Şirketlerin şifrelemeyle ilgili bir sorunu var: Birçok işletme hassas verileri usulüne uygun olarak şifrelese de, bir anahtar yönetimi altyapısını dağıtmak ve yönetmek için standart bir strateji yoktur.
Home Depot’un kriptografik hizmetlerden sorumlu baş mühendisi Karen Reinhardt, geçen hafta San Francisco’daki RSA Konferansı’nda katılımcılara, her kuruluşun kendi işlerine uygun bir anahtar yönetim politikası tasarlamak için çok sayıda karar vermesi gerektiğini söyledi. “Tek beden herkese olmaz.”
Bazı bulut tabanlı girişimler, şifreleme anahtarlarının tamamını olmasa da çoğunu bulutta yönetebilirken, eski teknolojiye sahip büyük kuruluşların büyük olasılıkla yerel olarak barındırılan bir sisteme ve hibrit altyapıya ihtiyacı vardır. Geliştiriciler gibi bazı gruplar kendi altyapılarını yönetebilirken, genel çalışanlar anahtarlarının kendileri için yönetilmesine ihtiyaç duyabilir. Son olarak, her şirketin aşağıdaki hususları dikkate alması gerekir: kuantum sonrası gelecekdedi Reinhardt.
Şifreleme, verileri ve sistemleri güvence altına almak için gerekli bir teknolojidir, ancak veri güvenliğinde yalnızca verileri şifrelemekten daha fazlası vardır. Belki de herhangi bir şifreleme altyapısının en karmaşık kısmı, verilerin şifresini çözmek için gereken anahtarları yönetmektir. Saldırganların anahtarlara erişimi varsa, şifrelenmiş verilere de erişimleri vardır; anahtarlara erişimi kaybeden savunucular verilere erişimi de kaybeder.
Reinhardt, kurumsal güvenlik ekiplerinin “herkesin kendi güvenlik önlemlerini almasını engellemek” için dikkate alması gereken beş şeyin ana hatlarını çizdi: paspaslarının altındaki meşhur anahtarBu her zaman gördüğüm bir sorun.”
1. Veri Kullanılabilirliği Şifre Çözmeyi Gerektirir
Şirketler için alınacak ilk ders, şifreleme anahtarlarının kritik olduğu; belki de uygun şifrelemeden daha kritik olduğudur. Reinhardt, verilerin şifresini çözemezseniz kullanılamaz hale geldiğini, dolayısıyla şifre çözme anahtarlarının nerede olduğunu bilmenin, şifreleme anahtarlarının yerini bilmekten çok daha önemli olduğunu söyledi.
Kuruluşların her zaman kontrollü bir şifre çözme anahtarı arşivine sahip olması gerektiğini söyledi.
Reinhardt, “Kimlikle ilgili olan şey, onu her zaman değiştirebilmenizdir; tamam, ehliyetinizi kaybettiniz, size yeni bir tane almama izin verin” dedi. “Fakat bir şeyle şifrelenmiş verileriniz varsa, bunların şifresini yalnızca tek bir şekilde çözebilirsiniz.”
2. ‘Her Şeyi Şifrele’ Buna Değmeyebilir
Güvenlik kontrollerinin uygulanması pahalı olmaya devam ediyor ve şifreleme de bir istisna değil. Reinhardt, şirketlerin “minimum maliyetle optimum güvenliği” bulmak için şifreleme altyapısı oluşturma ve yönetme maliyetini bir ihlalin maliyetine göre ölçmeleri gerektiğini söyledi.
“Şirketinizi iflas ettirirseniz güvenliğin size hiçbir faydası olmaz” dedi. “Daha güçlü kontroller neredeyse her zaman daha fazla paraya eşittir, dolayısıyla [while I’m] Aslında ‘her şeyi şifrelemeye’ karşı değilim, bu çok fazla para, çok fazla işlem ve çok fazla ekstra bellek anlamına geliyor; bu yüzden ben daha çok, gerçekten gizli tutulması gereken şeylere odaklanma taraftarıyım.”
3. Bulut Her Şeyi Değiştirir Ama Size Seçenekler Sunar
Altyapılarının çoğunu bulut hizmetlerine ve platformuna taşıyan şirketler halihazırda veri yayılımını bulutta yerel olarak kontrol etmeye çalışıyor anahtar yönetimi denkleme anahtar yayılımını da eklemek. Şirketlerin yalnızca kritik verilerini (nelerin şifrelenmesi gerektiğini) değil, aynı zamanda her bir bulut hizmetinin anahtarlarını ve diğer sırlarını nasıl yönettiğini ve şirketin kontrolü artırmak için yönetimi merkezileştirip yönetemeyeceğini de değerlendirmeleri gerekir.
“Anahtarlar nerede? Çoğu zaman, bir sistem üzerinde bulunan yerel bir anahtar deposundadırlar ve diğer durumlarda uzaktaki bir mağazada olabilirler” dedi. “Bugünlerde herhangi bir yerde olabilirler; şirket içinde, bulutta, [hosted by] bir satıcıda veya kendi yönetilen bulutunuzda.”
4. Eski Entegrasyon Baş Ağrısı Olarak Kalmaya Devam Ediyor
Anahtar yönetimine yeni başlayan daha küçük şirketler, yeşil alan anahtar yönetimi oluşturabilir ve altyapılarını basitleştirmek ve verileri üzerindeki kontrolü güçlendirmek için en son teknolojilerden yararlanabilir. Ancak halihazırda çeşitli temel yönetim teknolojilerine sahip olan büyük şirketlerin eski uygulamaları ve veritabanlarını desteklemesi gerekecek.
“Yeşil alan uygulamasına sahip oldukça yeni bir şirketseniz, 100 yıldır var olan bir şirketin entegrasyon gereksinimlerine sahip olmayabilirsiniz” dedi.
Ancak, donanım güvenlik modülleri (önemli veriler ve işlemler için güvenli depolama) gibi bulut tabanlı şifreleme altyapısı, uygulamanın daha basit hale getirilmesine ve eski teknolojiyle entegrasyonun daha kolay hale getirilmesine yardımcı olabilir.
5. Post Quantum, Her Asimetrik Anahtarın Değiştirilmesi Gerektiği anlamına gelir
Son olarak, her şirketin şunları dikkate alması gerekir: kuantum sonrası gelecek ve anahtar altyapılarının kuantum açısından güvenli anahtarlar oluşturabildiğinden emin olun. Gibi kuantum hesaplama teknolojisi ilerlemeler, Açık anahtar şifrelemesinin gelişmesi gerekecek ve daha modern algoritmalar tarafından oluşturulan daha güçlü anahtarları kullanın.
“Post-kuantum, her asimetrik anahtarın değiştirilmesi gerektiği anlamına gelir, dolayısıyla bunların nerede olduğunu bilmeniz gerekir” dedi. “Ve bu, anahtar yönetim sisteminin veya herhangi bir tür merkezi yönetim sisteminin en büyük avantajıdır; anahtarlarınızı bulmayı ve döndürmeyi çok daha kolay hale getirecektir.”