云数据库加密及实践建议 【百科全说】-凯发k8官方旗舰厅

腾讯视频/爱奇艺/优酷/外卖 充值4折起

  云数据库加密

  一件事需要考虑加密数据的必要性。所有的数据库都具有限制访问的功能。某些合适的实现已经足以保护数据机密性。

  其他需要通过加密来保护存储在数据库中的数据的因素有:对数据库的特权用户(如数据库管理员)隐藏数据;为了遵守法律法规,数据拥有者不能通过帐户来控制对数据的访问(如使用共享账户)。

  当使用云数据库,特别是用到了数据库的saas凯发app官网登录的解决方案时,数据库的正常功能将会降低,迫使数据库或云应用能访问密钥,除非能在密文上操作。

  数据加密会带来复杂度和性能上的成本。除了加密之外,还有一些别的有效方法:

  • 使用对象安全。使用sql准许及废除声明去约束账户访问这些数据。这些账户中哪些准许访问的必须严格控制,以确保只有授权的用户才能访问。

  • 存储安全哈希值。存储这些数据的哈希值而不是直接存储这些数据,这能允许企业的程序能证明持有者有正确的值而不必实际存储它。

  密钥管理

  在公有云计算中一个很困难的过程就是密钥管理,公有云中的多租户模型造成其上运行的过程需要考虑密钥管理问题。

  最简单的应用案例是在公有云中有应用程序运行,加密数据的从企业内部流到公有云中,密钥仅供企业内部使用。有的加密引擎能够在数据流出时加密,在数据流入时解密。当公有云上的其他处理过程(例如批处理)需要访问密钥去解密数据时,一个使用密钥的应用程序将变得复杂。

  企业中使用者需要拥有他们自己的密钥,而不是一个能用于访问整个企业的单独的共享密钥。最简单的解决方法是采用一个加密引擎,基于实体身份信息为每一个用户或实体分配(或管理)一个密钥。以这种方式,为一个实体特别加密的任何信息将为那一实体所维护。如果一个群体内的实体需要共享数据,那么可以为管理群体访问的应用程序分配一个群体级别密钥,并在群体内的实体间共享密钥。密钥在企业内部应该像这一部分前面讨论的那样进行管理。

  当数据存储在公有云环境中,在停用这一环境时,证明所有数据(尤其是pii或spi数据或隶属于法律法规的数据)已经从公有云环境中删去,包括其他媒体如复制盘等,将存在着问题;维护当地密钥管理能够从密钥管理系统中废除(或删除或丢失)密钥,以确保任何数据残留在公有云的数据不能被解密,来提供这一保证。

  如果云服务提供商和用户没有一个有效的密钥管理过程,加密数据就没有多大价值。 在服务提供方,需要关注的因素包括:服务器拥有加密的数据,同时访问密钥服务器缺少职责划分;数据库管理员能访问个人密钥;或数据库服务架构依赖于单一密钥。

  使用密钥加密密钥,在内存中产生加密密钥,以及只存储密钥服务器的加密密钥,都是能控制和保护密钥本身的有效的架构凯发app官网登录的解决方案。构建任何凯发app官网登录的解决方案时都应该考虑这些。 客户端密钥管理,在本身并不安全的设备(如移动终端)上保护密钥,或者这一设备没有得到同等级别的控制,都是需要考虑的因素。

  实践中的具体建议

  在企业应用的具体实践中,可以遵循如下一些有益的建议:

  • 当使用任何形式的加密或解密产品时,应用最好的密钥管理措施;

  • 如有可能,应该使用可信源中现成的技术,以得到最佳实践;

  • 使用最好的密钥管理实践,获取技术和产品用于加密、解密、签署,并从可信源中核实;

  • 尤其建议组织要维护他们自己的密钥或使用已经运营这种服务的可信密码服务;

  • 如果一个组织需要使用存在云中的数据运行分析或其他的处理,这个组织应该基于一个平台如hadoop开发,从云中的数据源中导出数据;

  • 密钥的管辖范围能在个人或集体级别维护;

  • 集体访问的管理可以使用现成的技术,如drm系统,或者其他运行在桌面或笔记本上,用以加密硬盘、文件和email消息的软件;

  • 为了维护最好的实践措施和通过审计,企业应该自己管理他们的密钥,或者使用来自于加密软件提供商那里的可信服务;

  • 现有加密技术中使用的密钥如drm和硬盘加密产品应该在企业内部,使用密钥存储技术来集中管理;硬件安全调制应该用于存储密钥,以及处理加密操作如加解密、签名和修改等;

  • 企业使用者应该通过注册步骤去启用企业中的加密操作和其他处理,如能根据需要来访问加/解密钥的内容感知或保格式加密系统;

  • 基于身份认证的所有组件,将技术部署整合进公司系统,在处理流程中做授权决定使用捆绑加密操作来管理加解密过程的密钥;

  • 如有可能,使用现有的系统如e-drm或数据防泄露(dlp);

  • 将加密操作和密钥管理捆绑到公司的身份认证系统上,为组织提供最大灵活度的整合,以及使用组织已经了解、审计过的或检验过的技术。

  另外,对于云数据库的加密,可以参考如下实践建议:

  • 使用标准算法。不要使用专用的不规范的技术,专用加密算法没有被证明且容易被攻破;

  • 避免使用旧的不安全的加密标准如数据加密标准(des);

  • 使用对象安全。即使在加密的情况下,也应该坚持使用基本对象安全(sql准许及废除声明)去阻止对数据的访问;

  • 不要加密主键或者索引列。如果加密主键,将必须加密所有的参考外部键。如果企业加密索引列,当企业曾是使用加密数值时,查询数据将会很慢;

  • 使用柱状的方法去加密(因为大数据系统使用这种方式)。

08/23 12:02
微云是腾讯公司为用户精心打造的一项智能云服务, 您可以通过微云方便地在手机和电脑之间,同步文件.推送照片和传输数据,进行文件资源共享.那么,腾讯微云如何分享链接?接下来小编就把腾讯微云分享文件链接的方法分享给大家,一起来看看吧. 腾讯微云分享链接的方法: 一.不加密分享 1.打开腾讯微云客户端,然后找到我们想要分享的文件或者文件夹,接着用鼠标右键点击它,在弹出的选项中点击“分享”: 2.分享成功后它会给我们一个链接,将该链接分享给其他人,其他人通过这个链接就可以下载我们分享的文件了: 二.加密分
07/16 07:44
百度云管家怎么分享加密文件?其实加密文件分享方法很简单哦,只要登录百度云管家的账号然后进入我的网盘里,选择需要分享的加密文件鼠标右键点击选择分享然后复制分享链接和密码就可以了哦,下面就和小编一起来看看吧. 百度云管家加密文件分享方法: 在百度云管家里登录你的百度账号,然后点击我的网盘. 选中需要分享的加密文件,然后右击选择分享. 在分享文件页面中可以看到私密分享,点击私密分享. 这个时候就会创建好分享链接和密码了,把链接和密码复制出来. 最后把链接和密码发送给需要分享的人,输入提取密码就可以读取
06/12 05:54
常见问题 1360云盘可以做什么? 无需u盘,360云盘可以让您的照片,文档、音乐、视频、软件、应用等各种内容,随时随地触手可及,永不丢失。 2如何申请使用360云盘? 360云盘目前为beta版公测阶段,每天限量发放体验资格。使用360账号登录网站即可申请体验资格,申请成功后,即可登录体验使用360云盘。 3360云盘与其它传统网盘有什么区别? 传统网盘大多只提供上传下载功能。360云盘除了提供最基本的文件上传下载服务外,还提供文件实时同步功能,您只需将文件放到360云盘目录,360云盘程序将
04/14 16:24
序:加密技术的由来 不要看到“加密技术”这四个字,就认为它一定就是什么高科技的东西。实际上,加密技术很早以前就出现了,具体有多早呢? 追溯到公元前2000年,当时人们的思想中还没有“加密”这个概念,但是人们的行为却不断地进行“加密”的实践,例如当时的古埃及人最先使用一种非常特别的象形文字作为信息记录的方式,后来古巴比伦、美索不达米亚(两河流域)地区和古希腊也出现了一些特殊的方法来保护他们的书面信息,这一时期最出名的代表就是“凯撒密码”。到了近代,两次世界大战的爆发,让加密技术有了质的
06/17 02:27
什么是cloud engine cloud engine(云引擎,简称ce),是阿里云历经多年研发,于今年7月推出的一款基于弹性计算平台的web应用运行环境,能够提供应用的线性伸缩、动态扩容以及多种相关服务。 cloud engine借鉴并吸纳google、amazon、rackspace等国外知名公司的公有云计算的成功技术经验,结合阿里云多年的技术研发沉淀,保证了该平台的高效和稳定。目前支持php和nodejs两种开发语言,后续会支持更多的开发语言。围绕这个平台,我们也提供了ses
06/20 01:25
注意如果部署不成功,请换个浏览器试试,我的就是从火狐换成360成功的。 一、首先打开京东云擎网址(http://jae.jd.com/),如果有账号则直接登录,没有就注册一个(ps:京东商城账号是可以直接登录的哦)。 二、进入控制台申请开通jae服务,按照步骤填写开通。 三、开通成功后,进如控制台。点击云数据库>>新建数据库>>选择数据库类型(wordpress是mysql数据库),然后点击创建按钮 四、接下来切换到应用引擎>>新建应用>>选择ph
07/30 03:08
通过雅虎邮箱页面只能绑定一个云邮箱帐号,建议您先将其中一个雅虎邮箱绑定一个云帐号后,另外一个雅虎邮箱通过pop的方式,将邮件代收到您云邮箱。 代收方法: 登录阿里云邮箱后,点击页面右上方“邮箱设置”; 在所出现的邮箱设置页面选择“其他邮箱” 点击“新建其他邮箱账号”,并输入完整的雅虎邮箱地址和密码,页面会自动跳出相应邮箱的“接收邮件服务器地址”和“端口”,只需点击“提交”即可 备注:请一定要勾选“原邮箱中保留邮件备份”这项。 1)@yahoo.com.cn的服务器地址和端口: pop.mail.
09/13 11:52
对于计算机专业或者是从事计算机行业的人来说,在购买计算机操作系统的时候,一方面是考虑操作系统的性价比,一方面要考虑在操作系统中是否能够顺利的运行数据库等一些高端的计算机程序以及软件.win7家庭版操作系统可以说win7系统中版本最低的一款操作系统了,但是在win7家庭版操作系统中,却可以运行大型的mysql数据库,而且对于计算机的基本运行不会产生任何的影响. mysql数据库是数据库种类中的一种,虽然相比较sql server数据库来说,mysql数据库的功效不是很全面,但是musql却是在生活
10/24 09:13
windows上的bitlocker驱动器可以给一些文件资料进行加密,下面来看看如何利用bitlocker驱动器给u盘加密.具体如下:1.右键点击要加密的u盘,然后点击"启用bitlocker":2.在打开的窗口中,勾选"使用密码解锁驱动器",按照下面设置密码的提示,设置密码并二次输入确认:3.在打开的"希望如何备份恢复密钥"的询问中,选择一个备份密码的方式以防忘记,一般选择保存到文件就可以:4.将备份文件保存到一个记得住的位置,然后点击下一步:
网站地图