Zabezpečte svá data pomocí vylepšených kryptografických řešení

Článek přečtěte do 6 min.

Vylepšete zabezpečení svých dat pomocí trezorů a hardwarových bezpečnostních modulů
- Trezory
- Hardwarové bezpečnostní moduly
Chraňte používaná data pomocí důvěrných počítačů
Začínáme se suverénními cloudovými řešeními Oracle
Podobné příspěvky

Každý rok jsme svědky exponenciálního růstu množství dat generovaných po celém světě. Jsme také svědky toho, jak organizace a jednotlivci začínají klást další otázky o tom, kam všechna tato data jdou a jak se používají. Termín „datová suverenita“ se posunul dál, než aby o něm jen diskutovali odborníci na ochranu soukromí, a nyní jej lze pravidelně vidět, jak se pravidelně dostává do titulků hlavních zpravodajských kanálů. Datová suverenita však může být složitá a různorodá a často zanechává lidem více otázek než odpovědí.

Namísto toho, abychom se dívali na datovou suverenitu jako na výsledek, napsali jsme tuto sérii, abychom prozkoumali různé komponenty, které mohou organizace použít k vybudování suverénní cloudové strategie, včetně umístění, izolace sfér, správy přístupu a personálních požadavků.

Dříve jsme hovořili o tom, jak může správa přístupu ke cloudovým zdrojům a datům spolu s dalšími bezpečnostními opatřeními pomoci zabránit neoprávněnému přístupu, shromažďování, používání nebo zveřejňování dat. V tomto příspěvku se podíváme na způsoby, jak můžete implementovat více vrstev zabezpečení k ochraně citlivých dat, posílení vaší pozice zabezpečení a budování důvěry u vašich koncových zákazníků.

Vylepšete zabezpečení svých dat pomocí trezorů a hardwarových bezpečnostních modulů

Kryptografická řešení můžete použít k zachování důvěrnosti, integrity, dostupnosti a řízení přístupu k vašim datům. Podívejme se blíže na správu kryptografických klíčů a tajemství pomocí trezorů a hardwarových bezpečnostních modulů (HSM).

Trezory

Trezory jsou logické entity, které vytvářejí a bezpečně ukládají klíče a tajemství, jako jsou hesla, certifikáty, klíče SSH nebo ověřovací tokeny. Služba správy klíčů společnosti Oracle, Oracle Cloud Infrastructure (OCI) Vault , v současné době nabízí dva typy trezorů, které vyhovují potřebám a rozpočtu vaší organizace. Typ úložiště, který vyberete, určuje funkce a funkce, jako je stupeň izolace úložiště klíčů, přístup ke správě a šifrování, škálovatelnost, zálohování a ceny. Obě možnosti ukládají vaše klíče na HSM, ale můžete použít buď vyhrazený oddíl nebo oddíl HSM pro více nájemců.

Ve vyhrazeném oddílu máte virtuální soukromé trezory, které nabízejí větší izolaci, zálohování a obnovu a replikaci mezi regiony. Virtuální soukromé trezory obsahují ve výchozím nastavení 1 000 verzí klíčů. Pokud nevyžadujete tento stupeň izolace nebo možnost zálohovat vault, nepotřebujete virtuální soukromý vault. Bez virtuálního privátního trezoru můžete pomoci řídit náklady tím, že budete platit za klíčové verze jednotlivě, jak je potřebujete.

Bez ohledu na to, kterou možnost si vyberete, OCI Vault je navržen tak, aby zachoval bezpečnost a integritu šifrovacích klíčů a tajemství uložených v úložišti.

Hardwarové bezpečnostní moduly

HSM je navrženo tak, aby poskytovalo vyhrazené kryptografické funkce, včetně generování klíčů, ukládání klíčů a digitálního podepisování, na individuální bázi jejich hostitelským aplikacím. HSM jsou specializovaný hardware, ke kterému je obtížnější přístup než k normální paměti serveru, což z nich dělá součást tradičního návrhu osvědčených postupů v oblasti zabezpečení. OCI Vault používá HSM, které splňují certifikaci zabezpečení Federal Information Processing Standards (FIPS) 140-2 Security Level 3. Tato certifikace znamená, že hardware HSM je evidentní, má fyzické zabezpečení proti neoprávněné manipulaci, vyžaduje ověření na základě identity a vymaže klíče ze zařízení, když detekuje manipulaci.

OCI Vault může používat HSM ke generování a ukládání kořene důvěryhodnosti (RoT), který chrání šifrovací klíče používané OCI Vault k ochraně klíčů a pověření uživatelů. Při použití služby OCI Vault s HSM lze číst klíče a pověření, pokud je k dispozici RoT uložený v HSM. Protože HSM jsou navrženy tak, aby bylo obtížné extrahovat RoT, tento systém výrazně snižuje riziko kompromitace uživatelských klíčů a pověření.

Grafika znázorňující architekturu pro OCI Vault zobrazující typy klíčů.

Jedna věc, kterou mají globální zákony na ochranu dat společnou, je, že vyžadují přijetí vhodných bezpečnostních opatření k ochraně osobních údajů a potažmo i citlivých osobních údajů. Pomocí důvěryhodných kryptografických řešení, jako je OCI Vault a HSM, mohou organizace omezit riziko neoprávněného přenosu, použití nebo přístupu k datům, která ukládají do OCI. Podívejme se na některé způsoby, jak mohou tyto cloudové služby zlepšit vaši pozici v zabezpečení cloudu a naopak pomoci posílit vaši strategii suverenity dat.

Zabezpečená správa klíčů: OCI Vault poskytuje centralizovaný a bezpečný přístup ke správě klíčů. Klíče jsou klíčovými součástmi kryptografických systémů a jejich ochrana je zásadní pro zajištění důvěrnosti, integrity a dostupnosti dat. OCI Vault a HSM mohou organizacím pomoci generovat, ukládat, chránit a spravovat kryptografické klíče během jejich životního cyklu, včetně generování, distribuce, rotace, odvolání a zničení klíčů. Zákazníci navíc mohou k šifrování svých dat používat své vlastní bezpečnostní klíče hostované na HSM.
Shoda a regulační požadavky: Mnoho průmyslových odvětví a jurisdikcí má specifické požadavky na shodu a regulační požadavky na ochranu osobních a citlivých dat. Řešení OCI Vault a HSM umožňují organizacím splnit tyto požadavky tím, že poskytují robustní rámec pro šifrování a správu klíčů. Rámce shody , jako je standard zabezpečení dat v odvětví platebních karet (PCI DSS) a pokyny vydané v rámci obecného nařízení o ochraně osobních údajů (GDPR), vyžadují použití postupů bezpečné správy klíčů.
Integrita dat: OCI Vault a HSM hrají klíčovou roli při zajišťování důvěrnosti a integrity dat. Bezpečnou správou kryptografických klíčů mohou organizace šifrovat citlivé informace a chránit je před neoprávněným přístupem nebo manipulací. OCI Vault může pomoci prosadit silné postupy šifrování a umožnit organizacím udržet si kontrolu nad svými daty, i když jsou uložena nebo zpracována službami třetích stran nebo poskytovateli cloudu.
Vylepšené zabezpečení aplikací a systémů: OCI Vault a HSM nabízí vyšší úroveň zabezpečení pro aplikace a systémy, které vyžadují kryptografické operace. Díky migraci správy klíčů a kryptografických operací na vyhrazený hardware nebo zabezpečené služby mohou organizace těžit z robustních bezpečnostních funkcí poskytovaných OCI Vault, včetně ochrany proti útokům, jako je krádež klíčů, manipulace nebo neoprávněné použití.
Ochrana proti vnitřním hrozbám: OCI Vault a HSM mohou pomoci zmírnit rizika spojená s vnitřními hrozbami. Při správné kontrole přístupu a oddělení povinností mohou organizace omezit vystavení kryptografických klíčů pouze oprávněným pracovníkům. OCI Vault a HSM poskytují protokoly auditu a možnosti monitorování, což organizacím umožňuje sledovat a odhalovat jakékoli neoprávněné nebo podezřelé aktivity související se správou klíčů.
Důvěra a jistota: Využití OCI Vault a HSM může zvýšit důvěru a jistotu v zabezpečení kryptografických operací organizace. Přijetím standardních průmyslových postupů a technologií prokazují organizace svůj závazek chránit citlivé informace. Tento aspekt může být zvláště důležitý pro podniky, které zpracovávají citlivá zákaznická data, protože pomáhá budovat důvěru u zákazníků, partnerů a zainteresovaných stran.

OCI Vault a HSM jsou dostupné ve všech modelech distribuovaného cloudového nasazení OCI a poskytují centralizovanou správu šifrování zákaznických dat pomocí klíčů, které ovládáte.

Chraňte používaná data pomocí důvěrných počítačů

Další kritickou součástí moderní strategie datové suverenity je zabezpečení aktivního přístupu k datům a jejich zpracování. Díky důvěrným počítačům mohou zákazníci zajistit, že data zůstanou šifrovaná, a to nejen v klidu a při přenosu, ale také při používání. Confidential computing šifruje a izoluje používaná data a aplikace zpracovávající tato data na hardwarové úrovni.

Důvěrná instance je výpočetní virtuální stroj (VM) nebo instance holého kovu, kde jsou data i aplikace zpracovávající data zašifrována a izolována, zatímco aplikace data zpracovává, čímž se zabrání neoprávněnému přístupu nebo úpravě dat nebo aplikace. V současné době OCI nabízí důvěrné výpočty na holém kovu a virtuálních počítačích, které používají procesory AMD EPYC.

Důvěrné výpočty mají pro organizace několik výhod, které je třeba vzít v úvahu, když se rozhodují, jak rozšířit svou pozici zabezpečení tak, aby zahrnovala důvěrné výpočetní virtuální počítače nebo servery na bázi kovu. Poskytováním zabezpečení prostřednictvím základních vrstev hardwaru minimalizuje důvěrná výpočetní technika seznam důvěryhodných stran, včetně OS, ekosystémových partnerů a správců, čímž se snižuje riziko vystavení dat. Tím, že poskytuje menší útočnou plochu a větší bezpečnost používaných dat prostřednictvím zpřísněného hardwarového kořene důvěry, chrání před některými typy zranitelností, jako jsou vnitřní hrozby a kompromitace firmwaru.

Důvěrná práce s počítačem má tyto hlavní výhody:

Vylepšená izolace pomocí šifrování v reálném čase
Data a aplikace jsou šifrovány pomocí klíče jedinečného pro virtuální počítač, který není přístupný z žádné aplikace, virtuálního počítače nebo instance, hypervizoru nebo OCI.
Pro povolení důvěrných virtuálních počítačů není vyžadována žádná změna aplikace
Chrání data v provozu s minimálním dopadem na výkon aplikací
Kromě cen instance OCI Compute můžete implementovat bez dalších nákladů

Ve vysoce regulovaných odvětvích, jako je finance, zdravotnictví a obrana, je ochrana dat během celého jejich životního cyklu zásadní. Použití důvěrné výpočetní techniky k šifrování a izolaci dat používaných v instancích OCI Compute může pomoci splnit a udržovat soulad s předpisy a podporovat suverénní cloudové strategie.

Začínáme se suverénními cloudovými řešeními Oracle

Mít správné nástroje k zabezpečení vašich dat – ať už jsou v klidu, na cestách nebo při používání – je pro úspěšnou suverénní cloudovou strategii zásadní. S OCI mají zákazníci přístup k nejnovějším kryptografickým řešením na hardwarové i softwarové úrovni. Na rozdíl od některých jiných poskytovatelů cloudu nejsou tyto nabídky omezeny na konkrétní oblasti nebo modely nasazení. Ať už spouštíte pracovní zátěž v jedné z veřejných cloudových oblastí OCI, vyhrazené oblasti OCI nebo v jiném cloudovém nasazení OCI, získáte přístup k více než 100 službám OCI.

Možnosti distribuovaného cloudu OCI jsou navrženy tak, aby vám poskytly kontrolu nad tím, kde se vaše data nacházejí, jak jsou zabezpečena a kdo k nim má přístup. Na základě těchto informací aktivně vyvíjíme nová a intuitivní řešení v tomto prostoru. Ačkoli řešení pro správu klíčů, o kterých se hovoří v tomto příspěvku, splní požadavky většiny zákazníků na suverenitu dat, některé organizace chtějí mít své šifrovací klíče oddělené od jakéhokoli poskytovatele cloudu. V našem dalším příspěvku pokračujeme v tématu kryptografie tím, že se podíváme na zcela nové řešení správy klíčů.

Máte-li jakékoli dotazy týkající se vaultů, HSM nebo důvěrných výpočtů nebo se chcete dozvědět více o suverénních cloudových řešeních Oracle, kontaktujte nás.

Zdroj: Oracle

Zabezpečte svá data pomocí vylepšených kryptografických řešení

Vylepšete zabezpečení svých dat pomocí trezorů a hardwarových bezpečnostních modulů

Trezory

Hardwarové bezpečnostní moduly

Chraňte používaná data pomocí důvěrných počítačů

Začínáme se suverénními cloudovými řešeními Oracle

Sdílejte tento článek, vyberte si platformu!

Podobné příspěvky

Co je zabezpečení databáze: 13 nejlepších osvědčených postupů

Povolení spolupráce vývojářů s požadavky na stažení v úložištích kódu OCI DevOps

Nejlepší průvodce doporučenými postupy pro hesla: Ochrana vaší digitální identity

Odemkněte lidský potenciál a proměňte své podnikání pomocí OpenText™ Aviator

Čistší, uhlazenější, rychlejší: Nová platforma Citrix