網絡安全依然是一場持久戰,僅在 2023 年的第一個月,貝寶(PayPal)和 T-Mobile 就發生了數據洩露事件。爲了應對這個挑戰,公司企業可以通過加強數據加密措施來改善安全态勢。
在大多數情況下,加密數據使不法分子無法訪問數據。然而,加密和解密過程在技術上可能很複雜。在競争激烈的市場中,公司企業需要速度和敏捷性,而數據庫性能下降的隐憂可能打消對靜态數據加密采取相應措施的積極性。
然而,數據庫加密解決方案的可用性和效率方面的進步,加上針對數據洩露的監管和處罰方面取得的進展,已導緻越來越多的企業将數據加密作爲網絡安全戰略中更重要的一部分。
考慮到選擇方案衆多,敲定适合企業需求的最佳加密解決方案可能頗具挑戰性。處理解密所需的加密密鑰也很困難。一般來說,數據庫加密有三種方法:API(應用編程接口)方法、數據庫插件方法以及 TDE(透明數據加密)方法。下面介紹每一種方法,以幫助讀者權衡利弊。
API 加密
API 加密方法是指修改應用程序,以便在數據進出數據庫時對數據執行加密和解密操作。與其他方法不同,加密和解密任務由應用程序中的加密代理來處理,而不是由數據庫本身來處理。這似乎是一種簡單的解決方案,因爲一旦加密在應用程序層面落實到位,它就是一次性設置。
然而在實踐中,這是一個複雜得多的過程。爲了實施 API 加密,必須投入大量的開發資源來修改現有的商業或專有應用程序以支持加密。除此之外,還必須改動搜索查詢和操作以訪問這些加密數據。這些步驟共同構成了重大挑戰,尤其是在多方需求開發資源的環境中。由于這些原因,許多人認爲 API 加密是一種遺留技術。
雖然 API 加密起初可能表現良好,但可擴展問題是這種方法的另一個障礙。除非有額外的計算能力予以支持,否則應用程序性能會随着數據量和查詢量的增加而下降。當使用多個應用程序(可能由不同的團隊構建或修改)對進出同一數據庫的加密數據執行讀寫操作時,這個問題尤爲嚴重。
但是這裏有一個更基本的問題需要考慮——幾乎不可能跨同一數據庫中的其他應用程序來共享一個應用程序和配對數據庫使用的加密密鑰。這給通過數據整合進行分析的工作帶來了阻礙,影響了企業增強客戶關系、優化業務運營和識别新機會的能力。
數據庫插件方法
對于數據庫加密和解密而言,插件方法爲數據庫集成了一個單獨的模塊。這種方法避免了落在應用程序和數據庫頭上的加密計算負擔。這些加密插件通常是單個數據庫軟件産品所特有的,不過一些插件支持多個産品。
然而,部署數據庫插件方法會帶來實施和維護成本。數據庫管理員必須采用和管理新軟件,雖然這種方法牽涉的範圍比 API 加密方法所需的要小,但是爲了查詢加密數據,需要對應用程序進行修改。
利好的一面是,許多這些模塊可以爲添加的功能提供便利,比如審計、訪問控制和合規管理。然而,可用的插件選項和特性可能多得令人望而生畏——選擇最佳解決方案可能是一個複雜的過程,因爲公司必須根據現有功能考慮模塊的功能。
TDE 方法
有了 TDE,就不需要修改應用程序或查詢了。這種類型的數據庫加密隻需極少的管理工作,因爲該功能整合到數據庫引擎本身中,可以作爲數據庫供應商提供的一項功能,也可以作爲修改數據庫軟件的第三方工具。對數據庫、備份和日志文件進行實時加密和解密。
雖然該過程給數據庫引擎增添了負擔,但對性能的影響在很大程度上微不足道。當數據在内存中訪問時,影響通常是個位數甚至更小。開發人員、用戶、管理員和應用程序可以正常操作或運行,不必面臨與其他加密方法相關的許多障礙。
數據庫加密不是确保網絡安全的唯一解決方案。Web 應用防火牆、DDoS 防護、勒索軟件防護和員工意識都至關重要。然而,數據庫加密确實在顯著減少數據洩露造成的損害方面大有潛力。數據庫加密是合理安全策略的基石——在一個網絡威脅比以往任何時候都多的時代下,有必要确保即使攻擊者突破防線,也很難利用你的加密數據。