曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        加密密鑰管理的最佳實踐:能力
        發布時間:2019-10-22 10:20:17   閱讀次數:

        美國:加州消費者隱私法(CCPA)合規性要求

        數據加密是組織應對新出現的安全威脅和法規遵從性要求的重要組成部分。大多數組織已經通過加密數據來實現控制,但是發現在整個生命周期中快速管理關聯的加密密鑰成為一個問題。


        不正確的密鑰管理做法還會創建一組新的安全漏洞和風險,使需要授權的用戶無法訪問重要數據。簡而言之,加密很容易,但是密鑰管理卻很困難。如果丟失了加密密鑰,則實際上將失去對數據的訪問權限。如果您無法控制和審核對密鑰的訪問,則您的下次審核將失敗。


        如果將密鑰與數據一起存儲,則加密是無用的,并且非常容易受到攻擊。


        統一的數據保護策略可保護敏感數據,無論它在哪里存在,它都可以通過滿足嚴格的標準和審核/ 合規性來安全地創建和管理密鑰,從而使人們可以放心使用,這是不斷增長的需求生存之道。幾乎加密所有內容。


        我們已經看到最近公司和政府試圖繞過加密。


        但是,想象一下您的組織中存在類似的情況,重要數據的密鑰由在回家途中因車禍生病或死亡的個人管理,甚至更糟。


        管理密鑰的問題不僅在于未經授權的分發,而且還在于獲得授權用戶的密鑰,尤其是在密鑰所有者由于某種原因不可用的情況下。


        解決方案是使用集中式密鑰管理技術,并且永遠不要將密鑰留給個人決定。它永遠不會再將您鎖定在自己的數據之外。


        集中式密鑰管理看起來像是用于分布式密鑰管理的中心輻射型架構。一個集群式集中式密鑰管理器,存儲了數百萬個密鑰對象,安全地公開了各種標準協議,這些協議允許加密和解密客戶端存在于整個企業網絡中。密鑰管理組件和協議可輕松部署到這些客戶端,并與本地加密應用程序集成。一旦集成,就可以在本地執行數據的加密和解密,從而最大程度地降低網絡或單點故障的風險,從而避免對整體數據安全態勢產生重大影響。密鑰管理器必須管理用于輻條處加密的密鑰的生成,安全存儲,輪換,導出和撤消,以提供互操作性和可伸縮性。


        我們將以下六個最佳實踐標記為“能力因素”,以考慮加密解決方案及其集中式密鑰管理器:


        “兼容性”

        定義圍繞硬件和軟件加密系統的安全性要求的標準是使用最廣泛的聯邦信息處理標準(FIPS)140-2。對于不同類型的系統(硬件還是軟件),它具有不同的配置文件,并且具有四個不同的安全級別。同樣,FIPS認證可能僅適用于系統的組成部分,而不適用于整個密碼邊界。盡管始終需要經過全面審查和認證的系統。此外,請考慮是否還需要滿足通用標準(ISO / IEC 15408)標準。通用標準不是特定于加密的,而是用于驗證功能和保證安全性要求的通用標準,并且對于某些法規或與合作伙伴或客戶的合同可能是必需的。


        美國國家標準技術研究院(NIST)推薦AES作為自2001年以來的最高加密標準。AES支持多種加密模式,以及三種加密密鑰大?。?28位,192位和256位密鑰(推薦) )。用于保護靜態數據的任何加密都應使用AES標準加密。


        PCI還要求必須以安全的方式傳輸或傳輸密鑰。滿足任務要求的最佳方法是使用公鑰/私鑰來保護密鑰管理者與其客戶之間的隧道。首選密鑰管理器,它支持增強的公共密鑰密碼技術以及內部證書頒發機構(CA),以避免任何外部依賴性。


        “可用性”

        安全性和合規性要求定義了更加分隔的數據中心。組織分布更加分散,擁有多個數據中心,甚至還有跨越它們的更多應用程序和服務??梢远x兩個模型。

        • 集中式集群:在此模型中,密鑰管理器位于中央位置,可從任何需要的位置訪問。通常,組織在想要維護單個密鑰管理器時選擇此選項。這是傳統數據中心的一種常見做法,但不適用于我們今天看到的分隔式數據中心。

        • 分布式集群:在此模型中,密鑰管理器分布在不同的物理位置,從而在它們之間同步數據。如果需要,這是支持跨多個物理位置和地理位置的多個數據中心的最佳模型。這也可以在單個隔離的數據中心內使用以實現冗余。您可能可以混合使用物理和虛擬密鑰管理器,盡管我不建議這樣做,因為這可能會暴露出您的皇冠上的寶石,從而損害內存。


        “可伸縮性”

        隨著我們從單一的設計轉移到越來越多的,有時是短命的服務,關鍵經理的自定義應用程序變得越來越分散和分散。這增加了在不損害安全性的情況下更廣泛地發布和管理密鑰的需求,例如,將數據加密密鑰分發到臨時數據容器。集中式密鑰管理解決方案應該進行擴展,以支持企業不斷增長的需求。希望為真正的企業規模解決方案維持數千個客戶和數百萬個密鑰。


        “互操作性”

        如果設計良好的中央密鑰管理服務無法管理您的所有加密密鑰,則相對而言是徒勞的。眾所周知,密鑰管理者會強制執行特定于供應商的密鑰交換協議,如果供應商具有端到端的存儲解決方案生態系統,這可能是一個好主意,但是要避免供應商鎖定,行業標準支持至關重要。


        眾所周知的供應商中性密鑰管理/交換標準,定義了系統如何交換和通信密鑰

        • OASIS KMIP(密鑰管理互操作性協議)

        • PKCS#11(公鑰密碼標準)


        KMIP被廣泛用于密鑰管理器中的靜態數據加密解決方案,而PKCS#11用于HSM硬件安全模塊),但是有很多重疊之處。


        其他標準,例如Microsoft的CAPI和Java密碼學擴展(JCE),也適用于非常特殊的編程語言和應用程序的加密和密鑰管理。


        “可管理性”

        我們專注于滿足不斷發展的數據中心架構,不同的部署方案和互操作性的要求;但是傳統的用戶/系統管理慣例仍然適用:


        1. 基于角色的訪問控制:實施多個級別的管理員及其角色在理想情況下需要定義的職責,例如備份管理員,應僅限于其角色。

        2. 多個憑據:在嚴格的環境中,密鑰管理解決方案存在于雙重訪問控制權限中,用于直接影響密鑰安全性和其他主要管理功能的操作。

        3. 信息安全、數據所有者或基礎設施:高級管理層通常提出的另一個問題是:誰來管理這些設備?信息安全團隊對加密的數據/過程,數據所有者或基礎架構團隊一無所知?不幸的是,這個問題還沒有一個萬能的答案。

        • 將密鑰與數據分開并分配職責是一個好主意。如果數據所有者也是關鍵管理員,那么誰在監視值班員?

        • 職責分立,我們是否有足夠的管理員準備參與流程并獲得所有權?

        • 基礎架構團隊誰能像其他服務器一樣更好地管理平臺?

        • 雙重訪問控制是一個好主意,但是解決方案和密鑰管理器支持嗎?

        • 開發、生產和質量檢查系統怎么樣?


        許多用戶和高級管理人員都在為這些問題而苦苦掙扎。以下是一些準則:

        1. 由于對數據的物理訪問,基礎架構團隊不能成為擁有關鍵管理流程的理想人選。

        2. 數據所有者再次聽起來像是一個糟糕的候選人,因為他們可以訪問數據并轉換為純文本,而無需任何其他權限。

        3. 信息安全是擁有密鑰管理者和密鑰的最佳團隊。這樣,我們將能夠加強職責分離并避免串通。

        4. 啟用審核日志,包括目的:日志對于合規性是必需的,但對于維護密鑰的安全性至關重要。目的代碼(或等效的元數據,如果支持的話)確認了為什么訪問密鑰,而不是僅由誰和何時訪問。

        5. 如果啟用了雙重控制,那么信息安全和數據所有者是一個好主意


        “性能”

        管理加密生態系統的另一方面是要了解對性能的影響以及增加的復雜性和平臺依賴性。市場上有較新的技術(例如HPE Secure Encryption)在硬件層實施加密,這對于應用程序甚至對底層操作系統都是透明的,從而使其與平臺無關。技術還支持就地加密數據,而不是四處遷移。


        密鑰輪換是密鑰管理的另一個重要方面。加密解決方案必須支持密鑰更新活動,以符合監管機構的要求并克服任何災難性情況。Rekey不需要先解密一組加密數據,然后在密鑰過期或更改時重新加密。需要一種支持密鑰層次結構的解決方案,以便可以更改更高級別的密鑰,以保持數據完整。


        結論

        組織管理的數據正以驚人的速度增長,管理數據并在分布式環境中確保數據安全的復雜性也在增長。應用程序對性能和安全性的需求,而合規性要求則采用了新的模式,例如讓業務部門管理自己的資產,以適應不斷增加的敏捷性壓力并在市場上保持競爭力。加密是最有效的方法,可確保我們的數據安全,同時保持職責分離,加強合規性和審核訪問權限,以使審核員滿意。


        加密需要密鑰管理,而集中化是可用方法中的最佳方法。在企業范圍內管理單個密鑰是不可能的,尤其是在受監管的環境中。在互操作性仍然是夢想之時,它曾經是一種選擇,但是KMIP等行業標準正在推動我們減少摩擦,并為統一的密鑰管理提供單一的平臺。  


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精