常见的数据存储加密技术,除了DLP终端加密、CASB代理网关、应用内加密(集成密码SDK),还有以下加密技术:
数据库加密网关
原理:
数据库加密网关是部署在应用服务器和数据库服务器之间的代理网关设备,通过解析数据库协议,对传入数据库的数据进行加密,从而获得保护数据安全的效果。
应用场景:
数据库加密网关可以为数据库提供“入库加密、出库解密”的防护,可以建立数据库用户的访问控制,实现企业内部人员的敏感数据访问授权精细化,可以防数据库拖库以及拦截非法SQL。
TDE透明数据加密
原理:
透明数据加密(Transparent Data Encryption,简称为TDE)是在数据库内部透明实现数据存储加密、访问解密的技术。数据在落盘时加密,在数据库内存中是明文,当攻击者“拔盘”窃取数据,由于数据库文件无法获得密钥而只能获取密文,从而起到保护数据库中数据的效果。
应用场景:
透明数据加密技术适用于对数据库中的数据执行实时加解密的应用场景,尤其是在对数据加密透明化有要求,以及对数据加密后数据库性能有较高要求的场景中。
UDF用户自定义函数加密
原理:
UDF(User Defined Function)用户自定义函数是在已有数据库功能的基础上扩展更丰富的业务需求,其原理是在数据库支持的形式上,通过定义函数名称及执行过程,实现自定义的处理逻辑。UDF用户自定义函数加密,是通过UDF接口实现数据在数据库内的加解密。
应用场景:
UDF用户自定义函数加密,作为一种在数据库侧的高灵活加解密集成方式,适用于某些数据库需要定制加解密的场景,尤其是实现基于国密算法的数据加解密
TFE透明文件加密
原理:
透明文件加密(Transparent File Encryption,简称为TFE),是在操作系统的文件管理子系统上部署加密插件来实现数据加密,基于用户态与内核态交付,可实现“逐文件逐密钥”加密。在正常使用时,计算机内存中的文件以明文形式存在,而硬盘上保存的数据是密文,如果没有合法的使用身份、访问权限以及正确的安全通道,加密文件都将以密文状态被保护。
应用场景:
透明文件加密技术几乎可以适用于任何基于文件系统的数据存储加密需求,尤其是原生不支持透明数据加密的数据库系统。
(内容参考自:炼石网络)
原文始发于微信公众号(天锐数据安全):分析常见的数据存储加密技术(下)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论