如果攻擊者從網路環境或使用者裝置竊取檔案,則儲存在本機磁碟上的加密檔案可保護它們免於被讀取。靜態資料加密是網路安全、資料保護和合規性的重要組成部分。如果攻擊者入侵系統並竊取檔案,則攻擊者將無法讀取加密檔案,因為在沒有加密金鑰的情況下,它們是以無法讀取的格式儲存。
什麼是檔案級加密?
使用檔案級加密,又稱為檔案式加密或檔案系統級加密,儲存在本機裝置或網路儲存裝置上的個別檔案和資料夾可進行加密,而不需要對整個儲存媒體本身進行加密。加密檔案看起來像是一串長的隨機字元,但用來加密檔案的金鑰會將字元轉換成檔案的原始狀態。管理員可以指定必須加密的檔案和資料,因此使用者工作站可能有些檔案處於未加密的狀態。通常,包含敏感企業資料、智慧財產、商業機密或客戶資訊的檔案會加密。
醫院網路環境是檔案級加密使用案例的良好範例。醫院會儲存病患資料,包括個人識別資訊 (PII)、付款資訊,以及敏感的電子健康記錄。任何位於美國的醫療組織,包括醫院,都受到 HIPAA(健康保險可攜性與責任法案)法規的約束。HIPAA 要求醫療保健提供者加密電子受保護醫療資訊 (ePHI)。醫院使用檔案級加密功能,可維持符合當地法規,避免在資料遭到入侵後向第三方揭露敏感資料。
>> Pure Storage 提供簡單且安全的方式,儲存醫療資料,同時不影響效率。請繼續閱讀以了解更多資訊。
檔案級加密如何運作?
檔案級加密所涉及的程序,使用者在工作站或本機裝置上看不到。使用者必須通過環境驗證才能解密檔案,系統會在檔案儲存在本機儲存硬碟上時自動加密檔案。對於每個檔案存取請求,系統會攔截請求,並確保使用者在解密前通過環境驗證。
若要加密和解密檔案,使用者必須能夠存取金鑰。為了保持效能,大多數檔案級加密服務都使用進階加密標準 (AES),這是對稱演算法。對稱式演算法使用相同的金鑰來加密和解密資料。由於金鑰可用於解密檔案,因此通常會保存在系統的安全位置,並僅由管理員使用私密金鑰進行加密。
檔案級加密技術與服務
Microsoft 和 Apple 都有自己的檔案級加密形式,內嵌在其作業系統中。Microsoft Windows 作業系統包含 BitLocker。使用者可以在本機裝置上啟用或停用 BitLocker,Windows 網路的管理員可以使用全球政策強制進行檔案級加密。
Apple 在 Mac 作業系統中包含 FileVault。所有檔案在本機儲存裝置上都經過加密,因此資料在 Mac 筆記型電腦遭竊後不會被竊取。只有擁有本地筆記型電腦認證的使用者才能存取加密的檔案。
檔案層級加密的第三個選項是開源軟體 VeraCrypt。這是一個免費的第三方檔案加密應用程式,適用於 Windows、Linux 和 macOS。如果您不想使用主要作業系統中常用的加密工具,這是第三方選項,但如果您沒有檔案級加密的經驗,可能比嵌入式作業系統軟體更難管理。
在資料中心,靜態加密的安全性可提升到全新境界。Pure Storage® FlashArray 是業界領先的 AES-256 靜態資料加密標準。FlashArray 使用三個相依的內鍵來加密資料:陣列鍵、SSD 鍵和資料加密鍵。陣列金鑰以隨機秘密產生,然後分佈在多個 SSD 中,確保需要一半的陣列硬碟,以及另外兩個硬碟,才能重新建立目前的存取金鑰。
檔案級加密的優缺點
企業和資料中心使用檔案級加密來保存敏感資料,即使資料遭到入侵。駭客或惡意軟體進入環境後,會掃描網路中是否有任何敏感資料。資料通常被傳送到攻擊者控制的伺服器,在那裡被用來勒索或在暗網市場上出售。
檔案加密後,被竊取的檔案將無法讀取,也不能出售或用於惡意目的。只有擁有加密金鑰的使用者才能解密檔案,當使用者通過環境驗證並獲得授權時,就會自動存取檔案。管理員可以使用本機裝置上的群組原則或特定權限來控制檔案的存取。包括 HIPAA 在內的一些法規遵循規定需要檔案層級加密,因此實施加密工具可確保組織符合規範。
系統管理員必須維護系統,因為遺失加密金鑰會導致檔案遺失。加密金鑰應僅提供給授權人員。如果第三方可以存取金鑰,任何竊取的檔案都可能被解密。使用檔案層級加密,環境會增加一些複雜性,但良好的應用程式讓管理員能更便利,使用者無法看見。
檔案級加密的替代方案
檔案級加密與全磁碟加密(FDE)是分開的,後者會將整個檔案系統和硬碟上的所有資料加密。管理員可以選擇檔案進行檔案級加密,但全磁碟加密通常被視為更安全的環境。政府實體通常使用 FDE 來更好地保護本地檔案系統和敏感資料。
應用程式級加密是管理員管理資料庫引擎等關鍵軟體的另一個選項。大多數主要的資料庫引擎都有嵌入應用程式層級的加密功能。應用程式層級加密功能會加密資料子集,例如資料庫表中包含高度敏感資訊的特定欄位。舉例來說,Microsoft SQL Server 的企業版本中具有應用程式級加密功能。
結論
為提供延伸的資料保護和合規性,資料中心和企業在雲端配置服務應考慮使用檔案級加密。攻擊者在入侵後無法使用被竊取的檔案,因此即使發生資料外洩,企業也能更妥善保護敏感資訊的安全。檔案加密所使用的軟體會在伺服器或使用者裝置的背景中執行,因此不會干擾生產力或其他日常作業。
