Зміст
- Децентралізуйте процес шифрування та дешифрування
- Управління центральним ключем з розподіленим виконанням
- Підтримка декількох механізмів шифрування
- Централізовані профілі користувачів для аутентифікації
- Немає дешифрування чи повторного шифрування у разі обертання або закінчення терміну дії
- Ведіть комплексні журнали та аудиторські маршрути
- Ні помилок, ні стресу - покроковий посібник зі створення програмного забезпечення, що змінює життя, не руйнуючи ваше життя
- Загальне рішення для шифрування / розшифрування для всієї програми
- Інтеграція сторонніх організацій
- Принцип найменшого привілею
- Часті резервні копії
- Висновок
Джерело: Yap Kee Chan / Dreamstime
Винос:
Нові загрози безпеці даних постійно з'являються. Ці десять порад допоможуть вам захистити свої дані за допомогою шифрування.
У сучасних додатках шифрування даних стало важливою частиною розвитку. Кожен фрагмент даних має своє важливе значення, і ми не можемо залишати їх уразливими без будь-яких механізмів шифрування чи функцій захисту. Шифрування даних стало головною гарантією для даних, що перебувають у базах даних, файлових системах та інших програмах, які передають дані. Враховуючи масштаби безпеки даних, слід дотримуватися кращих практик під час впровадження механізмів шифрування та захисту даних.
Тут добре висвітлюються деякі найкращі практики, яких слід дотримуватися під час впровадження механізмів шифрування та захисту даних.
Децентралізуйте процес шифрування та дешифрування
Це важливий аспект розробки та реалізації плану безпеки даних. Вибір полягає в тому, щоб реалізувати його на локальному рівні та розповсюдити його по всьому підприємству або впровадити в центральному місці на окремому сервері шифрування. Якщо процеси шифрування та дешифрування розподіляються, менеджер ключів повинен забезпечити захищений розподіл та управління ключами. Програмне забезпечення, яке виконує шифрування на рівні файлів, на базі даних та на рівні програми, добре відоме тим, що забезпечує найвищий рівень безпеки, дозволяючи користувачам повний доступ до програми. Децентралізований підхід шифрування та дешифрування має переваги:
- Більш висока продуктивність
- Нижня пропускна здатність мережі
- Більш висока доступність
- Краща передача даних
Управління центральним ключем з розподіленим виконанням
Будь-яке рішення, що базується на архітектурі на основі концентратора, вважається хорошою архітектурою. Ця архітектура дозволяє вузлу шифрування та дешифрування існувати в будь-якій точці корпоративної мережі. Компонент управління розмовними ключами легко розгортати на різних вузлах і може бути інтегрований з будь-яким додатком шифрування. Після розгортання та компонентів спікера готові всі механізми шифрування / дешифрування доступні на рівні вузла, де виконується завдання шифрування / дешифрування. Такий підхід зменшує мережеві відключення даних. Такий підхід також зменшує ризик простою програми через вихід з ладу компонента концентратора. Керівник ключів повинен відповідати за управління генерацією, безпечним зберіганням та закінченням дії ключів, які використовуються спицями. При цьому ключі з минулим терміном потрібно оновити на рівні вузла.
Підтримка декількох механізмів шифрування
Навіть якщо у нас реалізований найкращий доступний механізм шифрування, завжди доцільно мати підтримку різних технологій шифрування. Це стає важливим у випадках злиття та поглинання. В будь-якому з двох сценаріїв нам потрібно працювати з нашими бізнес-партнерами в наших екосистемах. Створення системи безпеки, яка підтримує основний галузевий алгоритм шифрування, забезпечує організацію добре підготовленою до прийняття будь-яких нових урядових правил та правил. (Іноді для шифрування даних вам потрібне більше, ніж просто шифрування. Ознайомтеся з шифруванням Просто недостатньо: 3 критичних правди щодо безпеки даних.)
Централізовані профілі користувачів для аутентифікації
Враховуючи чутливість даних, важливо створити відповідний механізм аутентифікації. Доступ до цих даних повинен базуватися на профілях користувачів, визначених у менеджері ключів. Лише автентифікованим користувачам буде призначено та видано облікові дані для отримання доступу до зашифрованих ресурсів, пов'язаних з профілем користувача. Цими профілями користувачів керує користувач, який має адміністративні права у менеджері ключів. Загалом, найкраща практика - це дотримуватися підходу, коли жоден користувач чи адміністратор не має єдиного доступу до ключів.
Немає дешифрування чи повторного шифрування у разі обертання або закінчення терміну дії
Кожне поле або файл даних, які зашифровані, повинні мати ключовий профіль, пов'язаний із ним. Цей ключовий профіль має можливість давати програмі можливість ідентифікувати зашифровані ресурси, які слід використовувати для розшифрування поля даних або файлу. Таким чином, не потрібно розшифровувати набір зашифрованих даних, а потім повторно шифрувати їх назад, коли ключі закінчуються або змінюються. Свіжозашифровані дані будуть розшифровуватися за допомогою останнього ключа, тоді як для існуючих даних пошук оригінального профілю ключа, який використовувався для шифрування, буде шукати та використовувати для розшифровки.
Ведіть комплексні журнали та аудиторські маршрути
Ведення журналу - важливий аспект будь-якої програми. Це допомагає відстежувати події, які сталися в додатку. Широкий журнал завжди корисний у випадку розподілених програм та є важливою складовою управління ключами. Кожен доступ до набору даних, зашифрованих через високу ступінь чутливості, повинен реєструватися в деталях із наступною інформацією:
Ні помилок, ні стресу - покроковий посібник зі створення програмного забезпечення, що змінює життя, не руйнуючи ваше життя
Ви не можете покращити свої навички програмування, коли ніхто не піклується про якість програмного забезпечення.
- Деталі функції, яка отримала доступ до конфіденційних даних
- Докладна інформація про користувача, який отримав доступ до конфіденційних даних
- Ресурси, які використовуються для шифрування даних
- Дані, до яких здійснюється доступ
- Час доступу до даних
Загальне рішення для шифрування / розшифрування для всієї програми
Для шифрування полів, файлів і баз даних завжди найкращою практикою є дотримання загального механізму шифрування. Механізму шифрування не потрібно знати даних, які він шифрує або дешифрує. Ми повинні визначити дані, які потрібно зашифрувати, а також механізм. Після шифрування дані стають недоступними і доступ до них можна отримати лише на основі прав користувача. Ці права користувача є специфічними для додатків і їх потрібно контролювати адміністративний користувач. (Щоб дізнатися більше про шифрування, див. Довіряти шифруванню просто отримано набагато важче.)
Інтеграція сторонніх організацій
Загальний підхід на підприємствах має велику кількість зовнішніх пристроїв. Ці пристрої можуть бути пристроями продажу (POS), які розповсюджуються по мережі. Вони не мають типових програм, орієнтованих на базу даних, і присвячені одній функції, використовуючи власні інструменти. Завжди є добрим підходом використовувати механізм шифрування, який легко інтегрується з будь-яким стороннім додатком.
Принцип найменшого привілею
Завжди рекомендується не використовувати додатки, що вимагають використання адміністративних привілеїв, якщо це абсолютно не потрібно. Використання програми через енергокористувача або користувача з адміністративними привілеями робить програму вразливою до загроз та ризиків для безпеки.
Часті резервні копії
Одним з основних аспектів безпеки даних є резервне копіювання даних. Враховуючи величину чутливості, всі дані повинні бути резервні копії щодня. Також важливо відновити резервні дані та перевірити програму на правильність.
Висновок
Шифрування та дешифрування мають важливе значення для збереження даних у сучасному діловому світі. Якщо ви будете дотримуватися цих порад, то ваші дані повинні залишатися в безпеці від сторонніх очей.