企业时常丢失含有客户敏感信息的备份磁带,这绝对是一个安全界的灾难。这个问题困扰着每一个行业,包括已经意识到安全问题的金融服务行业。
去年,New York Mellon银行称第三方邮递企业两次丢失了没有加密的备份存储磁带,可能暴露了大约450万人的信息。几乎在同一时间,位于波士顿的State Street公司表示,一个做产品数据分析的承包人丢失了一个硬盘驱动器,其中包含了5500个雇员的私人信息和4万名用户的帐号信息。数据最初是加密的,但是承包人解密了信息并把信息存在计算机设备上,结果让人从设备上偷走了。
在New York Mellon银行,数据泄漏事故迫使公司改进了它的安全措施,要求机密数据必须写在磁带或者CD上进行加密运输的,或者在进行运输时实行严格的控制。
存储加密非常关键,它能避免数据泄漏出现严重的后果,这些后果包括告知客户数据泄漏带来的直接损失和品牌受损的间接损失。不管你的供应商跟你说过什么,所有未加密的备份磁带都能被那些恶意的罪犯读取出来。一些供应商会说他们的备份格式是公司自己的格式,没有他们的数据库和软件就不能解读备份数据等等,请不要听信这样的言论。备份格式跟法律(比如加利福尼亚州的SB 1386)没有关系,但是如果你失去了对未加密私人信息的控制,你必须告知受到影响的客户。如果数据加密了,大多数州立数据泄漏法律则不要求你必须告知客户。
对那些要运出公司物理位置的磁带进行加密是一个明确的商业选择。当磁带丢失时,保护备份数据能为你的企业节省几百万美元,还能保证品牌受到的损失最小。
存储加密的风险
当你考虑对备份磁带加密的时候,你也要考虑存储加密的风险。这些风险跟运行中的数据加密的风险有很大不同。如果你运行加密数据的时候出现了问题,你会立刻知道并进行修复。比如,如果一个应用程序通过一个加密的通道发送数据,一旦加密发生了什么事,应用程序也会崩溃。分析其根本原因则会知道起因是加密失败。
然而,如果存放起来的加密数据出现了问题,你可能好几个星期、好几个月甚至好几年都不知道,当到了最后知道的时候可能已经太晚了。这是因为你只有在验证或者重新存储磁带的时候才会读取磁带。因此,除了你完成写入磁带过程后对磁带进行验证那一次,进行重新存储是你唯一测试加密系统的机会,而此时会出现最糟情况是你发现加密系统瘫痪了。
对备份磁带进行加密最大的风险是你把数据弄的太安全了,以至于连你自己都无法读取了。如果你丢失了密钥,或者程序损坏了,那么最后你所面对的只是一些不能读取的磁带,其他什么事情你都不能做。不幸的是,到你确实需要读取磁带的时候,你才可能意识到这个问题早已发生了。
这就是为什么密钥管理如此重要的原因。任何时候你想读取加密数据都需要密钥,比如进行再次存储的时候。另外,如果密钥被错误的人得到,可能会让你的加密系统失去作用。
因此,保管好用来加密数据的密钥是极为重要的。建立一个密钥数据库很关键,因为它可以记录密钥用在什么上、哪一天加密了什么数据等。当你改变密钥的任何时候,也必须相应地更新数据库。你必须对密钥数据库的访问进行控制和监视,以防止那些未经授权的访问。
尽管已经有了运行数据加密技术的密钥管理系统,但在单一系统上它们并不支持多个密钥,也不支持磁带驱动在不同时期拥有多个密钥。因此,为加密存储数据而设计的密钥管理系统往往是很不成熟的。
另外一个对备份磁带进行加密的风险是,没有取得安全性和可用性的平衡。这个问题是安全领域的难题。如果你把一个系统弄的很安全,它会变得不可用或者管理起来很困难;如果易于管理,它又往往不是很安全。在这上面的目标就是要寻找一个平衡点:既让系统变得尽量安全,又不会显著的增加管理成本或改变用户体验。
有三种加密备份数据的基本方法:
·源加密(Source encryption)
·备份软件加密
·内置(In-line)硬件加密
在数据可能发生丢失之前,所有的这三个方法都会对它进行加密。然而,每种方法都会对系统的可用性和成本造成不同的影响,这些都需要考虑。比如,有的方法会引起备份速度慢40%,有的方法会100%的降低磁带库的存贮容量,有的方法会对可用性产生很大的影响导致不可行,我们需要权衡这些特点。
源加密
源加密系统是对数据的源头进行加密。一个文件系统(比如Windows加密文件系统)或者一个数据库对存储在里面的数据进行加密。如果数据存储时加密了,备份的时候也相应的加密了,这样不会违反各种泄漏通知法律(breach notification laws)的要求;如果带有个人信息的磁带丢失了,你也不用告知你的客户。如果你担心存在泄密的内部人员,那么这种加密方式是个不错的选择。
源加密系统有若干弊端。首先,他们通常会影响还没完成的文件系统或者数据库的性能。每个文件或者数据库记录必须在写入的时候加密,在读取的时候解密,但这样会严重影响性能。
另外一个挑战是密钥管理,因为每个文件系统或者数据库类型通常都有自己的加密系统和一套密钥管理规定。由于密钥管理在存储静态数据时是要最优先考虑的因素,所以这是个大问题。如果你有几种数据类型需要加密,这可能会成为一个很大的障碍。管理一个密钥系统已经够有挑战性了,管理几个密钥系统将更为艰难。
最后,在源头加密数据抹掉了所有备份系统的压缩功能,因为加密的数据不能被压缩。这在Unix, Windows和MacOS备份环境中将导致百分之二十五到百分之五十的容量损失和性能损失(硬件压缩能提高性能是因为它减少了实际写入到磁带的字节数)。
因此,源加密技术主要应用在少量数据的加密上,比如单个文件系统或者存放个人信息的数据库。如果你考虑在数据通过一个不安全的网络之前对其进行加密,那么源加密也比较合适。
备份软件加密
对于备份软件加密,备份应用程序会在数据存储在磁带上的时候对其进行加密。大多数备份软件产品都有加密选项,在最近几个月内,一些供应商已经加强了这些功能。
虽然,这解决了采用单个密钥管理系统的源加密方式很难处理的多个密钥问题,但很多备份软件应用程序采用的密钥管理系统都还比较陈旧。少数几个供应商已经更新了他们的密钥管理技术,有些还已经跟其他的公司进行了合作。然而,大多数供应商还停留在80年代的技术水平上,他们采用的系统很容易被击溃。
举个例子,他们采用的是没有访问控制概念的单个密钥;如果你有那个密钥,你就能读取磁带。如果一个有恶意的雇员得到了磁带和密钥,他或她就能读取磁带。如果你因为那个雇员而改变了密钥,他还是能读取偷来的、用旧密钥加密的磁带,但是你却不能读取在改变密钥之前写的备份磁带,你必须暂时在适当的位置重新输入旧密钥来读取旧磁带。
备份软件加密也会影响备份性能,因为用软件进行加密非常慢。尽管越来越快的CPU和更有效的指令能够缓解这种情况,但是软件加密可能还是会因为速度的原因而失去竞争力。像源加密一样,备份软件加密也会抹掉大多数备份系统的压缩功能,除非用户用客户端软件压缩,但是这样会让备份更加缓慢。
因此,像源加密一样,备份软件加密也主要用在加密少量数据上。比如,如果你有一个用于存储个人信息的数据库,你可以只加密这个数据库的备份。然而,对所有存储个人信息的数据库和文件系统进行区分可能会非常困难。如果你不确定自己能辨认所有的这些数据库,你必须对所有的备份都进行加密,从而确保如果你只丢失其中一个磁带可以不必告知所有的用户。如果真是那样的话,这个选择可能是不可行的,因为它对系统性能和容量的影响很大。然而,对处在不安全网络之间的备份系统来说,备份软件加密还是比较合适的。
硬件加密
硬件设备加密是相对较新的选择,它增加了人们对于加密技术的兴趣。硬件设备是在物理链路之间对数据进行加密。因为加密是用硬件进行的,其速度可以很快,而且不会让备份变得缓慢。此外,加密设备被设计成先对数据进行磁带压缩,然后再加密。
这些硬件加密系统通常有非常好的密钥管理系统,不会被某个怀有恶意的雇员所破坏。比如,它们通常会把用于加密数据的密钥跟用于系统与人员的鉴别、授权的密钥分别开来。他们还提供了保证密钥永不丢失的功能,比如复制和密钥跳跃(key vaulting)。这些系统很先进,因为它们都是在近五年内开发出来的,充分吸取了数据安全领域几十年的经验教训。
第一批可用的加密设备是拥有几个输入和输出端口的单一用途设备。截至去年年底,这些系统拥有了绝大部分备份加密的市场份额。同时,加密功能现在可以放在磁带库、智能开关内部和磁带驱动器的内部。这会导致这样一个问题:硬件加密到底应该在哪里进行呢?只要硬件系统具有压缩、加密功能,并有一个很强的密钥管理系统,那么这个问题其实不是很重要。
对任何大量数据进行加密,硬件加密方式都是可行的最佳选择。用户能压缩他们的备份数据又不会导致任何性能和容量上的损失;他们只需要购买足够的设备用以处理他们的备份带宽需求。硬件加密唯一的缺点是成本高,这些设备最起码需要支付2万美元。然而,这个成本比起数据泄漏引起的损失来说只不过是小巫见大巫。
如何抉择?
对你的业务来说最重要的事情是什么?你想要解决的又是哪些问题?回答好了这些问题有助于帮你决定选择哪一种办法是最好的。如果你始终是对敏感数据进行加密,那么你应该选择源加密;如果你只想确保数据在离开系统、进行备份的时候是加了密的,那么你应该选择备份软件加密。但请记住,这两个方法都会在性能和容量上带来严重的不良影响。如果你不愿意搞清楚究竟对什么进行加密,而只是对所有存储到磁带上的数据加密,又不愿意看见备份系统出现任何性能或者容量上的损失,那么你正确的选择应该是采用硬件加密的方式。
不管你选择的加密方法是什么,当备份磁带丢失的时候你心里面都会稍微宽慰一点。毕竟,在这样一个数据隐私法制时代,任何一个企业都不能不对存储数据进行加密处理。