Security Think Tank: Şifrelemek ya da şifrelememek, işte bütün mesele bu


Şifrelemek ya da şifrelememek işte bütün mesele bu.

Elbette, hareket halindeki verileri, özellikle de internet gibi üçüncü taraf bir ağ veya bulut hizmet sağlayıcılarının (CSP’lerin) ekipmanlarını yerleştirdiği veri ambarları tarafından işletilen ağlar üzerinden taşınacağı durumlarda şifrelemelisiniz.

Uzaktan çalışma ve BT’nin, hizmetlerinizin çok kiracılı bir ortamda çalıştırılacağı buluta taşınması göz önüne alındığında, kullanıcılar ve sistemler arasında olduğu kadar sistemler arasında da veri akışını şifrelemeye ciddi şekilde bakıyor olmalısınız.

Bunun bir örneği, Outlook gibi bir e-posta uygulaması ile Microsoft Exchange gibi bir e-posta sunucusu arasındaki veri akışını şifrelemektir. Bu, kurulum menüleri aracılığıyla kolayca yapılabilir ve ana iletişim kanalının kendisi şifrelenmiş olsa bile yapılmalıdır.

Sistemler arasında şifreleme önerilir, ancak nelerin mevcut olduğunu görmek için uygulamaları tek tek incelemeniz gerekir; ancak burada Microsoft sunucuları, Sunucu İleti Bloğu (SMB) şifreleme özelliğini kullanarak uçtan uca şifreleme yapabilir.

Hem dahili hem de harici olarak bakan web siteleri varsayılan olarak HTTPS kullanıyor olmalı ve sistemlere servis ve bakım erişimi de şifrelenmelidir (SSH, HTTPS, özel), ancak verilerin işlenmeden önce açık (şifresi çözülmüş) olması gerektiğini unutmayın; uygulamaların şifrelenmiş verileri ekonomik bir şekilde doğrudan işleyebilmesine birkaç yıl kaldı.

Bu arada, atıl durumdaki verilerin de şifrelenmesi gerekir ve çoğu veritabanı sistemi, alanlar veya kayıtlar arasında seçilebilen şifreleme sunar. Bazı dosya sistemleri (hem donanım hem de yazılım tabanlı) şifreleme sunabilir; bunun örnekleri Windows 10 ve sonraki sürümlerde (ve Server 2008 ve sonraki sürümlerde) Microsoft BitLocker’dır, ancak Windows 11 için TPM 2.0 (Güvenilir Platform Modülü) desteğine ihtiyaç vardır.

Microsoft Server 2016 için TPM bir gereklilik değildir ancak önerilir; ancak Host Guardian hizmetleri gerekiyorsa TPM 2.0 kesin bir gerekliliktir.

Diğer şifreleme dosya sistemleri arasında macOS 10.3 ve sonraki sürümlerde APFS; Linux çekirdeği 4.1 ve Yeni Depolama Hizmetlerinde Ext4. Daha fazla örnek için Wikipedia’ya bakın.

Kullanımda olmayan verilerin şifrelenmesi, verilerin korunması söz konusu olduğunda her derde deva veya sihirli çözüm değildir. Örneğin, bir fidye yazılımı çetesi veri deponuza eriştiğinde sizi korumaz, şifrelenmiş verilerinizi oldukça mutlu bir şekilde şifreler! Bu kadar iyi tasarlanmış ve tasarlanmış bir altyapının, güvenlik yapılandırmalarına dikkatli bir şekilde dikkat edilmesi bir zorunluluktur! En az ayrıcalığı uygulamaya koyun ve yöneticileriniz veya yönetim kurulu şikayette bulunursa CISO’lara, dosya erişimini mutlak bir iş ihtiyacına göre sınırlamamanın risklerini anladıklarını ve bu nedenle işlerin ters gitmesi durumunda tamamen sorumlu olduklarını belirten resmi bir beyanname imzalamalarını sağlayın. .

En iyi şifreleme standartları nelerdir?

Şifreleme ihtiyacından ve nerede olduğundan bahsettik, ancak hangi standartlara ulaşmayı hedeflemeliyiz? Tavsiyelerim şunlardır:

  • AES 192 bit şifreleme algoritması, ancak yüksek güvenlikli sistemler için 256 bit’e bakılabilir (burada maliyet ve risk tartışması var).
  • AES anahtar değişim süreçlerini (paylaşılan simetrik anahtar) korumak için genel anahtar şifreleme sistemlerinin fazla kullanıldığı durumlarda, 4096 bit-RSA’nın mevcut ve performans üzerinde küçük bir ek etkiyle kullanılabilir olmasına rağmen 2048 bit RSA’ya bakmalıyız. Şu anda mevcut CPU gücü göz önüne alındığında bu küçük performans düşüşünün fark edilip edilmeyeceği tartışmalıdır ve 4096 bit RSA kullanmak bir miktar ek rahatlık sağlayacaktır. Yine, bu bir risk ve maliyet analizidir.

Kullanımda olmayan verilerin yalnızca dosya ve veritabanı sunucularındaki verileri içermediğini, aynı zamanda e-posta sistemlerini ve kişilerin bilgisayarlarını, dizüstü bilgisayarlarını, akıllı telefonlarını ve USB cihazlarını da içerdiğini unutmayın. Ve hareket halindeki veriler yalnızca sistemler veya sistemler ile kullanıcı cihazları arasında dolaşmakla kalmıyor, aynı zamanda yazıcılara ve yedekleme sistemlerine de gönderiliyor. Ne yaparsanız yapın onları unutmayın. Unuttuğun arka kapı olabilirler!



Source link