2024數(shù)據(jù)存儲加密技術(shù)分析

PAGE24PAGE24數(shù)據(jù)存儲加密技術(shù)分析2024前言數(shù)據(jù)存儲加密技術(shù)白皮書在近日公布的某重大網(wǎng)絡(luò)安全審查相關(guān)行政處罰事件中，違法違規(guī)行為5000據(jù)安全最經(jīng)濟、最有效、最可靠的手段，對數(shù)據(jù)進(jìn)行加密，并結(jié)合有效的密鑰保護(hù)手段，可在開放環(huán)境中實現(xiàn)對數(shù)據(jù)的強訪問控制，從而讓數(shù)據(jù)共享更安全、更有價值。聚焦十種數(shù)據(jù)存儲加密技術(shù)，希望能夠幫助讀者快速了解數(shù)據(jù)存儲加密技術(shù)的全貌，并在用戶需要通過“加解密技術(shù)”進(jìn)行自身核心數(shù)據(jù)資產(chǎn)的安全保護(hù)時，在場景適用性判斷、相關(guān)技術(shù)與產(chǎn)品選型等方面提供參考和幫助。一實戰(zhàn)、雙合規(guī)數(shù)據(jù)存儲加密技術(shù)白皮書無處不在。段，可在開放環(huán)境中實現(xiàn)對數(shù)據(jù)的強訪問控制，讓數(shù)據(jù)開發(fā)利用更安全。圖1：數(shù)據(jù)安全的“一實戰(zhàn)、雙合規(guī)”需求數(shù)據(jù)流動中的安全控制點數(shù)據(jù)存儲加密技術(shù)白皮書此，傳統(tǒng)的“數(shù)據(jù)庫存儲加密”?是“數(shù)據(jù)存儲加密”的子集。B/S10讀分析。圖2：數(shù)據(jù)存儲加密技術(shù)總覽圖合規(guī)需求。十種數(shù)據(jù)存儲加密技術(shù)特性分析全面、系統(tǒng)、多維度技術(shù)一：DLP終端加密1）原理解析部署位置：終端原理：DLP（Dataleakageprevention）終端加密技術(shù)，目的是管理企業(yè)終端上（PC）的敏感數(shù)據(jù)，其原理是在受管控的終端上安裝代理程序，2）應(yīng)用場景DLP力之上，可有效增強以下場景的數(shù)據(jù)防護(hù)能力：操作失誤或無意識外發(fā)導(dǎo)致技術(shù)數(shù)據(jù)泄漏；通過打印、剪切、復(fù)制、粘貼、另存為、重命名等操作泄漏數(shù)據(jù)；U移動筆記本被盜、丟失或維修等造成數(shù)據(jù)泄漏。3）優(yōu)勢1、文件外發(fā)強管控。和其他終端安全技術(shù)相比，能夠強制實現(xiàn)重要敏感文4）挑戰(zhàn)1、終端適配困難、運維成本高。技術(shù)二：CASB代理網(wǎng)關(guān)1）原理解析部署位置：終端-應(yīng)用服務(wù)器之間原理：CASB（CloudAccessSecurityBroker）是一種委托式安全代理技術(shù)，將網(wǎng)關(guān)部署在目標(biāo)應(yīng)用的客戶端和服務(wù)端之間，無需改造目標(biāo)應(yīng)用，?需通過適配目標(biāo)應(yīng)用，對客戶端請求進(jìn)行解析，并分析出其包含的敏感數(shù)據(jù)，化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)同時進(jìn)行安全管控。圖3：CASB代理網(wǎng)關(guān)技術(shù)原理2）應(yīng)用場景隨著云的普及，傳統(tǒng)的IT架構(gòu)正在發(fā)生變化。企業(yè)很多業(yè)務(wù)系統(tǒng)都托管在HR、社保、報銷、OASaaSCASB止敏感數(shù)據(jù)從企業(yè)資源轉(zhuǎn)移到私人資源。優(yōu)勢1CASB該位置可以獲取到豐富的業(yè)務(wù)上下文，可以基于用戶、資源、操作和業(yè)務(wù)屬性，靈活利用訪問者所對應(yīng)屬性集合決定是否有權(quán)訪問目標(biāo)數(shù)據(jù)，比如部門、區(qū)域、4）挑戰(zhàn)1、實施成本較高。為實現(xiàn)從客戶端請求中解析用戶在應(yīng)用中的操作含義，需適配目標(biāo)應(yīng)用，適配工作量取決于目標(biāo)應(yīng)用的數(shù)量和復(fù)雜度以及安全管控粒度。技術(shù)三：應(yīng)用內(nèi)加密（集成密碼SDK）1）原理解析部署位置：應(yīng)用服務(wù)器（SDK統(tǒng)具備數(shù)據(jù)加密防護(hù)能力。圖4：應(yīng)用內(nèi)加密（集成密碼SDK）技術(shù)原理2）應(yīng)用場景通常情況下，當(dāng)應(yīng)用系統(tǒng)僅對數(shù)量有限的敏感數(shù)據(jù)存在加密需求時，適用于或字段相對較少。3）優(yōu)勢1、適用范圍廣。應(yīng)用系統(tǒng)的開發(fā)商可以自行解決數(shù)據(jù)加解密的絕大多數(shù)問題，對數(shù)據(jù)庫系統(tǒng)本身或第三方的數(shù)據(jù)安全廠商沒有依賴；2、靈活性高。業(yè)務(wù)邏輯需求進(jìn)行靈活選擇。挑戰(zhàn)1、需要對應(yīng)用系統(tǒng)開發(fā)改造。2、對應(yīng)用開發(fā)人員要求高。技術(shù)四：應(yīng)用內(nèi)加密（AOE面向切面加密）1）原理解析部署位置：應(yīng)用服務(wù)器（AOE應(yīng)用系統(tǒng)中結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)的存儲加密，并提供細(xì)粒度訪問控制、豐富脫敏策略、以及數(shù)據(jù)訪問審計功能，為應(yīng)用打造全面有效且易于實施的數(shù)圖5：應(yīng)用內(nèi)加密（AOE面向切面加密）技術(shù)原理應(yīng)用場景應(yīng)用內(nèi)加密（AOE面向切面加密）主要適用于企業(yè)在應(yīng)用層想要實現(xiàn)免開/批量保護(hù)。優(yōu)勢1、數(shù)據(jù)加密與業(yè)務(wù)邏輯解耦。AOE以將安全與業(yè)務(wù)在技術(shù)上解耦，又在能力上融合交織，擁有高度靈活性；2、不影響業(yè)務(wù)運營。應(yīng)用內(nèi)加密（AOE）適用于“應(yīng)用免改3、基于細(xì)粒度權(quán)限控制的數(shù)據(jù)安全防護(hù)。4)挑戰(zhàn)1、對應(yīng)用程序編程語言和框架需要做適配。企業(yè)實際應(yīng)用系統(tǒng)錯綜復(fù)雜，AOE技術(shù)五：數(shù)據(jù)庫加密網(wǎng)關(guān)1）原理解析部署位置：應(yīng)用服務(wù)器-數(shù)據(jù)庫之間安全的效果。圖6：數(shù)據(jù)庫加密網(wǎng)關(guān)技術(shù)原理2）應(yīng)用場景數(shù)據(jù)庫加密網(wǎng)關(guān)可以為數(shù)據(jù)庫提供“入庫加密、出庫解密”的防護(hù)，可以建SQL。優(yōu)勢1、應(yīng)用系統(tǒng)與加解密功能分離。相比較于傳統(tǒng)的應(yīng)用內(nèi)加密（集成密碼SDK）技術(shù)，數(shù)據(jù)庫加密網(wǎng)關(guān)技術(shù)具有獨立性，能夠使用戶從高度復(fù)雜且繁重的加密解密處理邏輯的開發(fā)工作解放出來。挑戰(zhàn)1、存在一定的法律風(fēng)險。對于Oracle等采用私有通信協(xié)議（不開源）的商業(yè)數(shù)據(jù)庫，安全廠商提供的數(shù)據(jù)庫加密網(wǎng)關(guān)破解協(xié)議的方案存在法律風(fēng)險；2、高性能和高可用實現(xiàn)難度大。數(shù)據(jù)庫加密網(wǎng)關(guān)增加了額外的處理節(jié)點，在大數(shù)據(jù)量和高并發(fā)訪問場景下，要實現(xiàn)高性能、高可用，面臨工程化實現(xiàn)挑戰(zhàn)。技術(shù)六：數(shù)據(jù)庫外掛加密1)原理解析部署位置：數(shù)據(jù)庫口調(diào)用的方式實現(xiàn)對數(shù)據(jù)的加解密處理。視圖可實現(xiàn)對表內(nèi)數(shù)據(jù)的過濾、投影、圖7：數(shù)據(jù)庫外掛加密技術(shù)原理2）應(yīng)用場景如果查詢涉及的加密列不多，查詢結(jié)果集中，且包含的數(shù)據(jù)記錄也相對不多3）優(yōu)勢1、獨立權(quán)控體系。使用數(shù)據(jù)庫外掛加密技術(shù)，可以在外置的安全服務(wù)中提供獨立于數(shù)據(jù)庫自有權(quán)控體系之外的權(quán)限控制體系，適用于對“獨立權(quán)控體系”有相關(guān)需求的場景，可以有效防止特權(quán)用戶（如DBA）對敏感數(shù)據(jù)的越權(quán)訪問。4）挑戰(zhàn)1Oracle數(shù)據(jù)庫外掛加密，目前大多數(shù)的技Oracle2、數(shù)據(jù)庫性能損耗較高。數(shù)據(jù)庫外掛加密是通過觸發(fā)器、多級視圖，進(jìn)3、可擴展性差。在業(yè)務(wù)變化引起數(shù)據(jù)庫表結(jié)構(gòu)發(fā)生變化時，需要對外掛程序業(yè)務(wù)邏輯進(jìn)行調(diào)整，甚至需重新定制開發(fā)，存在后期維護(hù)成本。技術(shù)七：TDE透明數(shù)據(jù)加密原理解析部署位置：數(shù)據(jù)庫原理：透明數(shù)據(jù)加密（TransparentDataEncryption，TDE）OracleSQLServerMySQL圖8：透明數(shù)據(jù)加密技術(shù)原理應(yīng)用場景透明數(shù)據(jù)加密技術(shù)適用于對數(shù)據(jù)庫中的數(shù)據(jù)執(zhí)行實時加解密的應(yīng)用場景，OracleTDE“軟密鑰錢包”升級為外部密鑰管理系統(tǒng)，以增強密鑰安全性。3）優(yōu)勢1、獨立權(quán)控體系?？刂企w系；2、性能損耗較低。以更好保留，透明數(shù)據(jù)加密技術(shù)在數(shù)據(jù)庫加密技術(shù)中，性能損耗較低。4）挑戰(zhàn)1、防護(hù)顆粒度較粗。TDE本身是一種落盤加密技術(shù)，數(shù)據(jù)在內(nèi)存中處于明文狀態(tài)，需要結(jié)合其他訪問控制技術(shù)使用。在實戰(zhàn)場景中難以防范DBA等風(fēng)險；2、數(shù)據(jù)庫類型適用性上有限制。透明數(shù)據(jù)加密因使用插件技術(shù)，對數(shù)據(jù)庫的版本有較強依賴性，且僅能對有限幾種類型的數(shù)據(jù)庫實現(xiàn)透明數(shù)據(jù)加密插件，在數(shù)據(jù)庫類型適用性上有一定限制。技術(shù)八：UDF用戶自定義函數(shù)加密1）原理解析部署位置：數(shù)據(jù)庫原理：UDF（UserDefinedFunction）用戶自定義函數(shù)是在已有數(shù)據(jù)庫功能UDF2）應(yīng)用場景UDF3）優(yōu)勢1、擴展能力強。該加密技術(shù)適用于對數(shù)據(jù)有“定制化實現(xiàn)”的場景化需4）挑戰(zhàn)1、通用性低。該加密技術(shù)需要根據(jù)不同數(shù)據(jù)庫的類型，做相對應(yīng)的定制化實現(xiàn)，并且在存儲過程或SQL中加以調(diào)用。技術(shù)九：TFE透明文件加密1）原理解析部署位置：文件系統(tǒng)原理：透明文件加密（TransparentFileEncryptionTFE），是訪問權(quán)限以及正確的安全通道，加密文件都將以密文狀態(tài)被保護(hù)。圖9：透明文件加密技術(shù)原理2）應(yīng)用場景透明文件加密技術(shù)幾乎可以適用于任何基于文件系統(tǒng)的數(shù)據(jù)存儲加密需求，的場景并不適用。3）優(yōu)勢1、可對應(yīng)用進(jìn)程授權(quán)。透明文件加密的防護(hù)顆粒度較細(xì)，可以適用于對應(yīng)用進(jìn)程有綁定需求的場景，?有授權(quán)的“白名單”應(yīng)用進(jìn)程訪問文件時，才能獲得明文，而未授權(quán)應(yīng)用?能獲取密文。4）挑戰(zhàn)1、管理員風(fēng)險。由于文件系統(tǒng)加密技術(shù)的數(shù)據(jù)庫無關(guān)性，因此，該加密技DBA2、高性能實現(xiàn)難度大。挑戰(zhàn)。技術(shù)十：FDE全磁盤加密1）原理解析部署位置：存儲硬件原理：全磁盤加密（FullDiskEncryption，F(xiàn)DE）是指通過動態(tài)加解密技術(shù)，對磁盤或分區(qū)進(jìn)行動態(tài)加解密的技術(shù)。FDEFDEFDE應(yīng)用場景全磁盤加密技術(shù)適用于磁盤上所有數(shù)據(jù)（包括操作系統(tǒng)）進(jìn)行動態(tài)加解密的場景，但由于不能提供針對用戶的增強權(quán)限控制，無法滿足對內(nèi)部超級用戶泄露敏感數(shù)據(jù)的風(fēng)險防范需求。優(yōu)勢1、性能優(yōu)勢突出。全磁盤加密技術(shù)通過操作系統(tǒng)內(nèi)核層（或者存儲設(shè)備自身的物理結(jié)構(gòu)）實現(xiàn)，能夠最大化減少加解密損耗，對上層業(yè)務(wù)服務(wù)提供性能最高的文件加解密服務(wù)；2、部署、實施簡單。全磁盤加密僅需對進(jìn)入磁盤的數(shù)據(jù)進(jìn)行加密，部署和實施簡單高效。挑戰(zhàn)1、數(shù)據(jù)防護(hù)顆粒度粗。該加密技術(shù)因為缺少訪問控制能力，因此，一旦磁盤掛載口令泄露，就有數(shù)據(jù)泄露的風(fēng)險，僅能防范“拔硬盤”攻擊。加密技術(shù)部署位置加密粒度性能防DBA數(shù)據(jù)庫復(fù)雜計算實施成本DLP終端加密終端文件中//中CASB代理網(wǎng)關(guān)終端-應(yīng)用服務(wù)器間文件/字段中支持影響中應(yīng)用內(nèi)加密（集成密碼SDK）應(yīng)用服務(wù)器文件/字段高支持影響高應(yīng)用內(nèi)加密（AOE面向切面）應(yīng)用服務(wù)器文件/字段高支持影響低數(shù)據(jù)庫加密網(wǎng)關(guān)應(yīng)用服務(wù)器-數(shù)據(jù)庫間字段中支持影響中