Het versleutelen van bestanden die op een lokale schijf zijn opgeslagen, beschermt ze tegen het lezen als een aanvaller ze uit de netwerkomgeving of het apparaat van een gebruiker exfiltreert. Data versleuteld in rust is een belangrijk onderdeel van cybersecurity, dataprotectie en compliance. Als een aanvaller een systeem in gevaar brengt en bestanden steelt, zou de aanvaller de versleutelde bestanden niet kunnen lezen, omdat ze in een onleesbaar formaat zijn opgeslagen zonder de encryptiesleutel.
Wat is encryptie op bestandsniveau?
Met encryptie op bestandsniveau, ook bekend als bestandsgebaseerde encryptie of encryptie op bestandssysteemniveau, kunnen individuele bestanden en mappen die op een lokaal apparaat of netwerkopslag zijn opgeslagen, worden versleuteld zonder dat het volledige opslagmedium zelf hoeft te worden versleuteld. Versleutelde bestanden zien eruit als een lange reeks willekeurige tekens, maar de sleutel die wordt gebruikt om bestanden te versleutelen vertaalt de tekens naar de oorspronkelijke staat van het bestand. Beheerders kunnen bestanden en data specificeren die moeten worden versleuteld, zodat het mogelijk is dat een gebruikerswerkstation sommige bestanden in een niet-versleutelde staat heeft. Gewoonlijk zijn bestanden met gevoelige bedrijfsgegevens, intellectueel eigendom, handelsgeheimen of klantinformatie versleuteld.
Een ziekenhuisnetwerkomgeving is een goed voorbeeld van een gebruikssituatie voor encryptie op bestandsniveau. Ziekenhuizen slaan patiëntgegevens op, waaronder persoonlijk identificeerbare informatie (PII), betalingsinformatie en gevoelige elektronische medische dossiers. Elke gezondheidszorgorganisatie in de VS - inclusief ziekenhuizen - is gebonden aan de HIPAA-voorschriften (Health Insurance Portability and Accountability Act). HIPAA vereist dat zorgverleners elektronisch beschermde gezondheidszorginformatie (ePHI) versleutelen. Met behulp van encryptie op bestandsniveau zouden ziekenhuizen blijven voldoen aan de lokale regelgeving en vermijden dat gevoelige data aan een derde partij worden bekendgemaakt na een compromis.
>> Pure Storage biedt een eenvoudige en veilige manier om data uit de gezondheidszorg op te slaan zonder afbreuk te doen aan de efficiëntie. Lees verder voor meer informatie.
Hoe werkt encryptie op bestandsniveau?
De processen die betrokken zijn bij encryptie op bestandsniveau zijn onzichtbaar voor de gebruiker op het werkstation of lokale apparaat. Een gebruiker moet in de omgeving worden geverifieerd om bestanden te decoderen, en het systeem versleutelt bestanden automatisch wanneer ze op de lokale opslagschijf worden opgeslagen. Voor elk bestandstoegangsverzoek onderschept het systeem het verzoek en zorgt het ervoor dat de gebruiker in de omgeving wordt geverifieerd voordat deze wordt gedecodeerd.
Om een bestand te versleutelen en te decoderen, moet de gebruiker toegang hebben tot een sleutel. Om de prestaties te behouden, gebruiken de meeste encryptieservices op bestandsniveau de Advanced Encryption Standard (AES), een symmetrisch algoritme. Een symmetrisch algoritme gebruikt dezelfde sleutel om data te versleutelen en te decoderen. Aangezien de sleutel kan worden gebruikt om bestanden te decoderen, wordt deze vaak op een veilige locatie op het systeem bewaard en versleuteld door een privésleutel die alleen beschikbaar is voor de beheerder.
Versleutelingstechnologieën en -diensten op bestandsniveau
Zowel Microsoft als Apple hebben hun eigen vorm van encryptie op bestandsniveau ingebed in hun besturingssystemen. Het Microsoft Windows-besturingssysteem bevat BitLocker. Gebruikers kunnen BitLocker op hun lokale apparaten in- of uitschakelen, en beheerders op een Windows-netwerk kunnen encryptie op bestandsniveau forceren met behulp van wereldwijd beleid.
Apple neemt FileVault op in het Mac-besturingssysteem. Alle bestanden zijn versleuteld op het lokale opslagapparaat, zodat gegevens niet kunnen worden gestolen na de diefstal van een Mac-laptop. Alleen gebruikers met inloggegevens op de lokale laptop hebben toegang tot versleutelde bestanden.
Een derde optie voor encryptie op bestandsniveau is de open-sourcesoftware VeraCrypt. Het is een gratis bestandscoderingsapplicatie van derden voor Windows, Linux en macOS. Het is een optie van derden als u de populaire encryptietools die beschikbaar zijn in grote besturingssystemen niet wilt gebruiken, maar het kan moeilijker te beheren zijn dan embedded besturingssysteemsoftware als u geen ervaring hebt met encryptie op bestandsniveau.
In het datacenter kan de beveiliging van at-rest-encryptie naar een hoger niveau worden getild. Pure Storage ® FlashArray ™ implementeert toonaangevende AES-256-standaard voor data-at-rest-encryptie. FlashArray versleutelt data met behulp van drie afhankelijke lagen interne sleutels: een array-sleutel, een SSD-sleutel en een data-encryptiesleutel. De array-sleutel wordt gegenereerd met een willekeurig geheim en vervolgens verdeeld over meerdere SSD's, zodat de helft van de array-schijven, plus nog twee, nodig zijn om de huidige toegangssleutels opnieuw te creëren.
Voor- en nadelen van encryptie op bestandsniveau
Bedrijven en datacenters gebruiken encryptie op bestandsniveau om gevoelige data te behouden, zelfs na een compromis. Nadat een hacker of malware toegang heeft gekregen tot een omgeving, wordt het netwerk gescand op gevoelige data. De data worden meestal naar een door aanvallers gecontroleerde server gestuurd, waar ze worden gebruikt voor afpersing of worden verkocht op darknetmarkten.
Wanneer bestanden versleuteld zijn, zijn geëxfiltreerde bestanden onleesbaar en kunnen ze niet worden verkocht of gebruikt voor smadelijke doeleinden. Alleen gebruikers met de encryptiesleutel kunnen bestanden decoderen en gebruikers krijgen automatisch toegang tot bestanden wanneer ze zich authenticeren in de omgeving en autorisatie krijgen. Beheerders kunnen de toegang tot bestanden beheren met behulp van groepsbeleid of specifieke machtigingen op het lokale apparaat. Sommige nalevingsvoorschriften, waaronder HIPAA, vereisen encryptie op bestandsniveau, dus de implementatie van encryptietools houdt organisaties compliant.
Beheerders moeten het systeem onderhouden omdat het verlies van encryptiesleutels leidt tot het verlies van bestanden. Coderingssleutels mogen alleen beschikbaar zijn voor geautoriseerde personen. Als een derde partij toegang heeft tot sleutels, kunnen gestolen bestanden worden gedecodeerd. Enige complexiteit wordt aan de omgeving toegevoegd met behulp van encryptie op bestandsniveau, maar een goede applicatie maakt het handig voor beheerders en onzichtbaar voor gebruikers.
Alternatieven voor encryptie op bestandsniveau
File-level encryptie staat los van full-disk encryption (FDE), waarbij laatstgenoemde het volledige bestandssysteem en alle data op de schijf versleutelt. Beheerders kunnen bestanden kiezen voor encryptie met encryptie op bestandsniveau, maar full-disk encryptie wordt vaak gezien als een veiligere omgeving. Overheidsinstellingen gebruiken FDE vaak om het lokale bestandssysteem en gevoelige data beter te beschermen.
Applicatie-level encryptie is een andere optie voor beheerders die kritieke software zoals database-engines beheren. De meeste grote database-engines hebben encryptie op applicatieniveau ingebed in hun functies. Een encryptiefunctie op applicatieniveau versleutelt een subset van data, zoals specifieke velden in databasetabellen met zeer gevoelige informatie. Microsoft Microsoft SQL Server heeft bijvoorbeeld encryptie op applicatieniveau in de bedrijfsversie.
Conclusie
Voor uitgebreide dataprotectie en compliance moeten datacenters en bedrijven die diensten in de cloud aanbieden overwegen om encryptie op bestandsniveau te gebruiken. Bestanden die worden gestolen na een compromis zijn onbruikbaar voor de aanvaller, zodat bedrijven hun gevoelige informatie beter kunnen beveiligen, zelfs na een datalek. Software die wordt gebruikt in bestandsencryptie draait op de achtergrond van een server of gebruikersapparaat, zodat het de productiviteit of andere dagelijkse activiteiten niet belemmert.