shù)據(jù)防護顆粒度粗。該加密技術因為缺少訪問控制能力，因此，一旦磁盤掛載口令泄露，就有數(shù)據(jù)泄露的風險，僅能防范“拔硬盤”攻擊。加密技術部署位置加密粒度性能防DBA數(shù)據(jù)庫復雜計算實施成本DLP終端加密終端文件中//中CASB代理網(wǎng)關終端-應用服務器間文件/字段中支持影響中應用內(nèi)加密（集成密碼SDK）應用服務器文件/字段高支持影響高應用內(nèi)加密（AOE面向切面）應用服務器文件/字段高支持影響低數(shù)據(jù)庫加密網(wǎng)關應用服務器-數(shù)據(jù)庫間字段中支持影響中