如何做好数据库加密?
来源:嘶吼RoarTalk     时间:2023-05-12 17:06:45

网络安全依然是一场持久战,仅在 2023 年的第一个月,贝宝(PayPal)和 T-Mobile 就发生了数据泄露事件。为了应对这个挑战,公司企业可以通过加强数据加密措施来改善安全态势。

在大多数情况下,加密数据使不法分子无法访问数据。然而,加密和解密过程在技术上可能很复杂。在竞争激烈的市场中,公司企业需要速度和敏捷性,而数据库性能下降的隐忧可能打消对静态数据加密采取相应措施的积极性。


(资料图片)

然而,数据库加密解决方案的可用性和效率方面的进步,加上针对数据泄露的监管和处罚方面取得的进展,已导致越来越多的企业将数据加密作为网络安全战略中更重要的一部分。

考虑到选择方案众多,敲定适合企业需求的最佳加密解决方案可能颇具挑战性。处理解密所需的加密密钥也很困难。一般来说,数据库加密有三种方法:API(应用编程接口)方法、数据库插件方法以及 TDE(透明数据加密)方法。下面介绍每一种方法,以帮助读者权衡利弊。

API 加密

API 加密方法是指修改应用程序,以便在数据进出数据库时对数据执行加密和解密操作。与其他方法不同,加密和解密任务由应用程序中的加密代理来处理,而不是由数据库本身来处理。这似乎是一种简单的解决方案,因为一旦加密在应用程序层面落实到位,它就是一次性设置。

然而在实践中,这是一个复杂得多的过程。为了实施 API 加密,必须投入大量的开发资源来修改现有的商业或专有应用程序以支持加密。除此之外,还必须改动搜索查询和操作以访问这些加密数据。这些步骤共同构成了重大挑战,尤其是在多方需求开发资源的环境中。由于这些原因,许多人认为 API 加密是一种遗留技术。

虽然 API 加密起初可能表现良好,但可扩展问题是这种方法的另一个障碍。除非有额外的计算能力予以支持,否则应用程序性能会随着数据量和查询量的增加而下降。当使用多个应用程序(可能由不同的团队构建或修改)对进出同一数据库的加密数据执行读写操作时,这个问题尤为严重。

但是这里有一个更基本的问题需要考虑——几乎不可能跨同一数据库中的其他应用程序来共享一个应用程序和配对数据库使用的加密密钥。这给通过数据整合进行分析的工作带来了阻碍,影响了企业增强客户关系、优化业务运营和识别新机会的能力。

数据库插件方法

对于数据库加密和解密而言,插件方法为数据库集成了一个单独的模块。这种方法避免了落在应用程序和数据库头上的加密计算负担。这些加密插件通常是单个数据库软件产品所特有的,不过一些插件支持多个产品。

然而,部署数据库插件方法会带来实施和维护成本。数据库管理员必须采用和管理新软件,虽然这种方法牵涉的范围比 API 加密方法所需的要小,但是为了查询加密数据,需要对应用程序进行修改。

利好的一面是,许多这些模块可以为添加的功能提供便利,比如审计、访问控制和合规管理。然而,可用的插件选项和特性可能多得令人望而生畏——选择最佳解决方案可能是一个复杂的过程,因为公司必须根据现有功能考虑模块的功能。

TDE 方法

有了 TDE,就不需要修改应用程序或查询了。这种类型的数据库加密只需极少的管理工作,因为该功能整合到数据库引擎本身中,可以作为数据库供应商提供的一项功能,也可以作为修改数据库软件的第三方工具。对数据库、备份和日志文件进行实时加密和解密。

虽然该过程给数据库引擎增添了负担,但对性能的影响在很大程度上微不足道。当数据在内存中访问时,影响通常是个位数甚至更小。开发人员、用户、管理员和应用程序可以正常操作或运行,不必面临与其他加密方法相关的许多障碍。

数据库加密不是确保网络安全的唯一解决方案。Web 应用防火墙、DDoS 防护、勒索软件防护和员工意识都至关重要。然而,数据库加密确实在显著减少数据泄露造成的损害方面大有潜力。数据库加密是合理安全策略的基石——在一个网络威胁比以往任何时候都多的时代下,有必要确保即使攻击者突破防线,也很难利用你的加密数据。

标签: