选择合适的技术方案和加密算法作为成功实施数据保护的关键。企业需要综合考虑关键数据的安全性,保持应用系统的功能可用性和系统的可维护性,从而确定适合企业需保护技术方案。
磁盘加密磁盘采用块级加密技术,例如AWS的EBS,阿里云的ECS支持磁盘加密。这种加密的优点是它对操作系统是透明的。根据上层应用的不同性能,加密后的性能降低于加密前的性能。
文件加密堆叠在其他文件系统上(如Ext2,Ext3,ReiserFS,JFS等),为应用程序提供透明、动态、高效和安全的加密功能。通常用于加密指定目录。需要注意的是,这种加密方法可能会导致更大的性能损失。
数据库加密-TDE透明数据加密TDE,它是数据库提供的加密技术,即实时执行数据文件I/O加密和解密。在写入磁盘之前对数据进行加密,从磁盘读入内存时进行解密。TDE数据文件的大小不会增加,开发人员也不需要更改任何应用程序。数据库还提供相应的密钥管理API或者组件实现,应用透明。在某些情况下,磁盘或系统不能向用户开放(如云环境),这种方式更合适。
数据库加密-第三方加固数据库加密的另一种方法是通过第三方加固数据库,即第三方专业数据库加密制造商的产品内置在数据库中,以提供透明的数据加密能力。所谓的透明度意味着用户应用程序系统可以在不进行修改的情况下使用,拥有权限的用户可以看到明确的数据,这是完全无意义的。此外,它还可以提高原始数据库的安全能力,如提供三权分立、脱敏显示等。
应用层加密应用层加密可以说是最终解决方案。它可以确保数据在数据库到达之前已经进行了数据加密,可以实时保护用户的敏感数据。在这里,关键是提供应用程序的透明度,以确保应用程序不需要修改或只需少量修改。这种方法完全由用户自己控制,不需要信任三方制造商提供的任何数据安全,并获得足够的自由和灵活性。例如,可以提供统一的安全加密策略,跨多个数据库。
