مركز الفكر الأمني: تشفير أو عدم تشفير، هذا هو السؤال
ل تشفير أو عدم تشفير، هذا هو السؤال.
حسنًا، يجب عليك بالطبع التشفير البيانات في الحركة لا سيما عندما يتم نقلها عبر شبكة خارجية مثل الإنترنت أو الشبكات التي تديرها مستودعات البيانات حيث يحدد مقدمو الخدمات السحابية (CSPs) أجهزتهم.
نظرا للعمل عن بعد ونقل تكنولوجيا المعلومات إلى السحابة، حيث سيتم تشغيل خدماتك في بيئة متعددة المستأجرين، يجب أن تنظر بجدية إلى تشفير البيانات المتدفقة بين الأنظمة وكذلك بين المستخدمين والأنظمة.
أحد الأمثلة على ذلك هو تشفير تدفق البيانات بين تطبيق بريد إلكتروني مثل Outlook وخادم البريد الإلكتروني مثل Microsoft Exchange. ويتم ذلك بسهولة عبر قوائم الإعداد ويجب أن يتم ذلك حتى لو كانت قناة الاتصال الرئيسية نفسها مشفرة.
يوصى بالتشفير بين الأنظمة على الرغم من أنك ستحتاج إلى مراجعة التطبيقات الفردية لمعرفة ما هو متاح، ومع ذلك، يمكن لخوادم Microsoft التشفير من النهاية إلى النهاية باستخدام كتلة رسالة الخادم خاصية التشفير (SMB).
يجب استخدام مواقع الويب التي تواجه داخليًا وخارجيًا HTTPS بشكل افتراضي، ويجب أيضًا تشفير الوصول إلى الخدمة والصيانة للأنظمة (سش، HTTPS، الملكية) تذكر أنه على الرغم من أن البيانات يجب أن تكون واضحة (مفككة) قبل أن تتم معالجتها، إلا أننا على بعد سنوات قليلة من قدرة التطبيقات على معالجة البيانات المشفرة مباشرة بطريقة اقتصادية.
وفي الوقت نفسه، يجب أيضًا تشفير البيانات غير النشطة، وتوفر معظم أنظمة قواعد البيانات تشفيرًا يمكن اختياره بين الحقول أو السجلات. يمكن لبعض أنظمة الملفات (المعتمدة على الأجهزة والبرامج) توفير التشفير، ومن الأمثلة على ذلك Microsoft بيتلوكر على نظام التشغيل Windows 10 والإصدارات الأحدث (وServer 2008 والإصدارات الأحدث) على الرغم من أن نظام التشغيل Windows 11 يتطلب وجود TPM 2.0 (وحدة النظام الأساسي الموثوق بها) يدعم.
بالنسبة لـ Microsoft Server 2016، لا يعد TPM متطلبًا ولكن يوصى به، ومع ذلك، إذا كانت خدمات Host Guardian مطلوبة، فإن TPM 2.0 يعد متطلبًا محددًا.
تتضمن أنظمة الملفات المشفرة الأخرى APFS على نظام التشغيل macOS 10.3 والإصدارات الأحدث؛ Ext4 على Linux kernel 4.1 وخدمات تخزين Novel. راجع ويكيبيديا لمزيد من الأمثلة.
لا يعد تشفير البيانات الخاملة حلاً سحريًا أو حلًا سحريًا فيما يتعلق بحماية البيانات. لن يحميك على سبيل المثال إذا قامت عصابة من برامج الفدية بالوصول إلى مخزن البيانات الخاص بك، بل ستقوم بتشفير بياناتك المشفرة بكل سرور! على هذا النحو، فإن البنية التحتية جيدة التصميم والهندسة مع الاهتمام الدقيق بتكوينات الأمان في جميع الأنحاء أمر لا بد منه! ضع أقل امتياز موضع التنفيذ، ومديري أمن المعلومات، إذا اشتكى المديرون أو مجلس الإدارة، فاطلب منهم التوقيع على إقرار رسمي بأنهم يفهمون مخاطر عدم تقييد الوصول إلى الملفات وفقًا لاحتياجات العمل المطلقة، وبالتالي فإنهم يتحملون المسؤولية الكاملة في حالة حدوث خطأ.
ما هي أفضل معايير التشفير؟
لقد تحدثنا عن الحاجة إلى التشفير وأين، ولكن ما هي المعايير التي يجب أن نطمح إليها؟ توصياتي هي:
- الخدمات المعمارية والهندسية خوارزمية تشفير 192 بت، على الرغم من إمكانية النظر إلى 256 بت في أنظمة الأمان العالية (هناك مناقشة حول التكلفة مقابل المخاطر هنا).
- حيث يتم استخدام أنظمة تشفير المفتاح العام أيضًا لحماية عمليات تبادل مفاتيح AES (مفتاح متماثل مشترك)، فيجب أن ننظر إلى 2048 بت آر إس إيه على الرغم من توفر 4096 بت RSA وقابل للاستخدام مع تأثير إضافي صغير على الأداء. ما إذا كان هذا الأداء الصغير سيكون ملحوظًا نظرًا لقوة وحدة المعالجة المركزية المتاحة حاليًا هو أمر قابل للنقاش واستخدام 4096 بت RSA سيوفر بعض الراحة الإضافية. مرة أخرى، إنه تحليل المخاطر مقابل التكلفة.
تذكر أن البيانات غير النشطة لا تشمل فقط البيانات الموجودة على خوادم الملفات وقواعد البيانات، بل تشمل أنظمة البريد الإلكتروني وأجهزة الكمبيوتر الشخصية وأجهزة الكمبيوتر المحمولة والهواتف الذكية وأجهزة USB. ولا تنتقل البيانات المتحركة بين الأنظمة أو الأنظمة وأجهزة المستخدم فحسب، بل يتم إرسالها أيضًا إلى الطابعات وأنظمة النسخ الاحتياطي. فلا تنساهم مهما فعلت من الممكن أن يكونوا الباب الخلفي الذي نسيته!