ホームページ >運用・保守 >安全性 >クラウドデータベースを暗号化する際にはどのような点に注意する必要がありますか?

クラウドデータベースを暗号化する際にはどのような点に注意する必要がありますか?

WBOY
WBOY転載
2023-05-30 14:59:191676ブラウズ

クラウド データベース暗号化

***考慮すべき点の 1 つは、データの暗号化の必要性です。すべてのデータベースにはアクセス機能が制限されています。いくつかの適切な実装は、データの機密性を保護するのに十分です。

データベースに保存されているデータを保護するために暗号化が必要なその他の要因には、データベースの特権ユーザー (データベース管理者など) からデータを隠すこと、法律や規制を遵守するために、データ所有者がアカウントを介してアクセスを制御できないことなどがあります。データへのアクセス (例: 共有アカウントの使用)。

クラウド データベース、特にデータベースを使用する SaaS ソリューションを使用する場合、データベースの通常の機能が低下し、暗号文を操作できない限り、データベースまたはクラウド アプリケーションはキーにアクセスする必要があります。

データ暗号化は複雑さとパフォーマンスのコストをもたらします。暗号化に加えて、他にも効果的な方法がいくつかあります。

◆オブジェクト セキュリティを使用します。 SQL の許可ステートメントと取り消しステートメントを使用して、このデータへのアカウント アクセスを制限します。アクセスは許可されたユーザーのみに許可されており、これらのアカウント内で厳密に制御する必要があります。

◆ストレージの安全なハッシュ値。データを直接保存するのではなく、このデータのハッシュ値を保存することで、企業のプログラムは実際にデータを保存せずに、所有者が正しい値を持っていることを証明できます。

キー管理

パブリック クラウド コンピューティングにおける非常に困難なプロセスはキー管理です。パブリック クラウドのマルチテナント モデルでは、その上で実行されているプロセスに考慮する必要があります。重要な管理の問題。

簡単な応用例としては、アプリケーションがパブリック クラウドで実行されている場合、暗号化されたデータが企業内からパブリック クラウドに送信され、キーは企業内でのみ使用されます。一部の暗号化エンジンは、データを送信時に暗号化し、受信時に復号化できます。パブリック クラウド上の他のプロセス (バッチ処理など) がデータを復号化するためにキーにアクセスする必要がある場合、キーを使用するアプリケーションは複雑になります。

企業では、ユーザーは企業全体で利用できる共有キーを使用するのではなく、独自の独立したキーを持つ必要があります。各ユーザーまたはエンティティにキーを割り当てる (または管理する) ことは、エンティティの ID 情報に基づく暗号化エンジンを使用して実装でき、問題を解決する最も簡単な方法です。このようにして、1 つのエンティティに対して特別に暗号化された情報はすべて、そのエンティティによって維持されます。グループ内のエンティティがデータを共有する必要がある場合、グループ アクセスを管理するアプリケーションにグループ レベルのキーを割り当て、そのキーをグループ内のエンティティ間で共有できます。このセクションで前述したように、キーは企業内で管理する必要があります。

データがパブリック クラウド環境に保存されている場合、この環境を非アクティブ化する際には、その他のデータを含むすべてのデータ (特に PII または SPI データ、または法令の対象となるデータ) がパブリック クラウド環境から削除されていることを証明してください。複製ディスクなどのメディアが問題になる可能性があるため、ローカルの鍵管理を維持すると、鍵管理システムから鍵を取り消す (または削除または紛失する) ことができ、パブリック クラウドに残っているデータが復号化されないようにすることが保証されています。

クラウド サービス プロバイダーとユーザーに効果的なキー管理プロセスが欠けている場合、データ暗号化はあまり価値がありません。サービス プロバイダー側​​の懸念要因には、暗号化されたデータを保持するサーバーとキーへのアクセスに関する責任の分離の欠如、データベース管理者が個人キーにアクセスできること、または単一のキーに依存するデータベース サービス アーキテクチャが含まれます。

キー暗号化キーの使用、メモリ内での暗号化キーの生成、および暗号化キーのみをキー サーバーに保存することは、キー自体を制御および保護するための効果的なアーキテクチャ ソリューションです。ソリューションを構築する際には、これらを考慮する必要があります。クライアント側のキー管理、本質的に安全ではないデバイス (モバイル端末など)、またはデバイスが同じレベルの制御を受けていないデバイス上のキーを保護することは、すべて考慮する必要がある要素です。

実際の具体的な提案

エンタープライズ アプリケーションの具体的な実践では、次のようないくつかの役立つ提案に従うことができます:

◆フォームを使用する場合暗号化製品または復号化製品を使用する場合は、ベスト キー管理プラクティスを適用してください。

#◆可能であれば、信頼できるソースからすぐに入手できるテクノロジを使用してベスト プラクティスを取得する必要があります。

◆ベスト キーを使用する管理慣行、暗号化、復号化、署名、検証のためのテクノロジーと製品を信頼できるソースから入手する;

◆組織が独自の鍵を維持するか、すでにそのようなサービスを運用している信頼できる暗号化サービスを使用することを特にお勧めします。

組織が分析やその他の処理を実行するためにクラウドに保存されたデータを使用する必要がある場合、組織は Hadoop などのプラットフォームに基づいて開発し、クラウドからデータ ソースからデータをエクスポートする必要があります。

◆主要な管轄権は、個人レベルまたは集団レベルで維持できます。

#◆集団アクセスの管理には、DRM システムなどの既製のテクノロジや、ハード ドライブ、ファイル、暗号化用ソフトウェアなどのその他の操作を使用できます。デスクトップまたはラップトップでメッセージを送信したり、電子メール メッセージを送信したりできます;

#◆優れた慣行を維持し、監査に合格するには、組織は独自のキーを管理するか、暗号化ソフトウェア プロバイダーの信頼できるサービスからの暗号化キーを使用する必要があります。

##◆ DRM やハードディスク暗号化製品などの既存の暗号化テクノロジで使用されるキーは、キー ストレージ テクノロジを使用して企業内で集中管理する必要があります。ハードウェア セキュリティ変調は、キーを保存し、暗号化、復号化、署名、変更などの暗号化操作を処理するために使用する必要があります。

◆企業ユーザーは、登録プロセスを実行して、必要に応じて暗号化/復号化キーにアクセスできるコンテンツ対応暗号化システムやフォーマット保持暗号化システムなど、企業内の暗号化操作やその他のプロセスを有効にする必要があります。 ◆ID 認証のすべてのコンポーネントに基づいて、技術展開を企業システムに統合し、プロセス中に承認の決定を行い、バンドルされた暗号化操作を使用して暗号化および復号化プロセスのキーを管理します;

◆ 可能であれば既存のシステムを使用します。 E-DRM またはデータ漏洩防止 (DLP) として;

◆暗号化操作とキー管理を企業の ID 認証システムにバンドルし、最も柔軟な統合を組織に提供し、組織の既知、監査、またはテスト済みの機能を使用します。テクノロジー。

◆さらに、クラウド データベースの暗号化については、次の実践的な提案を参照してください。

◆標準アルゴリズムを使用します。独自の非標準テクノロジーは使用しないでください。独自の暗号化アルゴリズムは証明されておらず、簡単に破られてしまいます;

◆データ暗号化標準 (DES) などの安全でない古い暗号化標準の使用は避けてください;

◆オブジェクトの安全性を確保してください。暗号化されている場合でも、データへのアクセスを防ぐために、常に基本的なオブジェクト セキュリティ (SQL の許可および取り消しステートメントを含む) を使用する必要があります。

◆主キーやインデックス列は暗号化しないでください。主キーを暗号化する場合は、参照されるすべての外部キーを暗号化する必要があります。企業が過去に暗号化された値を使用し、現在はインデックス列を暗号化している場合、データのクエリが遅くなります。

◆暗号化には列指向方式を使用します (ビッグ データ システムがこの方式を使用しているため)。

以上がクラウドデータベースを暗号化する際にはどのような点に注意する必要がありますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明:
この記事はyisu.comで複製されています。侵害がある場合は、admin@php.cn までご連絡ください。