رمزنگاری: ایمن سازی داده های حساس در ذخیره سازی و انتقال

امنیت داده ها به طور سنتی به عنوان مسئله امن سازی دسترسی به داده ها در یک مکان فیزیکی، مانند مرکز داده ها، دیده می شود. اما از آنجا که داده ها از طریق شبکه، روترهای لبه شبکه، دستگاه های تلفن همراه و به ابر و اینترنت اشیاء (IoT) انتقال پیدا می کنند، تمرکز فقط روی مکان فیزیکی داده ها دیگر اهمیتی ندارد. در اینجا برای ایجاد امنیت در داده های مهم و حساس رمزنگاری بکار می آید.

برای جلوگیری از افشای داده های حساس شرکتی به افراد غیرمجاز در این محیط جدید شرکت ها، باید داده ها ایمن شوند. رمزنگاری و پوشاندن داده ها دو روش اصلی برای تأمین اطلاعات حساس مستقر در سرورها یا در حال حرکت در محیط شبکه و اینترنت هستند. آنها بخش های مهمی از امنیت نهایی و وضعیت امنیتی بهینه هر شبکه و سازمان هستند.

فرآیند رمزنگاری داده ها به گونه ای است که فقط طرف های مجاز می توانند به آن دسترسی داشته باشند. با استفاده از رمزگذاری homomorphic، داده های حساس در متن ساده با استفاده از الگوریتم ها مخصوص اینکار رمزگذاری می شوند و متن دیگری تولید می کنند که در صورت رمزگشایی فقط قابل خواندن است.

در فرآیند پوشش داده ها data masking، داده های “جعلی” داده های واقعی را برای کاربرانی که نباید به داده های واقعی دسترسی داشته باشند جایگزین داده های واقعی می کنند. ماسک سازی تضمین می کند که داده های حساس پنهان شده باشند تا از شناسایی خارج شوند.

پوشش داده ها به صورت پویا می تواند داده ها را بر اساس نقش ها و امتیازات کاربر انجام بدهد. این برای تأمین امنیت تراکنش های بانکی و بهبود حریم شخصی داده ها، پیاده سازی و نگهداری اطلاعات حساس استفاده می شود.

با پوشش داده ها، داده ها به شکل بومی خود حفظ می شوند و هیچ کلید رمزگشایی لازم نیست. مجموعه داده های بدست آمده هیچ مرجعی به اطلاعات اصلی ندارد و باعث می شود که برای مهاجمان بی فایده باشد.

رمزنگاری داده ها چگونه انجام می شود؟

رمزنگاری داده ها را با استفاده از محاسبات ریاضی و الگوریتم های غیرقابل خواندن، انجام میشود. یک سیستم رمزنگاری از کلید رمزنگاری تولید شده توسط یک الگوریتم استفاده می کند. اگرچه رمزگشایی داده ها بدون داشتن کلید امکان پذیر است برای طراحی صحیح سیستم رمزگذاری، منابع و مهارت های محاسباتی قابل توجهی لازم است تا گیرنده مجازبتواند پیام را با کلید ارائه شده توسط مبدأ رمزگشایی کند.

اگر کلید رمزنگاری گم شود یا آسیب ببیند بازیابی اطلاعات رمزگذاری شده از رایانه ممکن نیست. بنابراین، شرکت ها باید قبل از اجرای فناوری های رمزگذاری داده، فرآیندهای مدیریتی نگهداری و انتقال کلیدها را تنظیم کنند.

سازمانها باید در نظر بگیرند كه در صورت گم شدن یا نابود شدن كلید شیوه های مدیریت كلید چگونه می توانند از بازیابی اطلاعات رمزگذاری شده پشتیبانی كنند. برنامه ریزان درمورد رمزگذاری رسانه های قابل جابجایی باید در نظر بگیرند که چگونه تغییر کلیدها روی دسترسی به ذخیره سازی رمزگذاری شده بر روی رسانه های قابل جابجایی مانند درایوهای USB تأثیر می گذارد و راه حل هایی را مانند حفظ کلیدهای قبلی در صورت نیاز تأمین می کند.

رمزنگاری را می توان برای سیستم کاربران، سرورها، ایمیل ها، دیتابیس ها و پرونده ها استفاده کرد. رمزنگاری مناسب بستگی به نوع ذخیره، میزان داده هایی که باید از آن محافظت شود، محیط هایی که محل ذخیره آن در آن قرار دارد و تهدیداتی که باید متوقف شود بستگی دارد.

رمزگذاری کلید عمومی یکی از کاربردهای رمزنگاری کلید عمومی است که به رمزنگاری نامتقارنAsymmetric Cryptography نیز معروف است. امضای دیجیتال Digital signature که در آن پیامی با کلید خصوصی فرستنده امضا شده و توسط هر کسی که به کلید عمومی فرستنده دسترسی دارد تأیید می شود، یکی دیگر از کاربردهای شناخته شده رمزنگاری کلید عمومی است.

انتخاب راه کارهای رمزگذاری

سه نوع راه حل اصلی رمزگذاری وجود دارد: رمزگذاری کامل دیسک، رمزگذاری دیسک مجازی و رمزگذاری فایل ها و پوشه ها. در هنگام انتخاب انواع رمزنگاری، شرکت ها باید طیف وسیعی از راه حل هایی را که نیازهای امنیتی آنها را برآورده می کند، در نظر بگیرند، نه فقط نوع مورد استفاده در آنها.

از مهمترین ویژگیهایی که شرکتها هنگام انتخاب سیستم رمزگذاری باید در نظر بگیرند شامل مدیریت متمرکز خط مشی، شفاف سازی برنامه کاربردی و دیتابیس، تأخیر کم، قابلیت مدیریت کلیدها، پشتیبانی از شتاب رمزنگاری مبتنی بر سخت افزار، پشتیبانی از مقررات مربوط به انطباق و قابلیت های نظارت است.

در انتخاب راه حل های رمزگذاری تجهیزات ذخیره سازی، از جمله فاکتورهای زیادی از جمله سیستم عامل هایی که از آنها پشتیبانی می کنند، داده هایی که از آنها محافظت می کنند و تهدیداتی که آنها مسدود می کنند باید فاکتورهای زیادی در نظر گرفته شود. برخی شامل نصب سرورها و نرم افزارهای موجود در دستگاه هایی هستند که باید محافظت شوند، در حالی که برخی دیگر می توانند از سرورهای موجود و همچنین نرم افزاری که در سیستم عامل های دستگاه ها ساخته شده استفاده کنند.

متأسفانه بسته به میزان گسترده بودن تغییرات در زیرساخت ها و دستگاه ها، رمزگذاری می تواند منجر به از بین رفتن قابلیت ها یا سایر موارد شود. شرکتها هنگام ارزیابی راه حلها، باید ضرر عملکرد را با افزایش قابلیت های امنیتی مقایسه کرده و تصمیم بگیرند که آیا ارزش خرید آن ارزش آن را دارد یا خیر. راه حل هایی که نیاز به تغییرات گسترده در زیرساخت ها و دستگاه های کاربر نهایی دارند، معمولاً فقط در مواردی استفاده می شوند که سایر گزینه ها نتوانند نیازهای امنیتی شرکت را برآورده سازند.

پروتکل های رمزگذاری

پروتکل رمزگذاری شامل یک سری مراحل وهمچنین تبادل پیام است که برای دستیابی به یک هدف امنیتی خاص طراحی شده است.

برای اطمینان از سازگاری و کارایی، شرکت ها باید از پروتکل های رمزنگاری سازگار و استاندارد مانند Internet Protocol Security (IPSec) ،Secure Socket Layer (SSL) ،Transport Layer Security (TLS) ،Secure Shell (SSH)، پسوند Secure/Multipurpose Internet Mail Extensions (S/MIME)، و Kerberos استفاده کنند که هر کدام مزایا و معایبی دارند. البته برخی از قابلیت ها با هم همپوشانی دارند اما هرکدام در قسمتهای مختلف مورد استفاده قرار می گیرند.

IPSec رمزگذاری را در سطح بسته IP ارائه می دهد و به پشتیبانی سطح پایین از سیستم عامل و یک سرور پیکربندی شده نیاز دارد. از آنجا که IPSec می تواند به عنوان تونل برای تأمین بسته های متعلق به چندین کاربر و میزبان مورد استفاده قرار گیرد، برای ساخت شبکه های خصوصی مجازی و اتصال دستگاه های از راه دور مفید است. پروتکل اینترنت نسل بعدی، IPv6 با IPSec ساخته شده است، اما IPSec با IPv4 نیز کار می کند.

SSL و TLS هر دو بر روی پروتکل (TCP) کار می کنند و با پروتکل های دیگر با استفاده از TCP، پیوند رمزگذاری، احراز هویت سرور و تأیید اعتبار مشتری را برقرار می کنند. TLS پروتکل ارتقاء یافته SSL است که امنیت را تقویت کرده و انعطاف پذیری را بهبود می بخشد. SSL و TLS دو روش اصلی برای اطمینان از انتقال دیتا تحت پروتکل وب است، از جمله استفاده از “https” به جای “http” در URL ها. OpenSSL از اجرای منبع آزاد SSL استفاده کرده  است.

S/MIME استانداردی برای رمزگذاری کلید عمومی و امضای داده های MIME است. با داشتن S/MIME، مدیران سیستم یک پروتکل ایمیل دارند که از پروتکل (SMTP) که قبلاً استفاده شده ایمن تر باشد. S/MIME  پروتکل SMTP را به سطح بعدی می رساند، و امکان دسترسی گسترده ایمیل را بدون نقص های امنیت به ما می دهد.

SSH روش اصلی تأمین امنیت Remote Terminals از طریق اینترنت و Tunneling در Session های ویندوز است. SSH برای پشتیبانی از Single Sign-On و ایمن سازی  stream های TCP گسترش یافته است، بنابراین اغلب برای تأمین امنیت سایر streams های نیز داده ها استفاده می شود. محبوب ترین پیاده سازی SSH ،OpenSSH است. استفاده های معمولی از SSH به مشتری اجازه می دهد تا سرور را تأیید کند و سپس کاربر برای تأیید اعتبار رمز ورود را وارد می کند. رمز عبور رمزگذاری شده و برای تأیید به سیستم دیگر ارسال می شود. برای جلوگیری از حملات man-in-the-middle، که در آن ارتباطات بین دو کاربر توسط شخص ثالث غیرمجاز کنترل و اصلاح می شود، SSH اطلاعات مهم مربوط به سرورهایی را که با آنها ارتباط برقرار می کند، ضبط می کند.

Kerberos یک پروتکل برای تأیید ورود به سیستم و تأیید کاربر در از طریق یک سرور اصلی تأیید اعتبار و توزیع کلید است. Kerberos با دادن Ticket های معتبر به کاربران، دسترسی به آنها به خدمات مختلف در شبکه کار می کند. وقتی کلاینت با سرورها تماس برقرار می کند، سرورها می توانند بلیط ها را تأیید کنند. Kerberos یک روش اصلی برای تأمین و پشتیبانی از احراز هویت در شبکه محلی است.

به طور خلاصه، رمزگذاری داده ها می تواند برای تأمین امنیت داده ها در محل ذخیره سازی و همچنین در حال در محیط شبکه سازمان و همچنین محیط های نوظهور رایانش ابری و استقرار IoT مورد استفاده قرار گیرد.