Auf welche Punkte muss bei der Verschlüsselung von Cloud-Datenbanken geachtet werden?

Cloud-Datenbankverschlüsselung

***Zu berücksichtigen ist die Notwendigkeit der Verschlüsselung Ihrer Daten. Alle Datenbanken verfügen über eingeschränkte Zugriffsmöglichkeiten. Zum Schutz der Datenvertraulichkeit genügen einige geeignete Implementierungen.

Weitere Faktoren, die eine Verschlüsselung zum Schutz der in der Datenbank gespeicherten Daten erfordern, sind: Verstecken von Daten vor privilegierten Benutzern der Datenbank (z. B. Datenbankadministratoren); zur Einhaltung von Gesetzen und Vorschriften können Dateneigentümer nicht über Konten darauf zugreifen Kontrollieren Sie den Zugriff auf Daten (z. B. mithilfe gemeinsamer Konten).

Bei der Verwendung von Cloud-Datenbanken, insbesondere SaaS-Lösungen, die Datenbanken verwenden, wird die normale Funktionalität der Datenbank eingeschränkt, wodurch die Datenbank oder Cloud-Anwendung gezwungen wird, auf den Schlüssel zuzugreifen, es sei denn, sie kann mit dem Chiffretext arbeiten.

Datenverschlüsselung bringt Komplexität und Leistungskosten mit sich. Neben der Verschlüsselung gibt es noch einige weitere wirksame Methoden:

◆Objektsicherheit nutzen. Verwenden Sie SQL-Grant- und Revoke-Anweisungen, um den Kontozugriff auf diese Daten einzuschränken. Der Zugriff ist nur autorisierten Benutzern gestattet und muss innerhalb dieser Konten streng kontrolliert werden.

◆ Speichern Sie sichere Hashwerte. Anstatt die Daten direkt zu speichern, ermöglicht die Speicherung von Hashes dieser Daten dem Programm eines Unternehmens, nachzuweisen, dass der Inhaber den korrekten Wert hat, ohne die Daten tatsächlich zu speichern.

Schlüsselverwaltung

Ein sehr schwieriger Prozess im Public Cloud Computing ist die Schlüsselverwaltung, die durch das Multi-Tenant-Modell in der Öffentlichkeit verursacht wird Cloud Die darauf ausgeführten Prozesse müssen wichtige Verwaltungsaspekte berücksichtigen.

Ein einfacher Anwendungsfall ist, dass, wenn eine Anwendung in der öffentlichen Cloud läuft, die verschlüsselten Daten vom Unternehmen in die öffentliche Cloud übertragen werden und der Schlüssel nur innerhalb des Unternehmens verwendet wird . Einige Verschlüsselungs-Engines können Daten beim Ausgang verschlüsseln und beim Eingang entschlüsseln. Eine Anwendung, die den Schlüssel verwendet, wird kompliziert, wenn andere Prozesse in der öffentlichen Cloud (z. B. Stapelverarbeitung) Zugriff auf den Schlüssel benötigen, um die Daten zu entschlüsseln.

In einem Unternehmen sollten Benutzer ihre eigenen unabhängigen Schlüssel haben, anstatt einen gemeinsamen Schlüssel zu verwenden, der dem gesamten Unternehmen zur Verfügung steht. Der einfachste Weg, das Problem zu lösen, besteht darin, jedem Benutzer oder jeder Entität einen Schlüssel zuzuweisen (oder zu verwalten), was mithilfe einer Verschlüsselungs-Engine basierend auf den Identitätsinformationen der Entität implementiert werden kann. Auf diese Weise werden alle Informationen, die speziell für eine Entität verschlüsselt wurden, von dieser Entität verwaltet. Wenn Entitäten innerhalb einer Gruppe Daten gemeinsam nutzen müssen, kann der Anwendung, die den Gruppenzugriff verwaltet, ein Schlüssel auf Gruppenebene zugewiesen und der Schlüssel von den Entitäten innerhalb der Gruppe gemeinsam genutzt werden. Schlüssel sollten innerhalb des Unternehmens verwaltet werden, wie weiter oben in diesem Abschnitt beschrieben.

Wenn Daten in einer öffentlichen Cloud-Umgebung gespeichert werden, weisen Sie beim Deaktivieren dieser Umgebung nach, dass alle Daten (insbesondere PII- oder SPI-Daten oder Daten, die Gesetzen und Vorschriften unterliegen) aus der öffentlichen Cloud-Umgebung gelöscht wurden. Go, einschließlich anderer Medien wie replizierter Festplatten usw., wird problematisch sein; die Aufrechterhaltung der lokalen Schlüsselverwaltung kann Schlüssel aus dem Schlüsselverwaltungssystem widerrufen (oder löschen oder verlieren), um sicherzustellen, dass alle in der öffentlichen Cloud verbleibenden Daten nicht entschlüsselt werden können diese Garantie geben.

Wenn Cloud-Dienstanbieter und -Benutzer keine wirksamen Schlüsselverwaltungsprozesse haben, ist die Datenverschlüsselung nicht von großem Wert. Auf der Seite des Dienstanbieters sind unter anderem folgende Faktoren zu befürchten: Server, auf denen verschlüsselte Daten gespeichert sind, und fehlende Trennung der Verantwortlichkeiten für den Zugriff auf Schlüssel; Datenbankadministratoren, die Zugriff auf persönliche Schlüssel haben;

Die Verwendung von Schlüsselverschlüsselungsschlüsseln, die Generierung von Verschlüsselungsschlüsseln im Speicher und die ausschließliche Speicherung von Verschlüsselungsschlüsseln auf einem Schlüsselserver sind allesamt effektive Architekturlösungen zur Kontrolle und zum Schutz der Schlüssel selbst. Diese sollten beim Erstellen einer Lösung berücksichtigt werden. Clientseitige Schlüsselverwaltung, der Schutz von Schlüsseln auf einem Gerät, das nicht grundsätzlich sicher ist (z. B. ein mobiles Endgerät) oder bei dem das Gerät nicht das gleiche Maß an Kontrolle erhält, sind alles Faktoren, die berücksichtigt werden müssen.

Spezifische Vorschläge in der Praxis

In der konkreten Praxis von Unternehmensanwendungen können Sie einige nützliche Vorschläge wie folgt befolgen:

# 🎜🎜#◆Wenn Sie irgendeine Form von Verschlüsselungs- oder Entschlüsselungsprodukt verwenden, wenden Sie geeignete Schlüsselverwaltungspraktiken an 🎜#

◆Verwenden Sie ***Schlüsselverwaltungspraktiken, Zugriffstechnologien und Produkte zur Verschlüsselung, Entschlüsselung, Signierung und Überprüfung aus vertrauenswürdigen Quellen;

#🎜 🎜#◆Es wird besonders empfohlen, dass Organisationen ihre eigenen verwalten Schlüssel oder verwenden Sie einen vertrauenswürdigen kryptografischen Dienst, der einen solchen Dienst bereits betreibt;

◆Wenn eine Organisation in der Cloud gespeicherte Daten verwenden muss, um Analysen oder andere Verarbeitungsvorgänge durchzuführen, sollte die Organisation auf der Grundlage von a entwickelt werden Plattform wie Hadoop zum Exportieren von Daten aus Datenquellen in der Cloud;

◆Die Zuständigkeit des Schlüssels kann auf individueller oder kollektiver Ebene verwaltet werden -Shelf-Technologien wie DRM-Systeme oder andere Software, die auf Desktops oder Laptops läuft, um Festplatten, Dateien und E-Mail-Nachrichten zu verschlüsseln;

◆Zur Wartung* Als Best Practice und durch Audits sollten Unternehmen verwalten ihre Schlüssel selbst oder nutzen Sie einen vertrauenswürdigen Dienst eines Verschlüsselungssoftwareanbieters;

◆Schlüssel, die in vorhandenen Verschlüsselungstechnologien verwendet werden. Beispielsweise sollten DRM- und Festplattenverschlüsselungsprodukte mithilfe von Schlüsselspeichertechnologie zentral im Unternehmen verwaltet werden; Hardware-Sicherheitsmodulation sollte verwendet werden, um Schlüssel zu speichern und Verschlüsselungsvorgänge wie Ver- und Entschlüsselung, Signaturen und Änderungen abzuwickeln;

◆Unternehmensbenutzer sollten den Registrierungsschritt durchlaufen, um Verschlüsselungsvorgänge und andere Verarbeitungen im Unternehmen zu ermöglichen, wie z. B. inhaltsbewusste oder formaterhaltende Verschlüsselungssysteme, die bei Bedarf auf Verschlüsselungs-/Entschlüsselungsschlüssel zugreifen können;

◆Alle Komponenten basieren auf der Identität Authentifizierung, Integration der Technologiebereitstellung in Unternehmenssysteme und Treffen von Autorisierungsentscheidungen während des Verarbeitungsprozesses. Verwenden Sie gebündelte Verschlüsselungsvorgänge, um Schlüssel für den Verschlüsselungs- und Entschlüsselungsprozess zu verwalten.

◆ Verwenden Sie nach Möglichkeit vorhandene Systeme wie E-DRM oder Data Leakage Prevention (; DLP) );

◆Bündeln Sie Verschlüsselungsvorgänge und Schlüsselverwaltung mit dem Identitätsauthentifizierungssystem des Unternehmens und bieten Sie Organisationen die größtmögliche Flexibilität bei der Integration und Nutzung von Technologien, die die Organisation bereits versteht, prüft oder getestet hat.

◆Darüber hinaus können Sie für die Cloud-Datenbankverschlüsselung auf die folgenden praktischen Vorschläge zurückgreifen:

◆Verwenden Sie Standardalgorithmen. Verwenden Sie keine proprietären, nicht standardmäßigen Technologien. Proprietäre Verschlüsselungsalgorithmen sind nicht bewährt und können leicht gebrochen werden.

◆ Vermeiden Sie die Verwendung alter unsicherer Verschlüsselungsstandards wie Data Encryption Standard (DES).

◆ Verwenden Sie Objektsicherheit. Selbst wenn sie verschlüsselt sind, sollten Sie immer grundlegende Objektsicherheit (einschließlich SQL-Zulassungs- und Ungültigerklärungsdeklarationen) verwenden, um den Zugriff auf die Daten zu verhindern

◆ Verschlüsseln Sie keine Primärschlüssel oder Indexspalten. Wenn Sie den Primärschlüssel verschlüsseln, müssen alle referenzierten Fremdschlüssel verschlüsselt werden. Das Abfragen von Daten wird langsam sein, wenn das Unternehmen in der Vergangenheit verschlüsselte Werte verwendet hat und jetzt die Indexspalten verschlüsselt.

◆Verwenden Sie zum Verschlüsseln eine Spaltenmethode (da Big-Data-Systeme diese Methode verwenden).

Das obige ist der detaillierte Inhalt vonAuf welche Punkte muss bei der Verschlüsselung von Cloud-Datenbanken geachtet werden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!