如果數據在數據庫中(zhōng)存儲以及數據在不同地方傳輸時都被加密,那麽人們可能會認爲這種方法比較安全。但是這仍然給數據中(zhōng)心安全策略留下(xià)了一(yī)個很大(dà)的盲區:要使用這些數據,必須對其進行解密,在解密的過程将會爲攻擊者創建一(yī)個窗口,以便從内存中(zhōng)抓取數據。
如今已經出現了多種方法來解決這個問題,但是隻有一(yī)個方法被證明是實用的,并且在數據中(zhōng)心運營商(shāng)中(zhōng)越來越受歡迎。與人們的智能手機存儲最敏感的個人數據的方式類似,此方法不會将選擇敏感的應用程序數據以未加密的狀态暴露給主機操作系統。
最近的一(yī)個例子是利用Heartbleed漏洞的攻擊。Cygilant公司安全研究主管Neil Weitzel說:“黑客能夠從内存中(zhōng)獲取存儲的數據。”
現在也有各種各樣的解決方法。一(yī)些公司使用令牌替換關鍵數據,這樣他們就可以處理敏感信息而不會暴露它們。其他人使用保存功能的加密功能,稱爲同态加密。
但是,标記化和同态加密都有很大(dà)的局限性,并沒有被廣泛采用的數據中(zhōng)心安全以外(wài)的一(yī)些特定的使用情況。另外(wài),任何基于軟件的解決方案都會影響性能。
NTT安全公司威脅情報産品管理總監ChrisCamejo說:“在同态系統的情況下(xià),這些影響性能的情況很普遍。”
輸入基于硬件的安全飛地
通過新型智能手機就會看到這種方法的一(yī)個例子。人們的iPhone或Android手機中(zhōng)的“安全元素”存儲個人的生(shēng)物(wù)識别信息和付款數據,使其不會暴露給操作系統的其他部分(fēn)。
數據中(zhōng)心安全等同于2015年發布的英特爾SGX芯片,其中(zhōng)包括一(yī)個可信的運行時間系統,其中(zhōng)安全的私有安全區域被留出以供正在運行的應用程序使用。
即使黑客能夠進入本地操作系統,他們也将無法竊聽(tīng)應用程序正在做什麽。
安全廠商(shāng)Fortanix公司近日發布了一(yī)款産品,利用新硬件來保護加密密鑰和數據,而應用程序開(kāi)發将會積極使用。
Fortanix公司聯合創始人兼首席執行官Ambuj Kumar表示,安全飛地适用于其他應用程序或操作系統本身。
他說:“如果在操作系統中(zhōng)發現了一(yī)個零日的錯誤,這個飛地是安全的。如果具有惡意的内部人員(yuán)訪問系統,這個飛地是安全的,如果一(yī)個能夠解密所有内存的物(wù)理攻擊,飛地被嵌入CPU内部,所以它仍然是安全的。”
因此,如果導緻大(dà)量數據對外(wài)洩露的Equifax公司使用安全區域運行其應用程序,則在運行時加密将保護它的話(huà),就不會造成這麽大(dà)的影響。
他說:“可以在Apache Struts中(zhōng)發現一(yī)個漏洞,并使用它升級權限,現在人們可以控制整個系統以及系統上運行的所有應用程序。但是,當嘗試使用它時,運行時加密将阻止這種攻擊。”
Equifax公司将黑客獲得美國信貸局存儲的14550萬人的個人信息的安全漏洞歸因于開(kāi)源Web應用服務器ApacheStruts的未修補實例。
Fortanix公司運行的加密平台允許現有應用程序利用新的基于硬件的安全性。
Kumar說:“應用程序認爲它是在解密的數據上運行。當程序需要時,數據總是變得神奇可用,不需要其他的應用程序管理來加載或卸載數據。“
英特爾公司的SGX擴展自2016年以來一(yī)直在市場上推出,可用于企業的本地數據中(zhōng)心和雲服務下(xià)的基礎架構。
例如,Microsoft Azure在其新的Azure保密計算産品中(zhōng)支持SGX的飛地技術,今年9月這種産品已提供給早期客戶。
Equinix和IBM也在緻力于支持安全飛地。
但Kumar警告說,在運行時進行加密并不是解決數據中(zhōng)心安全性的一(yī)個靈丹妙藥。
例如,如果應用程序本身受到攻擊(無論是通過漏洞還是通過盜取證書(shū)),黑客就可以使用它來訪問數據。
數據中(zhōng)心運營商(shāng)Markley集團首席技術官Patrick Gilmore表示,運行時加密對于保護公共和多租戶基礎設施(如雲平台)中(zhōng)的數據至關重要。但是它在數據中(zhōng)心中(zhōng)也有一(yī)席之地。
他說:“并不是所有的威脅都是來自外(wài)部的。”
上一(yī)篇:新的勒索病毒爆發表明組織的安全性仍然寬松
下(xià)一(yī)篇:2017代碼漏洞激增創曆史新高