浅谈加强数据中心安全程序保护的方法

来源：机房360

2014/4/25 11:33:35

数据"保护"工作都涉及到数据加密。在数据中心中，数据可以有三种状态：休息，运行和被使用。最常见的加密是在设备层面的加密，以便保护那些处于休息和运行状态的数据。

本文关键字：数据中心

最近，NIST（美国国家标准与技术研究所）出版了《关键基础设施网络安全框架改善》白皮书。距离奥巴马总统签署网络安全行政令正好一年。现在，数据中心的每一位基础设施和硬件的管理人员都在正试图确定该标准将会对他们的工作产生什么样的影响，以及他们所在数据中心的框架到底属于那一"层面".

该框架的核心包括五个功能：识别，保护，检测，响应和恢复。数据中心管理人员，系统管理员和首席信息安全官们都知道，如果在数据"保护"方面花费更多的时间，那么，在"响应"和"恢复"方面的时间必然将会有所减少。本着这一精神，在本文中，我们将为大家介绍有一些方法，以加强对于您不断变化的数据中心的安全程序的保护的同时，又不会损失数据的有效性。

数据保护的层次

很大一部分的数据"保护"工作都涉及到数据加密。在数据中心中，数据可以有三种状态：休息，运行和被使用。最常见的加密是在设备层面的加密，以便保护那些处于休息和运行状态的数据。通常，设备层面进行加密相对容易实现，但其也只是提供了最低水平的数据保护。

大多数人认为，当数据保护是实现全磁盘加密（包括磁盘驱动器本身的加密或者文件系统的加密）就自然实现了对处于休息状态的数据加密。但我们将这种方法仅仅视为对设备的保护，因为如果您拔出磁盘驱动器，所有磁盘上的数据固然均是加密的，只有那些有私人密钥能够解密数据的才可以访问。但当磁盘被操作时，整盘加密或加密文件系统没有提供任何保护。当文件被读取或复制，其会自动解密，而当这些数据被转移到另一个平台，加密并不会同时随之转移。

运行中的数据加密通常被认为是通过协议，如SSL/TLS保障的。在运行中的数据保护是通过这些协议的嗅探。而没有私人密钥，将无法解密数据。

另一种考虑对休息和运行状态数据保护的互补的方案是以数据为中心，而非以设备为中心的加密。如果对单个文件进行了加密，那么，就算某人删除了驱动设备或试图在传输过程中拦截敏感数据数据仍然是受保护的。只要在休息和运行状态的数据被锁定，那么你将不再依赖于单个设备或传输协议来为加密的数据提供保护，因为无论到哪里，以何种传输方式，其在本地存储，SAN或NAS，或云中均是受保护的。

以数据为中心的方法？

以数据为中心的保护方法在技术上并不比设备加密更难。在过去，有关加密障碍和以数据为中心的保护的某些误解主要是由于诸如企业缺乏有实力可以处理或加密大型机的内部人员等因素造成的。因此首先，我们将向大家介绍有关于以数据为中心的加密和设备级加密之间的差异的一些基本知识。

对于设备级加密，通常需要X.509证书以便在加密操作中提供密钥，通常用很少的配置。从这点上看，既然已经对整体进行了加密，就没有必要选择对个别证书进行加密了，因为该设备已经采用了相同的通用加密。其执行是很容易的，也并非完全没有价值，但其越来越受到高级攻击或不必要的"访客"威胁。

责编：李玉琴