一文读懂十种数据存储加密技术
近年来,国家持续加强对网络安全、数据安全、个人信息的保护力度,陆续颁布了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等法律法规。国家有关部门依法加大网络安全、数据安全、个人信息保护等领域执法力度,通过执法约谈、责令改正、警告、通报批评、罚款、责令暂停相关业务、停业整顿、关闭网站、下架、处理责任人等处置处罚措施,依法打击危害国家网络安全、数据安全、侵害公民个人信息等违法行为,切实维护国家网络安全、数据安全和社会公共利益,有力保障广大人民群众合法权益。同时,加大典型案例曝光力度,形成强大声势和有力震慑,做到查处一案、警示一片,教育引导互联网企业依法合规运营,促进企业健康规范有序发展。
一实战、双合规
图1:数据安全的“一实战、双合规”需求
数据流动中的安全控制点
数据存储加密防护的难点,在于如何对流转中的数据主动实施加密等保护,确保数据不被泄露或篡改,这里的数据包括结构化与非结构化等类型。结构化数据一般是指可以使用关系型数据库存储和表示,表现为二维形式的数据,一般来讲,结构化数据也就是传统数据库中的数据形式;非结构化数据,就是指没有固定结构的数据,包括各种文档、图片、视频、音频等。
传统的“数据库加密”往往体现为密文数据存储到数据库后的情形,一般局限于结构化数据,而在企业实战化场景中,数据库只是数据处理的一个环节,因此,传统的“数据库存储加密”只是“数据存储加密”的子集。
炼石认为,在实际应用中,要结合用户场景和适用性需求,选择一种或者组合多种存储加密技术,优势互补,打造“以密码技术为核心,访问控制、审计等多种安全技术相互融合”的数据安全防护体系,从而满足企业多场景的实战化及合规需求。
十种存储加密技术对比分析
技术一:DLP终端加密
原理解析
应用场景
1)操作失误或无意识外发导致技术数据泄漏;
优势
挑战
技术二:CASB代理网关
部署位置:终端-应用服务器之间
应用场景
优势
挑战
1、实施成本较高。为实现从客户端请求中解析用户在应用中的操作含义,需适配目标应用,适配工作量取决于目标应用的数量和复杂度以及安全管控粒度。
技术三:应用内加密(集成密码SDK)
原理解析
应用场景
优势
1、适用范围广。应用系统的开发商可以自行解决数据加解密的绝大多数问题,对数据库系统本身或第三方的数据安全厂商没有依赖;
挑战
1、需要对应用系统开发改造。应用系统加密的实现需要应用系统开发投入较大的研发成本,时间周期较长,后期实施和维护成本较高,也面临大量代码改造带来的潜在业务风险;
技术四:应用内加密(AOE面向切面加密)
原理解析
部署位置:应用服务器
应用场景
应用内加密(AOE面向切面加密)主要适用于企业在应用层想要实现免开发改造的、可敏捷实施的高性能数据安全防护。该加密方式支持结构化/非结构化数据的加密,可与应用开发解耦,灵活性高。进一步的,该加密方式可支持分布式部署、集中式管控,既可针对单个应用防护,也可以针对上百个应用的批量保护。
优势
1、数据加密与业务逻辑解耦。该加密技术通过AOE面向切面加密方式,可以将安全与业务在技术上解耦,又在能力上融合交织,拥有高度灵活性;
挑战
技术五:数据库加密网关
原理解析
应用场景
优势
1、应用系统与加解密功能分离。相比较于传统的应用内加密(集成密码SDK)技术,数据库加密网关技术具有独立性,能够使用户从高度复杂且繁重的加密解密处理逻辑的开发工作解放出来。
挑战
1、存在一定的法律风险。对于Oracle等采用私有通信协议(不开源)的商业数据库,安全厂商提供的数据库加密网关破解协议的方案存在法律风险;
2、高性能和高可用实现难度大。数据库加密网关增加了额外的处理节点,在大数据量和高并发访问场景下,要实现高性能、高可用,面临工程化实现挑战。
技术六:数据库外挂加密
原理解析
部署位置:数据库
应用场景
优势
挑战
1、仅支持Oracle等少量数据库类型。数据库外挂加密,目前大多数的技术实现形式,存在功能性依赖,仅支持开放高级接口的Oracle等少量数据库;
2、数据库性能损耗较高。数据库外挂加密是通过触发器、多级视图,进行外部接口调用来实现加解密,触发器或视图的运行机制要求对加密表中的每一条数据中的每个加密列的读写都会进行外部接口调用,因此,当遇到比如“查询中涉及的加密列较多”等情况时,会对数据库的读写性能存在明显影响;
技术七:TDE透明数据加密
原理解析
部署位置:数据库
应用场景
透明数据加密技术适用于对数据库中的数据执行实时加解密的应用场景,尤其是在对数据加密透明化有要求,以及对数据加密后数据库性能有较高要求的场景中。在实际使用中,可根据Oracle等内置TDE的密钥管理接口,将默认“软密钥钱包”升级为外部密钥管理系统,以增强密钥安全性。
优势
1、独立权控体系。与数据库外挂加密类似,使用插件形式的透明数据加密技术,同样可以在外置的安全服务中提供独立于数据库自有权控体系之外的权限控制体系;
挑战
1、防护颗粒度较粗。TDE本身是一种落盘加密技术,数据在内存中处于明文状态,需要结合其他访问控制技术使用。在实战场景中难以防范DBA等风险;
2、数据库类型适用性上有限制。透明数据加密因使用插件技术,对数据库的版本有较强依赖性,且仅能对有限几种类型的数据库实现透明数据加密插件,在数据库类型适用性上有一定限制。
技术八:UDF用户自定义函数加密
原理解析
部署位置:数据库
应用场景
UDF用户自定义函数加密,作为一种在数据库侧的高灵活加解密集成方式,适用于某些数据库需要定制加解密的场景,尤其是实现基于国密算法的数据加解密。
优势
1、扩展能力强。该加密技术适用于对数据有“定制化实现”的场景化需求,能够根据用户的业务需求,对数据实现丰富多样的加解密处理。
挑战
1、通用性低。该加密技术需要根据不同数据库的类型,做相对应的定制化实现,并且在存储过程或SQL中加以调用。
技术九:TFE透明文件加密
原理解析
原理:透明文件加密(Transparent File Encryption,简称为TFE),是在操作系统的文件管理子系统上部署加密插件来实现数据加密,基于用户态与内核态交付,可实现“逐文件逐密钥”加密。在正常使用时,计算机内存中的文件以明文形式存在,而硬盘上保存的数据是密文,如果没有合法的使用身份、访问权限以及正确的安全通道,加密文件都将以密文状态被保护。
应用场景
透明文件加密技术几乎可以适用于任何基于文件系统的数据存储加密需求,尤其是原生不支持透明数据加密的数据库系统。但是,由于文件系统加密技术无法提供针对数据库用户的增强权限控制,因此对于需要防范内部数据库超级用户的场景并不适用。
优势
1、可对应用进程授权。透明文件加密的防护颗粒度较细,可以适用于对应用进程有绑定需求的场景,只有授权的“白名单”应用进程访问文件时,才能获得明文,而未授权应用只能获取密文。
挑战
技术十:FDE全磁盘加密
原理解析
原理:全磁盘加密(Full Disk Encryption,简称FDE)是指通过动态加解密技术,对磁盘或分区进行动态加解密的技术。FDE的动态加解密算法位于操作系统底层,其所有磁盘操作均通过FDE进行:当系统向磁盘上写入数据时,FDE首先加密要写入的数据,然后再写入磁盘;反之,当系统读取磁盘数据时,FDE会自动将读取到的数据进行解密,然后再提交给操作系统。
应用场景
全磁盘加密技术适用于磁盘上所有数据(包括操作系统)进行动态加解密的场景,但由于不能提供针对用户的增强权限控制,无法满足对内部超级用户泄露敏感数据的风险防范需求。
优势
1、性能优势突出。全磁盘加密技术通过操作系统内核层(或者存储设备自身的物理结构)实现,能够最大化减少加解密损耗,对上层业务服务提供性能最高的文件加解密服务;
挑战
1、数据防护颗粒度粗。该加密技术因为缺少访问控制能力,因此,一旦磁盘挂载口令泄露,就有数据泄露的风险,仅能防范“拔硬盘”攻击。
十种数据存储技术对比表
|
加密技术 |
部署位置 |
加密粒度 |
性能 |
防DBA |
数据库复杂计算 |
实施成本 |
|
DLP终端加密 |
终端 |
文件 |
中 |
/ |
/ |
中 |
|
CASB代理网关 |
终端-应用服务器之间 |
文件/字段 |
中 |
支持 |
影响 |
中 |
|
应用内加密(集成密码SDK) |
应用服务器 |
文件/字段 |
高 |
支持 |
影响 |
高 |
|
应用内加密(AOE面向切面加密) |
应用服务器 |
文件/字段 |
高 |
支持 |
影响 |
低 |
|
数据库加密网关 |
应用服务器-数据库之间 |
字段 |
中 |
支持 |
影响 |
中 |
|
数据库外挂加密 |
数据库 |
字段 |
低 |
不支持 |
不影响 |
高 |
|
TDE透明数据加密 |
数据库 |
字段/表空间 |
高 |
不支持 |
不影响 |
低 |
|
UDF用户自定义函数加密 |
数据库 |
字段 |
中 |
不支持 |
不影响 |
高 |
|
TFE透明文件加密 |
文件系统 |
文件 |
中 |
不支持 |
不影响 |
低 |
|
FDE全磁盘加密 |
文件系统 |
磁盘/卷 |
高 |
不支持 |
不影响 |
低 |
炼石免改造数据安全,让数据开发利用与有效保护二者兼得。炼石免改造应用的数据安全方案,结合国家“四法四条例”、以及金融等行业监管要求,以“数据”为中心,以“应用”为抓手,打造应用内嵌式数据安全产品,形成“一平台、多模块”产品体系,覆盖识别、防护、检测/响应、追溯等环节。炼石免改造数据安全方案防护能力覆盖应用系统、数据库、文件系统、磁盘、终端等多层级,在不同的数据控制点,可发现识别目标数据结构及用户身份,并整合加密、去标识化、身份认证、访问控制、行为审计等安全能力,实现“主体到人、客体到字段”的细粒度防护。基于免改造数据安全技术,重构数据防护边界,实现防绕过的数据安全机制。
22万字数据安全产业洞察报告(下载) |《数据安全法》一周年
12万字 | 2021数据安全与个人信息保护技术白皮书(附下载)
17万字 | 2021密码应用技术白皮书(附下载)
三万字 | 2021密码产业洞察报告(附下载)
200页幻灯片图解典型行业与省市数据法规要求(附下载)
幻灯片下载 | 图解《个人信息保护法》《数据安全法》
200页幻灯片图解《网络数据安全管理条例(征求意见稿)》及数据安全技术体系
附下载|我国197项数据安全政策回顾汇总
炼石网络是一家数据安全技术创新厂商,先后获得安天、国科嘉和、腾讯等投资,面向个人信息和商业数据保护等场景,开创自研“免改造数据安全”产品,以及DSM数据安全管理平台。炼石免改造数据安全夺得第七届互联网安全大会(ISC 2019)首届“创新独角兽沙盒大赛”总冠军,技术特色是免开发改造应用的数据保护、高性能国产密码和去标识化技术,为政府、金融、运营商、交通、教医旅、工业等用户提供个人信息保护、商业数据保护、DSM数据安全管理合规改造、国密合规改造。面向《密码法》《数据安全法》《个人信息保护法》等法律法规,企业重要数据与个人信息亟待提升防护水平与合规改造。炼石基于免改造数据安全技术,通过高覆盖率的数据控制点,横向覆盖广泛应用,纵向叠加发现识别、加密、去标识化、检测/响应、审计追溯等安全能力,有效保护结构化与非结构化数据,实现集中式管控、分布式保护,可应用在数据存储、使用、加工、传输、提供等环节。炼石方案可在不影响业务的前提下敏捷实施上线,将安全与业务在技术上解耦、但又在能力上融合交织,实现主体到应用内用户、客体到字段/文档级的有效保护,打造实战化数据安全防护体系。
微信号:炼石网络CipherGateway
原文始发于微信公众号(炼石网络CipherGateway):身份证号还在明文存储?一文读懂十大存储加密技术!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论