在本文中�����,專家Karen Scarfone著重探討了FDE的優(yōu)勢及其應用場景�,以幫助企業(yè)判斷這種存儲加密技術是否真正是其所需要的�����。
五臺ssl適用于網(wǎng)站����、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應用場景�����,ssl證書未來市場廣闊!成為創(chuàng)新互聯(lián)的ssl證書銷售渠道����,可以享受市場價格4-6折優(yōu)惠!如果有意向歡迎電話聯(lián)系或者加微信:028-86922220(備注:SSL證書合作)期待與您的合作�!
全磁盤加密(full disk encryption, FDE)技術是一種存儲加密技術,正如其名稱所稱��,它可以為臺式機����、筆記本或服務器加密硬盤驅動器中的所有信息。這就是說���,當計算機處于非啟動狀態(tài)時��,其操作系統(tǒng)(OS)�����、應用和用戶數(shù)據(jù)都會受到保護�,阻止未經(jīng)授權訪問�。
當有人試圖啟動該操作系統(tǒng)時���,在進行啟動前,用戶或管理員必須成功驗證身份��,這被稱為預啟動身份驗證(PBA)��。在PBA成功后����,操作系統(tǒng)將被啟動,用戶就可以訪問所有操作系統(tǒng)的功能���、應用和數(shù)據(jù)����。
傳統(tǒng)觀點認為�����,在最低限度下���,每個企業(yè)都應該對訪問或存儲敏感數(shù)據(jù)的所有計算機使用FDE技術。雖然這聽起來很合理���,但很多企業(yè)對其所有臺式機和筆記本電腦都使用FDE技術����,因為他們錯誤地認為,該技術實際可以提供更多的保護����。
FDE是否適合企業(yè)的系統(tǒng)完全取決于企業(yè)試圖阻止的威脅:設備的丟失或被盜、服務器端數(shù)據(jù)被盜�����、操作系統(tǒng)篡改或者惡意軟件訪問敏感數(shù)據(jù)��,這是FDE擅長應付的四種應用場景�。
場景1:防范計算設備丟失或被盜
部署FDE技術的最常見原因是攻擊者試圖對丟失或被盜的筆記本或移動設備中的敏感數(shù)據(jù)獲取未經(jīng)授權訪問。
多年來�����,媒體報道了很多筆記本丟失或被盜的事件�,這些筆記本包含著數(shù)以百萬計的未受保護客戶記錄。這些被視為真正的數(shù)據(jù)泄露事故����,因為沒有人知道攻擊者是否已經(jīng)訪問這些敏感數(shù)據(jù)��。單起數(shù)據(jù)泄露事故可能導致企業(yè)損失數(shù)百萬美元--恢復成本和聲譽損失成本�。
考慮到這些數(shù)據(jù)泄露事故的嚴重程度����,企業(yè)有必要安裝FDE技術來保護筆記本中的敏感數(shù)據(jù)。這樣的話��,當筆記本丟失或被盜時�����,數(shù)據(jù)仍然是安全的��,因為設備會受到FDE保護����。這可以幫助企業(yè)防止數(shù)據(jù)泄露和避免媒體報道其筆記本丟失或被盜的新聞。
很多企業(yè)已經(jīng)擴展了這一基本原則(即使用FDE保護敏感數(shù)據(jù))����,他們在所有筆記本(有時候包括臺式機)使用FDE技術��,因為他們不能完全確定哪些設備包含敏感信息����。這是常見的復雜問題����,即要求在所有筆記本使用FDE���。
例如����,對于FDE自動部署到所有筆記本�,在用戶第一次訪問敏感數(shù)據(jù)之前,企業(yè)沒有必要添加該技術到已經(jīng)部署的筆記本�。這可能會帶來不必要的延誤。并且�����,當FDE技術全面部署在企業(yè)環(huán)境中時���,筆記本丟失或被盜的話�����,也沒有必要恐慌���,應該確定設備是否受到FDE保護����,如果沒有����,則確定設備是否被用來訪問敏感數(shù)據(jù),數(shù)據(jù)殘余可能仍然位于設備中�����。
要注意的是��,F(xiàn)DE技術的使用通常是基于這樣的假設���,即設備不被使用時會被關閉�����。這對于筆記本是一個問題����,因為筆記本通常處于休眠或待機模式�����。根據(jù)使用的產(chǎn)品以及配置情況的不同��,F(xiàn)DE技術可能或者可能不會對這些模式的筆記本產(chǎn)生效果��。
IT部門應該自己進行測試來確保他們考慮購買的FDE產(chǎn)品能夠保護休眠和待機設備的敏感數(shù)據(jù)����。如果不能提供保護,那么可能需要考慮其他方法�����,或者強制執(zhí)行政策要求禁止使用筆記本的待機或休眠模式�����。
防止計算設備丟失或被盜的非FDE方法
防范設備丟失或被盜的非FDE方法涉及建構IT基礎設施架構���,包括應用和數(shù)據(jù)庫��,讓所有敏感數(shù)據(jù)集中存儲�,而非敏感數(shù)據(jù)(直接或間接,如數(shù)據(jù)殘余)則本地存儲在筆記本�����、臺式機和其他設備�����。
數(shù)據(jù)丟失防護(DLP)等技術可以幫助確保這些敏感數(shù)據(jù)不會被轉移到可移動介質����、打印或復制及粘貼到其他文檔,或從集中存儲中滲出����。
選擇這種數(shù)據(jù)安全方法而非FDE技術的企業(yè)必須仔細檢測和測試這些方法,以確保它的有效性��。如果可能發(fā)生數(shù)據(jù)泄露�����,那么設備的丟失或防護仍然可能導致重大數(shù)據(jù)泄露事故����。
場景2:防止服務器端數(shù)據(jù)盜竊
有時候企業(yè)會選擇在其服務器硬盤驅動器使用FDE技術�����,當服務器未被啟動時,這可以對服務器硬盤中的內(nèi)容提供保護�,例如當服務器從一個位置運送到另一個位置時。
對于有些企業(yè)而言這并不是常見的情況�����,但對于具有分支機構的企業(yè)而言這很常見���,其分支機構有自己的服務器���,技術人員可能要在這些位置之間運送硬盤驅動器,還有在災難恢復操作中�����,服務器會從一個物理位置遷移到另一個位置�����。
出于這些原因��,企業(yè)可以在服務器硬盤驅動器使用FDE技術來在這些運輸過程中提供保障。
場景3:防范不必要的OS篡改
雖然大多數(shù)人知道FDE技術可以防止因設備丟失或被盜而引起的敏感數(shù)據(jù)泄露��,但其實該技術還可以防止對操作系統(tǒng)的篡改���。
例如�����,攻擊者可能會在短時間內(nèi)獲取對不受FDE保護的筆記本或臺式機的訪問權限�����。該攻擊者可以通過多種方法(包括利用操作系統(tǒng)漏洞和使用取證工具)來修改該操作系統(tǒng)的可執(zhí)行文件��、配置��、權限和其他屬性�����。這將允許攻擊者歸還該設備到原來的位置����,同時通過向操作系統(tǒng)可執(zhí)行文件植入的惡意軟件�,保持對該設備的遠程訪問����。
這并不是常見的威脅�����,但在具有特別高安全需求的企業(yè)�,僅此一點就讓企業(yè)有足夠理由為臺式機和筆記本使用FDE技術����。
再次需要注意的是,F(xiàn)DE只能保護非啟動狀態(tài)下的設備;當設備處于啟動狀態(tài)時�����,F(xiàn)DE將無法阻止惡意軟件感染和操作系統(tǒng)執(zhí)行操作����。為了防范和應對這些情況,企業(yè)需要使用反惡意軟件技術�,例如防病毒軟件或惡意軟件分析工具;漏洞管理工具,包括補丁管理功能來消除操作系統(tǒng)和應用中的已知漏洞;以及強大的身份驗證和訪問控制系統(tǒng)配置���,以確保只有授權管理員可以更改操作系統(tǒng)文件�、配置等。
場景4:要求合作伙伴提供全面惡意軟件防護
也許對于大多數(shù)企業(yè)的系統(tǒng)而言���,最常見的威脅是試圖訪問存儲在本地臺式機或筆記本電腦中敏感數(shù)據(jù)的惡意軟件�。然而��,在設備被啟動后��,F(xiàn)DE技術完全無法阻止這種惡意軟件����。不過,還有其他形式的存儲加密技術可能會有所幫助���。
這些技術包括虛擬磁盤加密���、卷加密和文件加密,它們可以保護數(shù)據(jù)的機密性和完整性�����,即使當設備完全啟動后��。很多企業(yè)在其筆記本和臺式機中存儲有敏感數(shù)據(jù),他們在選擇FDE技術的同時���,還可以選擇這些技術來提供額外的保護層����,特別是針對惡意軟件���。
總結
FDE技術可以有效阻止某些類型的威脅���。具體來說,它們可以幫助防止對丟失或被盜臺式機����、筆記本或服務器中敏感數(shù)據(jù)的未經(jīng)授權訪問�����。
除了FDE技術外���,還有替代技術可以防止敏感數(shù)據(jù)被存儲在本地��,但這些也都不是萬全的技術�����,F(xiàn)DE提供了額外的保護層�,因為FDE技術可以有效防止攻擊者更改未啟動設備的操作系統(tǒng)或應用可執(zhí)行文件。
然而�����,F(xiàn)DE技術并不能保護處于使用狀態(tài)的設備中的數(shù)據(jù)或可執(zhí)行文件��?���?紤]使用FDE技術對企業(yè)應該慎重考慮他們正試圖應對什么樣的威脅,并結合使用FDE技術與其他額外的補充安全技術�。
網(wǎng)頁標題:盤點:全磁盤加密技術的4大應用場景
轉載源于:
http://uogjgqi.cn/article/djshjpc.html
