Sisu
- Krüpteerimise ja dekrüptimise protsessi detsentraliseerimine
- Keskne võtmehaldus hajutatud täitmisega
- Mitme krüpteerimismehhanismi tugi
- Tsentraliseeritud kasutajaprofiilid autentimiseks
- Puudub dekrüptimine ega uuesti krüptimine võtme pöörlemise või aegumise korral
- Hooldage põhjalikke logisid ja kontrolljälgi
- Pole vigu ega stressi - teie samm-sammuline juhend elumuutva tarkvara loomiseks ilma oma elu hävitamata
- Üldine krüptimis- / dekrüptimislahendus kogu rakenduse jaoks
- Kolmandate osapoolte integreerimine
- Vähima privileegi põhimõte
- Sagedased varukoopiad
- Järeldus
Allikas: Yap Kee Chan / Dreamstime
Ära võtma:
Uued ohud andmeturbele puutuvad pidevalt kokku. Need kümme näpunäidet aitavad teil andmeid krüptimisega kaitsta.
Tänapäevastes rakendustes on andmete krüpteerimine muutunud arengu oluliseks osaks. Igal üksikul andmestikul on oma tähtsus ja me ei saa neid haavatavaks jätta, kui neil pole krüpteerimismehhanisme ega turvafunktsioone. Andmete krüpteerimisest on saanud andmebaasides, failisüsteemides ja muudes andmeid edastavates rakendustes sisalduvate andmete peamine kaitsemeede. Andmeturbe ulatust arvestades tuleb krüpteerimismehhanismide ja andmeturbe rakendamisel järgida parimaid tavasid.
Siin kaetakse hästi mõned parimad tavad, mida tuleks krüpteerimismehhanismide ja andmeturbe rakendamisel järgida.
Krüpteerimise ja dekrüptimise protsessi detsentraliseerimine
See on oluline aspekt andmeturbeplaani koostamisel ja rakendamisel. Valik on rakendada see kohalikul tasandil ja levitada seda kogu ettevõttes või rakendada see keskses kohas eraldi krüptimiserveris. Krüptimis- ja dekrüptimisprotsesside levitamisel peab võtmehaldur tagama võtmete turvalise levitamise ja haldamise. Tarkvara, mis krüpteerib faili-, andmebaasi- ja rakendustasandil, on tuntud kõrgeima turvalisuse taseme tagamiseks, võimaldades samal ajal kasutajatel rakendusele täielikku juurdepääsu. Krüpteerimise ja dekrüpteerimise detsentraliseeritud lähenemisviisil on järgmised eelised:
- Suurem jõudlus
- Väiksem võrgu ribalaius
- Suurem kättesaadavus
- Andmete parem edastamine
Keskne võtmehaldus hajutatud täitmisega
Igasugust jaoturiga arhitektuuril põhinevat lahendust peetakse heaks arhitektuuriks. See arhitektuur võimaldab krüptimis- ja dekrüptimissõlmel eksisteerida ettevõtte võrgu suvalises punktis. Räägitud võtmehalduskomponenti saab hõlpsasti erinevatele sõlmedele juurutada ja integreerida mis tahes krüptimisrakendustega. Kui juurutatud ja kodarakomponendid on valmis, on kõik krüptimis- / dekrüpteerimismehhanismid sõlmede tasemel saadaval, kus krüptimis- / dekrüptimisülesanne viiakse läbi. See lähenemisviis vähendab andmevõrgu väljasõite. See lähenemisviis vähendab ka rummu komponendi rikke tõttu rakenduse seisakuid. Võtmehaldur peaks vastutama kodarate kasutatavate võtmete genereerimise, turvalise hoidmise ja aegumise eest. Samal ajal tuleb aegunud võtmeid sõlme tasandil värskendada.
Mitme krüpteerimismehhanismi tugi
Isegi kui meil on rakendatud parim võimalik krüpteerimismehhanism, on alati soovitatav toetada erinevaid krüptimistehnoloogiaid. See on oluline ühinemiste ja ülevõtmiste korral. Mõlemas kahes stsenaariumis peame oma ökosüsteemides tegema koostööd äripartneritega. Turvasüsteemi olemasolu, mis toetab peamisi tööstusstandardite krüpteerimisalgoritme, tagab organisatsiooni hea ettevalmistuse kõigi uute valitsuse reeglite ja määruste vastuvõtmiseks. (Mõnikord vajate oma andmete turvalisuse tagamiseks midagi enamat kui ainult krüptimist. Tutvuge krüptimisega, mida pole piisavalt: 3 kriitilist tõde andmeturbe kohta.)
Tsentraliseeritud kasutajaprofiilid autentimiseks
Arvestades andmete tundlikkust, on oluline omada sobivat autentimismehhanismi. Nendele andmetele juurdepääs peaks põhinema võtmehalduris määratletud kasutajaprofiilidel. Ainult autenditud kasutajatele omistatakse ja väljastatakse mandaadid, et pääseda juurde kasutajaprofiiliga seotud krüptitud ressurssidele. Neid kasutajaprofiile hallatakse kasutaja abil, kellel on võtmehalduris administraatoriõigused. Üldiselt on parim tava järgida lähenemisviisi, kus ükski kasutaja või administraator ei oma võtmetele ainuõigust.
Puudub dekrüptimine ega uuesti krüptimine võtme pöörlemise või aegumise korral
Igal krüpteeritud andmeväljal või failil peaks olema sellega seotud võtmeprofiil. Sellel võtmeprofiilil on võimalus lubada rakendusel tuvastada krüptitud ressursid, mida tuleks kasutada andmevälja või faili dekrüpteerimiseks. Seega ei ole vaja krüptitud andmete komplekti dekrüpteerida ja seejärel uuesti krüptida, kui võtmed aeguvad või neid muudetakse. Värskelt krüptitud andmed dekrüptitakse uusima võtme abil, olemasolevate andmete korral otsitakse krüptimiseks kasutatud algset võtmeprofiili ja kasutatakse dekrüpteerimiseks.
Hooldage põhjalikke logisid ja kontrolljälgi
Logimine on mis tahes rakenduse oluline aspekt. See aitab jälgida rakenduses juhtunud sündmusi. Ulatuslikust logimisest on hajutatud rakenduste korral alati abi ja see on võtmehalduse oluline komponent. Iga juurdepääs krüpteeritud andmete kogumile, mis on suure tundlikkuse tõttu krüptitud, tuleks üksikasjalikult logida järgmise teabega:
Pole vigu ega stressi - teie samm-sammuline juhend elumuutva tarkvara loomiseks ilma oma elu hävitamata
Te ei saa oma programmeerimisoskusi parandada, kui keegi tarkvara kvaliteedist ei hooli.
- Andmed tundliku sisuga andmetele juurdepääsu võimaldava funktsiooni kohta
- Andmed delikaatsetele andmetele juurdepääsu saanud kasutaja kohta
- Ressursid, mida kasutatakse andmete krüptimiseks
- Andmed, millele on juurde pääsetud
- Andmetele juurdepääsu aeg
Üldine krüptimis- / dekrüptimislahendus kogu rakenduse jaoks
Väljade, failide ja andmebaaside krüptimiseks on alati parim tava järgida ühist krüptimismehhanismi. Krüpteerimismehhanism ei pea teadma andmeid, mida ta krüpteerib või dekrüpteerib. Peame kindlaks määrama krüptitavad andmed ja mehhanismi. Pärast krüptimist muutuvad andmed ligipääsmatuks ja neile pääseb juurde ainult kasutaja õiguste alusel. Need kasutajaõigused on rakendusespetsiifilised ja administratiivne kasutaja peab neid kontrollima. (Krüptimise kohta lisateabe saamiseks vaadake teemat Krüptimise usaldamine on palju raskem.)
Kolmandate osapoolte integreerimine
Ettevõtetes on levinud lähenemisviis suure hulga väliste seadmete olemasolu. Need seadmed võivad olla müügikohas (POS) seadmed, mis on hajutatud üle võrgu. Neil pole tüüpilisi andmebaasile orienteeritud rakendusi ja need on pühendatud ühe funktsiooniga, kasutades patenteeritud tööriistu. Krüpteerimismehhanismi kasutamine on alati hea lähenemisviis, mida saab hõlpsasti integreerida mis tahes kolmanda osapoole rakendusega.
Vähima privileegi põhimõte
Alati soovitatakse mitte kasutada rakendusi, mis nõuavad administraatoriõiguse kasutamist, kui see pole tingimata vajalik. Rakenduse kasutamine energiakasutaja või administraatoriõigustega kasutaja kaudu muudab rakenduse turvaohtude ja riskide suhtes haavatavaks.
Sagedased varukoopiad
Andmeturbe üks peamisi aspekte on andmete varundamine. Arvestades tundlikkuse ulatust, tuleb kõiki andmeid iga päev varundada. Samuti on oluline taastada varundatud andmed ja kontrollida rakenduse õigsust.
Järeldus
Krüptimine ja dekrüptimine on tänapäevases ärimaailmas andmete turvalisuse tagamiseks hädavajalikud. Kui järgite neid nõuandeid, peaksid teie andmed olema uteliailta.