云服务

域名解析_dnf装备数据库_新注册优惠

字号+ 作者:微辰云 来源:微辰云 2021-06-10 15:33 我要评论( )

顺从并不意味着你安全。"安全"的定义在不同的行业、组织和威胁配置文件中差异太大,安全防范什么?-因此,合规性和安全性发展了一种特殊的关系。监管旨在通过公认的最佳实践,从给定领域的知识体系中提供指导。但是,由于法律和法规的发展往往比技术发展得

域名解析_dnf装备数据库_新注册优惠

顺从并不意味着你安全。"安全"的定义在不同的行业、组织和威胁配置文件中差异太大,淘客推广怎么做,安全防范什么?-因此,合规性和安全性发展了一种特殊的关系。监管旨在通过公认的最佳实践,从给定领域的知识体系中提供指导。但是,由于法律和法规的发展往往比技术发展得慢,合规制度并没有预见到许多新技术。这既适用于保护它们的技术,也适用于保护它们的工具。许多安全专业人士引用了"合规性不是安全性"的陈词滥调,但最终还是会考虑外部授权,以解锁预算并决定要实施的控制措施。

尽管如此,合规性至少仍然是某些安全决策的动力,在金融和医疗保健等"受监管行业"中更为关键。对于处于安全之旅初始阶段的组织来说,法规遵从性也比风险管理代表着更强的动机。

在今天的帖子中,我们将介绍数据加密,这是许多法规要求的主要控制之一。具体来说,我们将研究加密密钥管理是如何作为一个整体的数据安全的重要组成部分,并制定一些最佳实践,以铭记在考虑加密密钥管理时。

今天的法规遵从性和加密

许多法规和授权包括的控制之一是数据加密。大多数与IT相关的遵从性适用于特定类型的数据,如患者信息、财务记录或支付卡号。Unified Compliance Framework(UCF)数据表明(也在此处)加密是最流行的控制措施之一,并包含在他们跟踪的数百项法规和授权中。"加密支付数据"、"加密患者数据"、"使用加密等方法保护数据"、"传输过程中加密数据"以及类似的短语可以在全球各地的监管文件中找到,从美国HIPAA到新加坡个人数据保护法。

然而,很少有法规深入讨论加密密钥管理。有些包含最低限度的指导,如"不要用加密数据存储密钥"或建议"密钥应安全保存"。只有少数人在这里详细说明:例如,PCI DSS提到密钥"使用至少与数据加密密钥一样强大的密钥加密密钥加密,与数据加密密钥分开存储,客户"充分记录和实施用于加密持卡人数据的加密密钥的所有密钥管理流程和程序"。它们涵盖了密钥管理的技术和流程方面,例如"对加密密钥的要求"托管人正式承认他们理解并接受其密钥托管人职责。"(来源:PCI DSS 3.2.1)。

另一个例子是NIST 800-53(因此,FedRAMP)指出,"组织为所需的加密建立并管理加密密钥[…]"这就要求组织管理它自己的加密密钥,但不涉及细节。(简而言之,NIST 800-57文件确实涉及密钥管理细节。)一些欧洲银行业法规还规定,银行管理自己的加密密钥,而不是依赖提供商管理的加密。

尽管如此,深入而全面的密钥管理指南在法规遵从性领域是罕见的。

也没有多少规定或标准规定使用硬件安全模块(HSM)进行加密(例如,请参阅此UCF链接)。一些文档,如PCI-DSS,提到HSMs是一个可接受的选择,但并不试图强迫组织使用它。有趣的是,你可能会遇到一位安全负责人,大数据时代纪录片,他认为他们需要一个HSM"以实现法规遵从性",尽管他们无法指出实际需要部署HSM的特定授权、法律或法规。

形成的情况是需要加密数据以保护数据,但所用密钥的命运最终取决于组织,不是监管者。

为了有效地抵御威胁,加密需要良好的密钥管理

让我们将这组法规遵从性事实与另一个事实结合起来:例如,尽管最近的技术进步使得加密无处不在,云服务器免,加密移动设备的激增和TLS对网络流量的覆盖率不断提高企业密钥管理对许多组织来说仍然是一个挑战。

事实上,使用加密来实现有效的安全性不仅仅是合规性复选框—阻止真正的威胁依赖于可靠的密钥管理。概括地说,加密的安全性得益于密钥管理,而不仅仅是得益于算法和数学的强大。很可能您的加密使用符合您需要遵守的授权,但您的密钥管理无法抵御对您的数据感兴趣的参与者的威胁。

因此,虽然法规可能不会强制您使用密钥管理并最大限度地保护您的数据,但威胁可能会。事实上,一个奇怪的概念出现了:一些勒索软件犯罪集团已经取得了超过一些组织的加密密钥管理的卓越程度。

现在,让我们为这个密钥管理讨论添加另一个维度:云。

云密钥管理

法规的发展速度比技术慢。事实上,一些影响加密的指令是在近20年前编写的(例如,FIPS 140-2最后一次更新是在2002年)。与此同时,云已经成为新的安全机制和新的安全环境的推动者。

在威胁和监管机构的推动下,云计算用户今天开始使用数据加密,主要是在传输和存储过程中,但后来通过保密计算等方法使用。这给在云中进行有效的密钥管理带来了挑战,至少对那些有知识的人来说是这样。

但是"有效"到底意味着什么?

在内部部署、专有、基于设备的模型中,用于满足关键管理相关法规遵从性要求的方法不会直接转化为云。

什么没有改变?拥有强大的访问控制和治理仍然是必不可少的,而账户泄露仍然是最普遍的成功攻击模式。

这些都是IT整体和安全性,特别是部署和操作方式的重大转变。消费模式也有所不同:先进行加权资本支出投资,然后进行数年的维护,而不是交钥匙、基于消费的运营支出模式,大数据的应用,该模式承诺提供无限钥匙和更高的可用性。

最佳做法和下一步

尽管合规框架发展滞后,但使用简化的钥匙管理功能在云中构建密钥管理治理可以提高安全性。可供选择的控制措施的广度允许对工作负载进行适当的控制。

以下是谷歌云用户在加密密钥管理方面应记住的一些关键事项:

制定合规性法规是为了为企业提供一个保持敏感数据安全的框架。但是,正如我们在这里看到的,数据与大数据,顺从和真正安全可能是两件截然不同的事情。加密密钥管理是弥合这一鸿沟的一个重要途径。

转载请注明出处。

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 域名交易_阿里云时间_哪家好

    域名交易_阿里云时间_哪家好

    2021-06-10 10:33

  • 虚拟主机_已备案老域名_哪家好

    虚拟主机_已备案老域名_哪家好

    2021-06-10 05:04

  • 文件存储_二手免备案域名_新用户

    文件存储_二手免备案域名_新用户

    2021-06-09 15:47

  • 域名解析_天翼云盘客户端_12月免费

    域名解析_天翼云盘客户端_12月免费

    2021-06-09 14:17

网友点评