Wyślij wiadomość
Skontaktuj się z nami
LEO

Numer telefonu : 13486085502

Zarządzanie szyfrowaniem w centrach danych jest trudne.

May 26, 2021

Zrezygnuj z robienia tego wszystkiego samodzielnie i zostaw to ekspertom.

Szyfrowanie to podstawowa zasada cyberbezpieczeństwa.Atakujący nie mogą ukraść zaszyfrowanych danych.Bez względu na to, co mówi Hollywood, haker nie może przejść przez jedną warstwę dobrego szyfrowania, a tym bardziej przez „kilka warstw”.

Jednak szyfrowanie wiąże się z wieloma wyzwaniami.

W Ankieta Jesienią ubiegłego roku w Cyber ​​Security Competency Group 66 procent respondentów stwierdziło, że zarządzanie kluczami szyfrującymi było „dużym” lub „średnim” wyzwaniem dla ich firm.

Zarządzanie kluczami w wielu chmurach było jeszcze większym wyzwaniem.

W podobnym nauka przez Ponemon Institute and Encryption Consulting w zeszłym roku 60 procent respondentów stwierdziło, że zarządzanie kluczami było „bardzo bolesne”.

Główny powód bólu?Wiedząc, kto jest odpowiedzialny za wszystkie klucze.Inne problemy obejmują brak wykwalifikowanego personelu oraz izolowane lub fragmentaryczne systemy zarządzania kluczami.

W międzyczasie szyfrowanie ewoluuje, a utrzymanie wszystkich algorytmów szyfrowania jest wyzwaniem.Szyfrowanie wymaga skomplikowanej matematyki.Łatwo się pomylić.

W ciągu następnej dekady respondenci spodziewają się przyjęcia przez przedsiębiorstwa głównego nurtu nowych podejść, takich jak obliczenia wielostronne, szyfrowanie homomorficzne i algorytmy kwantowe.

Wyścig zbrojeń

Jak w przypadku każdej technologii bezpieczeństwa, szyfrowanie to nieustanna gra w kotka i myszkę.Atakujący próbują znaleźć luki w algorytmach.Aby nadążyć, obrońcy sami ulepszają algorytmy, wzmacniają sposób ich implementacji lub wydłużają długość kluczy szyfrujących.

Oznacza to, że każda długoterminowa strategia szyfrowania musi umożliwiać aktualizację algorytmów lub kluczy.

Weźmy na przykład serwery zarządzające komunikacją internetową.Aby zaszyfrować wiadomość, zarówno nadawca, jak i odbiorca muszą uzgodnić używaną metodę szyfrowania i długość klucza - powiedział Mike Sprunger, starszy menedżer ds. Chmury i bezpieczeństwa sieci w firmie Insight.

„Kiedy te serwery są wdrażane, mają listę algorytmów uszeregowanych od najbardziej pożądanych do najmniej pożądanych i będą negocjować, aby znaleźć dopasowanie na najwyższym poziomie” - powiedział DCK.

Niestety, listy te mogą stać się nieaktualne, powiedział.„Często wdrażane serwery nigdy więcej ich nie dotykają”.

Jedną z jasnych stron jest to, że komunikacja online jest efemeryczna.Klucze są tworzone, używane i natychmiast odrzucane.

Jednak jeśli chodzi o przechowywanie długoterminowe, klucze te czasami muszą być dobre przez lata.Niektóre firmy mają wymagania biznesowe lub regulacyjne dotyczące przechowywania danych przez dziesięć lat lub dłużej.

Jeśli szyfrowanie stanie się nieaktualne - lub same klucze zostaną naruszone - centra danych muszą odszyfrować wszystkie swoje stare dane i ponownie zaszyfrować je nowym, lepszym szyfrowaniem.

„Dobrą praktyką jest regularne obracanie kluczy” - powiedział Sprunger.

Może to łatwo stać się koszmarem administracyjnym, jeśli operator centrum danych robi to sam.

„Dobrzy sprzedawcy dysponują mechanizmem przechodzenia, recyklingu i wymiany kluczy” - powiedział.

Jeśli coś pójdzie nie tak i klucze zostaną utracone, to samo dotyczy danych.

Szyfrowanie odgrywa również rolę w generowaniu certyfikatów używanych do cyfrowego podpisywania i uwierzytelniania systemów, użytkowników i aplikacji.Jeśli te certyfikaty wygasną, zostaną zgubione lub zostaną naruszone, firmy mogą utracić dostęp do swoich aplikacji - lub osoby atakujące mogą uzyskać do nich dostęp.

„Większość organizacji nie radzi sobie dobrze z zarządzaniem tym” - powiedział Sprunger.„A jeśli nie zarządzają odpowiednio certyfikatami, ryzykują zamknięcie swojej organizacji. Zalecam, aby jeśli nie radzą sobie dobrze z zarządzaniem certyfikatami, zwrócili się do zewnętrznego dostawcy”.

Sprzętowe płotki

Jeśli szyfrowanie jest obsługiwane przez sprzętmodernizacja może być szczególnym wyzwaniem dla centrów danych, które zdecydowały się na zakup i konserwację własnego sprzętu.

Przyspieszenie sprzętowe może skutkować zarówno poprawą szybkości, jak i bezpieczeństwa, ale algorytmy zakodowane na stałe mogą również stać się stare i przestarzałe.

„Teraz muszę wrócić i wymienić sprzęt, aby uzyskać inny algorytm lub większy rozmiar klucza” - powiedział Sprunger.

Z drugiej strony, jeśli istnieje konkretny system, który ma wbudowane szyfrowanie sprzętowe, takie jak zaszyfrowany dysk, to po wymianie urządzeń nowe automatycznie będą miały nowsze i lepsze szyfrowanie.

„To będzie dość bezbolesne ulepszenie” - powiedział Tom Coughlin, członek IEEE i prezes Coughlin Associates.

Dzięki szyfrowaniu programowemu, które obejmuje wiele systemów, aktualizacje mogą być większym wyzwaniem.

„Mogą wystąpić problemy, w zależności od tego, ile z nich istnieje i jak bardzo zależą od siebie nawzajem” - powiedział.

Ocena szyfrowania

Wybierając dostawców rozwiązań do szyfrowania, centra danych powinny szukać takich, które są zgodne ze standardem FIPS 140-2 - powiedział Sprunger firmy Insight, starszy menedżer ds. Chmury i bezpieczeństwa sieci w firmie Insight.

Uzyskanie tego certyfikatu jest trudne i kosztowne, wiąże się z przeglądami bezpieczeństwa przeprowadzanymi przez strony trzecie, ale jest federalnym mandatem w przypadku kontraktów rządowych.

„Będąc dyrektorem ds. Inżynierii technicznej w firmie produkującej urządzenia szyfrujące, jest to żmudny proces” - powiedział DCK."Ale stawki stołowe."

Powiedział, że każdy dostawca powinien być w stanie natychmiast odpowiedzieć na pytania dotyczące zgodności.

Gra w oczekiwanie na standardy

Jest wielu dostawców i organizacji pracujących nad nowymi technologiami szyfrowania i tworzącymi standardy wymagane, aby zapewnić, że wszyscy podążamy w tym samym kierunku.Menedżerowie centrów danych, którzy chcą kupić sprzęt, który zapewni im przyszłość - zwłaszczakwantowa przyszłość - będą musiały poczekać na pojawienie się zarówno technologii, jak i standardów.

Obraz jest nieco wyraźniejszy, przynajmniej na razie, jeśli chodzi o szyfrowanie symetryczne.Wtedy ten sam klucz jest używany zarówno do blokowania, jak i odblokowywania danych - na przykład, gdy firma przechowuje kopie zapasowe.

- Aby zapewnić bezpieczeństwo danych przez rok lub dwa, wystarczy obecne 128-bitowe szyfrowanie - powiedział Simon Johnson, starszy inżynier w firmie Intel.

„Jeśli chcesz zachować sekrety dłużej niż 15 do 20 lat, ludzie zaczynają polecać co najmniej 256 bitów” - powiedział DCK.To zapewni nam bezpieczeństwo nawet wtedy, gdy pojawi się pierwsza fala komputerów kwantowych.

Na szczęście dzisiejsze chipy mogą obsługiwać ten poziom szyfrowania, powiedział Johnson.„Operacje AES (zaawansowany standard szyfrowania) służą do tego. Wystarczy zmienić oprogramowanie, aby osiągnąć te wartości”.

Szyfrowanie asymetryczne, w którym jeden klucz jest używany do szyfrowania wiadomości, a inny klucz jest używany do jej odszyfrowania, jest nieco trudniejsze.Jest to rodzaj szyfrowania używany do komunikacji, nazywany również infrastrukturą klucza publicznego.

Powiedział, że kolejny etap ewolucji tego typu szyfrowania wciąż jest w powietrzu.

„Wciąż czekamy, aż NIST (National Institute of Standards and Technology) i świat akademicki naprawdę skupią się na zapewnieniu mechanizmów, które umożliwią szyfrowanie asymetryczne w świecie post-kwantowym” - powiedział.„Czekamy na standardy. Nie tylko Intel - świat czeka na standardy. W tej przestrzeni nie ma standardów post-kwantowych”.

Jednak tworzenie nowych algorytmów szyfrowania, testowanie ich, opracowywanie standardów, zdobywanie poparcia branżowego, a następnie wdrażanie ich zajmie lata.I to jeśli nowy algorytm pasuje do protokołów, które są obecnie na miejscu.

„Ale kto wie, jak będą wyglądać te nowe algorytmy” - powiedział.

Na przykład przejście do algorytmów krzywych eliptycznych, jednego z wczesnych faworytów szyfrowania kwantowego, oznaczałoby dziesięcioletni horyzont, powiedział.

Sugeruje, że menedżerowie centrów danych, patrząc w przyszłość, powinni przede wszystkim przejść na szyfrowanie 256 w celu ochrony pamięci.

Powiedział, że w przypadku szyfrowania asymetrycznego używanego w komunikacji większe rozmiary kluczy powinny zapewnić odpowiednie bezpieczeństwo w przyszłości.

- A więc pięć do ośmiu lat - powiedział.„Chociaż nikt nie wie, kiedy pojawi się ten tajemniczy komputer kwantowy”.