在全球范圍內(nèi)的大規(guī)模數(shù)據(jù)泄露事件頻發(fā),數(shù)據(jù)安全以及隱私保護(hù)法規(guī)政策逐步強(qiáng)化的背景下,企業(yè)數(shù)據(jù)安全防護(hù)體系建設(shè)對企業(yè)業(yè)務(wù)風(fēng)險(xiǎn)規(guī)避至關(guān)重要。一方面,企業(yè)核心數(shù)據(jù)資產(chǎn)的泄露,將給業(yè)務(wù)帶來潛在的致命打擊,另一方面,數(shù)據(jù)泄露也將面臨監(jiān)管機(jī)構(gòu)的嚴(yán)厲處罰。2017年,美國信用評級公司Equifax因黑客攻擊泄出近1.5億人的個人信息及財(cái)務(wù)數(shù)據(jù),并因此就“未能采取合理措施保護(hù)自身網(wǎng)絡(luò)”的過錯支付5.75億美元罰金。
在我國,數(shù)據(jù)安全法律規(guī)范體系也逐步完善,如《網(wǎng)絡(luò)安全法》、《密碼法》、《數(shù)據(jù)安全法(草案)》、《個人信息保護(hù)法(草案)》等,其中《個人信息保護(hù)法(草案)》的處罰力度提升顯著:對侵害個人信息權(quán)利的,情節(jié)嚴(yán)重情況下,沒收違法所得,并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、至吊銷相關(guān)業(yè)務(wù)許可或營業(yè)執(zhí)照;
應(yīng)對數(shù)據(jù)泄露帶來的業(yè)務(wù)風(fēng)險(xiǎn)問題最有效的方案是對關(guān)鍵信息做加密處理,這樣即使數(shù)據(jù)庫被拖庫,或遭遇組織機(jī)構(gòu)內(nèi)部惡意越權(quán)訪問,也不會造成敏感信息泄露的損害。
基于數(shù)據(jù)加密技術(shù),構(gòu)建數(shù)據(jù)的貼身安全防護(hù)
密碼技術(shù)是目前世界上公認(rèn)的,保障網(wǎng)絡(luò)與信息安全最有效、最可靠、最經(jīng)濟(jì)的關(guān)鍵核心技術(shù)。通過數(shù)據(jù)加密實(shí)現(xiàn)對核心數(shù)據(jù)的機(jī)密性和完整性保護(hù),將明文變?yōu)槊芪模浜辖训拿荑€管理體系,可以防止明文存儲引起的數(shù)據(jù)泄密、突破邊界防護(hù)的外部黑客攻擊以及來自于內(nèi)部越權(quán)用戶的數(shù)據(jù)竊取,從而從根本上解決敏感數(shù)據(jù)泄漏帶來的業(yè)務(wù)風(fēng)險(xiǎn)問題。
然而,數(shù)據(jù)加密技術(shù)實(shí)施具備一定的復(fù)雜度,要保障加密策略真正發(fā)揮安全效用,并確保獲取加密價(jià)值回報(bào)與投入成本的最優(yōu)解,需要對數(shù)據(jù)加密進(jìn)行細(xì)致的策略規(guī)劃。這包括:
明確數(shù)據(jù)加密策略核心目標(biāo):數(shù)據(jù)加密的價(jià)值主要包括幾個方面:防拔盤、防黑客拖庫、防內(nèi)部人員、合規(guī)遵從等。不同加密策略可以解決的問題不同,加密策略目標(biāo)直接影響加密策略的執(zhí)行方案。如在在等保2.0以及商密合規(guī)場景,基于數(shù)據(jù)庫原生TDE的加密策略在密鑰的安全性管控、加密算法、商用密碼產(chǎn)品認(rèn)證等方面難以實(shí)現(xiàn)合規(guī)遵從;
明確數(shù)據(jù)加密的范圍及粒度:加密策略是對數(shù)據(jù)的最高等級的保護(hù),一般選擇敏感字段進(jìn)行加密,如客戶信息、財(cái)務(wù)數(shù)據(jù)等商業(yè)數(shù)據(jù)或身份證、電話號碼等個人信息等;基于文件層或表空間的加密,一方面加密粒度粗,安全性差,另一方面也將帶來無意義的性能損耗或帶來潛在的穩(wěn)定性問題;
評估加密策略執(zhí)行對業(yè)務(wù)的影響:包括業(yè)務(wù)系統(tǒng)改造成本、業(yè)務(wù)性能影響、數(shù)據(jù)庫兼容性、實(shí)施運(yùn)維以及流程成本等。如數(shù)據(jù)在應(yīng)用、DB、文件、存儲中流動,加密實(shí)施點(diǎn)越靠近應(yīng)用安全性越高,但加密實(shí)施以及密鑰管理的復(fù)雜度也越高;不同數(shù)據(jù)庫類型對加密技術(shù)策略支持程度不盡相同;以及加密后數(shù)據(jù)庫聯(lián)合檢索以及事務(wù)處理能力等;
數(shù)據(jù)加密強(qiáng)度及密鑰安全性:包括加密對象、加密算法以及密鑰的安全管控機(jī)制評估。
總結(jié)而言,數(shù)據(jù)加密策略的實(shí)施需要進(jìn)行系統(tǒng)而細(xì)致的規(guī)劃。一般來說,應(yīng)考慮以下幾個要點(diǎn),綜合制定數(shù)據(jù)加密實(shí)施線路及方案:
對合規(guī)敏感性行業(yè),充分考慮合規(guī)性條款,包括敏感數(shù)據(jù)劃定及分級標(biāo)準(zhǔn),加密算法以及密碼產(chǎn)品合規(guī)性等;
加密策略落地前,梳理加密數(shù)據(jù)類型以及相應(yīng)的業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)邏輯,綜合規(guī)劃加密點(diǎn)、解密點(diǎn)、密鑰管控邏輯等;
考慮業(yè)務(wù)運(yùn)行狀態(tài)及加密策略實(shí)施對系統(tǒng)的影響情況,如對已上線業(yè)務(wù)系統(tǒng),考慮存量數(shù)據(jù)加密處理方案;對未來可能存在處理邏輯變動或持續(xù)擴(kuò)展的系統(tǒng),考慮加密策略的兼容性及擴(kuò)展性成本;
詳細(xì)評估數(shù)據(jù)加密策略實(shí)施中可能存在的數(shù)據(jù)一致性問題、系統(tǒng)平穩(wěn)遷移問題,以及意外狀況下的加密回滾與數(shù)據(jù)備份方案;
典型數(shù)據(jù)加密技術(shù)線路優(yōu)劣勢分析
目前,市面上提供了各類基于不同技術(shù)線路的數(shù)據(jù)加密解決方案,以下是針對典型的數(shù)據(jù)加密技術(shù)線路的實(shí)現(xiàn)分析及優(yōu)劣勢對比:
應(yīng)用層開發(fā):基本原理是在應(yīng)用系統(tǒng)開發(fā)層,基于加密函數(shù)、密鑰處理實(shí)現(xiàn)敏感字段加密。優(yōu)點(diǎn)是安全性高,靈活實(shí)施,對數(shù)據(jù)庫類型依賴程度低,商密合規(guī)遵從簡單。缺點(diǎn)是涉及應(yīng)用開發(fā)改造,對應(yīng)用系統(tǒng)開發(fā)商存在依賴性,對數(shù)據(jù)庫復(fù)雜運(yùn)算存在影響。
數(shù)據(jù)庫代理/協(xié)議解析:基本原理是基于數(shù)據(jù)庫協(xié)議解析、數(shù)據(jù)庫接口擴(kuò)展機(jī)制進(jìn)行加密處理。優(yōu)點(diǎn)是對應(yīng)用透明,不需要業(yè)務(wù)層邏輯處理。缺點(diǎn)是對數(shù)據(jù)庫類型甚至版本依賴性重、容易造成性能瓶頸,商密合規(guī)遵從存在風(fēng)險(xiǎn)。
數(shù)據(jù)庫原生TDE機(jī)制:基本原理是基于數(shù)據(jù)庫原生提供的透明數(shù)據(jù)加密接口調(diào)用實(shí)現(xiàn)加密處理。優(yōu)點(diǎn)是對應(yīng)用透明,不需要業(yè)務(wù)層邏輯處理。缺點(diǎn)是并不能徹底解決拖庫、內(nèi)鬼問題,不能滿足商密合規(guī)要求,且對數(shù)據(jù)庫廠商支持情況依賴性重、僅支持有限類型的數(shù)據(jù)庫廠商。
文件/存儲級加密:基本原理是對數(shù)據(jù)庫底層文件系統(tǒng)或存儲硬件進(jìn)行加密。優(yōu)點(diǎn)是對應(yīng)用透明,性能影響小。缺點(diǎn)是安全性低,不能解決拖庫、內(nèi)鬼問題,存在潛在穩(wěn)定性問題。
企業(yè)在落地?cái)?shù)據(jù)加密時(shí),應(yīng)綜合考慮業(yè)務(wù)安全需求以及不同線路下的加密方案優(yōu)劣勢,評估并選擇適合自身業(yè)務(wù)場景的加密技術(shù)實(shí)施方案。騰訊云在數(shù)據(jù)加密領(lǐng)域,也創(chuàng)新推出了云訪問安全代理CASB(以下簡稱騰訊云CASB)產(chǎn)品,幫助用戶解決數(shù)據(jù)加密難題。
騰訊云CASB數(shù)據(jù)加密技術(shù)線路
在彈性擴(kuò)展云環(huán)境業(yè)務(wù)場景下,數(shù)據(jù)加密策略的實(shí)施也將面臨更多的現(xiàn)實(shí)難題。當(dāng)前,國內(nèi)外云廠商普遍采用密鑰管理系統(tǒng)KMS或云加密機(jī)CloudHSM服務(wù)實(shí)例提供數(shù)據(jù)加密方案,用戶基于應(yīng)用層開發(fā)實(shí)現(xiàn)敏感數(shù)據(jù)的加密實(shí)現(xiàn)數(shù)據(jù)安全性保護(hù)以及合規(guī)要求;應(yīng)用層開發(fā)要求云租戶具備一定的密碼方案設(shè)計(jì)以及開發(fā)能力,在實(shí)際落地時(shí)存在較高的使用門檻。
為解決這個問題,在12月開發(fā)者大會上,騰訊云對外發(fā)布了云訪問安全代理CASB解決方案:一款面向應(yīng)用的數(shù)據(jù)防護(hù)服務(wù),用免應(yīng)用開發(fā)改造的配置方式,提供面向服務(wù)側(cè)的字段級數(shù)據(jù)存儲加密防護(hù)服務(wù)。
騰訊云商密合規(guī)數(shù)據(jù)加密解決方案
騰訊云CASB在加密技術(shù)線路上,更偏向于應(yīng)用層加密:既保持了應(yīng)用層加密的靈活性、安全性,以及商密合規(guī)遵從性,同時(shí)實(shí)現(xiàn)了免開發(fā)改造,對應(yīng)用的透明。其基礎(chǔ)思想是結(jié)合經(jīng)典云訪問安全代理(CASB)以及面向切面編程(AOP)思維:在數(shù)據(jù)訪問訪問層,如JDBC層安裝數(shù)據(jù)安全插件,通過安全插件封裝設(shè)定的數(shù)據(jù)加密與脫敏規(guī)則邏輯。當(dāng)用戶將數(shù)據(jù)安全插件部署到應(yīng)用服務(wù)器,數(shù)據(jù)安全插件作為業(yè)務(wù)代碼與底層數(shù)據(jù)庫交互中間服務(wù),代理并解析SQL語法和識別用戶身份,對目標(biāo)字段進(jìn)行加密處理后再入庫;在出庫時(shí),將密文從數(shù)據(jù)庫中取出進(jìn)行解密后返回給終端用戶,同時(shí)也支持按照設(shè)定的脫敏策略進(jìn)行處理。
騰訊云CASB加密方案特點(diǎn)及優(yōu)勢
防黑客拖庫,防內(nèi)部人員/DBA越權(quán)風(fēng)險(xiǎn)
明文存儲的數(shù)據(jù)將面臨拔盤、黑客拖庫、內(nèi)部越權(quán)訪問等帶來的大規(guī)模核心數(shù)據(jù)泄露高危風(fēng)險(xiǎn)。
騰訊云CASB數(shù)據(jù)庫加密系統(tǒng)將敏感數(shù)據(jù)在應(yīng)用服務(wù)內(nèi)(如Tomcat)加密,除實(shí)現(xiàn)將數(shù)據(jù)加密后存入數(shù)據(jù)庫,還能實(shí)現(xiàn)數(shù)據(jù)從應(yīng)用服務(wù)到數(shù)據(jù)庫之間以密文形式傳輸。在數(shù)據(jù)庫的控制范疇內(nèi),不論是存儲磁盤還是數(shù)據(jù)庫范圍內(nèi)的內(nèi)存、緩存,關(guān)鍵敏感信息是密文狀態(tài),可解除黑客拖庫、DBA等風(fēng)險(xiǎn)。同時(shí),管理員可對不同的數(shù)據(jù)庫字段采用不同加密、脫敏、以及密鑰策略,實(shí)現(xiàn)敏感數(shù)據(jù)訪問授權(quán)最小化。
滿足商密合規(guī)以及國密整改合規(guī)要求
騰訊安全云訪問安全代理CASB數(shù)據(jù)加密方案持國密SM系列算法加密運(yùn)算,密鑰管理采用三級密鑰派生機(jī)制,根密鑰和模塊密鑰均是由密碼機(jī)產(chǎn)生的真隨機(jī)數(shù),工作密鑰由模塊密鑰實(shí)時(shí)派生,實(shí)現(xiàn)“一字段一密鑰”。該服務(wù)已通過國家密碼管理局的安全認(rèn)證,可滿足等保2.0以及商用密碼應(yīng)用安全性評估的對應(yīng)用和數(shù)據(jù)機(jī)密性和完整性保護(hù)的合規(guī)要求。
借助騰訊云CASB數(shù)據(jù)加密方案,用戶在信息系統(tǒng)建設(shè)和運(yùn)行階段,均能便捷基于商密合規(guī)數(shù)據(jù)加密技術(shù)實(shí)現(xiàn)對其數(shù)據(jù)進(jìn)行安全保護(hù);
系統(tǒng)性能影響小
騰訊云CASB方案在單CPU上的國密SM4加解密速度已突破130Gbps,加密10億條機(jī)號僅耗時(shí)20秒(即每秒5000萬條),高性能密碼實(shí)現(xiàn)保障用戶使用密碼產(chǎn)品后的效率和用戶體驗(yàn)。除此之外,和數(shù)據(jù)庫側(cè)加密消耗數(shù)據(jù)庫敏感的計(jì)算資源相比,CASB在應(yīng)用服務(wù)側(cè)加密,其加解密執(zhí)行只在目標(biāo)應(yīng)用服務(wù)器上完成,不對數(shù)據(jù)庫服務(wù)器CPU和內(nèi)存造成損耗,對系統(tǒng)整體性能影響小。同時(shí),加密性能也可跟隨應(yīng)用服務(wù)器線性擴(kuò)展,滿足高性能業(yè)務(wù)場景敏感數(shù)據(jù)加密需求。
應(yīng)用免改造
需開發(fā)改造應(yīng),也需適配數(shù)據(jù)庫,實(shí)施周期短,成本低。騰訊云CASB數(shù)據(jù)加密系統(tǒng)對應(yīng)透明,不改變應(yīng)系統(tǒng)原有的運(yùn)機(jī)制和用戶使式,可在用戶感知的情況下進(jìn)行重要數(shù)據(jù)保護(hù)。
騰訊云CASB數(shù)據(jù)安全插件為數(shù)據(jù)訪問層提供增強(qiáng)安全模塊,該模式將安全機(jī)制與業(yè)務(wù)場景在技術(shù)上解耦、但又在能力上融合,實(shí)現(xiàn)免開發(fā)改造應(yīng)用的數(shù)據(jù)加密策略敏捷實(shí)施,我們期待騰訊云CASB創(chuàng)新加密方案能夠有效助力企業(yè)落地?cái)?shù)據(jù)安全及數(shù)據(jù)加密策略。
總結(jié)
云訪問安全代理CASB是騰訊安全云數(shù)據(jù)安全中臺的重要組件之一。在數(shù)據(jù)安全領(lǐng)域,騰訊安全也將持續(xù)進(jìn)行產(chǎn)品創(chuàng)新,豐富騰訊云“云數(shù)據(jù)安全中臺”組件能力,助力企業(yè)降本增效,更加從容地應(yīng)對來自數(shù)據(jù)安全的挑戰(zhàn),加速實(shí)現(xiàn)數(shù)字化、智能化的轉(zhuǎn)型升級。