رمزنگاری: امن کردن داده های سازمان

در سال های نه چندان دور امنیت اطلاعات با رویکردی سنتی به معنی قفل کردن داده ها در یک مکان فیزیکی مانند مرکز داده بود. اما با گذشت زمان و تغییراتی که در حوزه های مختلف کسب و کارها اتفاق افتاد، نیاز به دسترسی به اطلاعات بدون محدودیت مکانی و زمانی نیاز اساسی سازمان ها شد. این نیاز باعث شد تا داده های حساس سازمان در سراسر شبکه داخلی، همچنین بر روی شبکه خارج سازمان، دستگاه های همراه، زیرساخت ابری و اینترنت اشیا (IoT) جریان داشته باشند و گاها این داده ها ذخیره و نگهداری شوند. با توجه به این موضوع در حال حاضر و با گسترش تکنولوژی هیا مختلف صرفا تمرکز بر روی امنیت مکان فیزیکی داده ها راه حل کاملی جهت حفاظت اطلاعات نمی باشد.

برای جلوگیری از افشای اطلاعات حساس سازمان توسط افراد غیر مجاز در محیط کسب و کار، اطلاعات سازمان با استفاده از تکنیک های مختلف رمزنگاری و متدهای مختلف احراز هویت امن می شود. رمزنگاری و Mask کردن داده ها دو روش اصلی برای حفاظت از اطلاعات حساس ذخیره شده یا در حال انتقال می باشد. این دو روش بخش مهمی از امنیت نقاط پایانی و امنیت مطلوب هر سازمانی حساب می شود.

در اصل رمزنگاری، فرآیند کدگذاری اطلاعات می باشد که فقط طرفین مجاز به آن دسترسی دازند. با استفاده از رمزنگاری هومو مورفیک، داده های حساس با استفاده از یک الگوریتم رمزنگاری کد گذاری شده و متن رمزنگاری شده فقط می تواند در صورت رمزگشایی خوانده شود.

 

در mask کردن اطلاعات، داده های واقعی برای کاربران غیرمجاز و به دلیل جایگاهشان در سازمان یا مشکوک بودن فعالیت های آنها (هکرها) با داده های “تقلبی” جایگزین می شود. ایجاد پوشش برای داده ها به این روش تضمین می کند که اطلاعات حساس به صورت مبهم و یا به صورت غیر قابل شناسایی در آمده و در صورت دسترسی کاربران غیرمجاز به آنها، این اطلاعات به شکل مبهم در اختیار آنها قرار می گیرد.

با توجه به این که در mask کردن پویای داده ها، می توان داده ها را براساس نقش ها و دسترسی های کاربران تغییر داد. به همین دلیل از این سیستم ها معمولا برای امن کردن سیستم های تراکنشی برخط و بهبود حریم خصوصی و ساختارمندی و نگهداری مناسب از داده ها استفاده می شود.

با mask کردن داده ها، اطلاعات در فرم بومی خود حفظ می شوند و برای رمزگشایی آنها به هیچ کلیدی نیاز نیست. در این تکنیک مجموعه داده های بدست آمده هیچ گونه اشاره ای به اطلاعات اصلی ندارند و فقط داده ها برای مهاجمان غیر قابل استفاده می شود.

نحوه کار سیستم های رمزنگاری

در سیستم های رمزنگاری، داده ها با استفاده از محاسبات ریاضی و الگوریتم های غیر قابل برگشت مخلوط می شوند. در اکثر سیستم های رمزنگاری از یک کلید تولید شده توسط یک الگوریتم برای کدگذاری داده ها استفاده می شود. در این سیستم ها با وجود اینکه رمزگشایی داده ها می تواند بدون داشتن کلید انجام شود، اما اگر سیستم رمزگذاری دارای معماری مناسبی باشد برای رمزگشایی داده ها به منابع محاسباتی قوی و پیشرفته ای نیاز است که در حال حاضر داشتن این منابع عملا غیر ممکن می باشد. در مقابل گیرنده مجاز می تواند به راحتی پیام را با کلیدی که در اختیارش قرار می گیرد، رمزگشایی نماید.

نکته مهم و قابل توجه این است که اگر کلید رمزنگاری از بین برود یا آسیب ببیند، ممکن است داده های رمز شده غیرقابل بازیابی باشند. بنابراین هر سازمانی بایستی قبل از استفاده از تکنیک های رمزنگاری، فرآیندها، روش ها و مکانیزم های مناسبی برای مدیریت کلید ها راه اندازی و استفاده نمایند.

سازمان ها بایستی دقیق مشخص کنند که چگونه سیستم مدیریت کلید می توانند در صورت گم شدن یا ازبین رفتن کلید رمزنگاری از بازیابی داده های رمز شده پشتیبانی نمایند. همچنین در رسانه های قابل جابجایی رمزگذاری شده بایستی این نکته مد نظر قرار گیرد که تغییر کلید رمزنگاری باعث غیر قابل استفاده شدن اطلاعات رمز ذخیره شده می شود.علاوه براین در صورت تغییر کلید رمزنگاری، راه حل هایی برای حفظ کلید های رمزنگاری قبلی برای مواردی که ممکن است به آن ها نیاز شود، مشخص شود.

از روش های رمزگذاری می توان برای رمزگذاری درایوهای ایستگاه های کاری(Endpoints)، سرورها، ایمیل، پایگاه های داده و فایل ها استفاده کرد. اکثرا انتخاب روشی برای رمزگذاری، وابسته به نوع رسانه ذخیره سازی، حجم داده های تحت حفاظت، محیطی که رسانه ذخیره سازی و تهدیدات موجود دارد.

رمزنگاری بر پایه کلید عمومی نمونه ای از رمزنگاری زیرساخت کلید عمومی است که به عنوان رمزنگاری نامتقارن نیز شناخته می شود. امضای دیجیتال یکی دیگر از روش های رمزنگاری کلید عمومی می باشد که در آن پیام با کلید خصوصی فرستنده امضا می شود و می تواند توسط هر کسی که به کلید عمومی فرستنده دسترسی داشته باشد، اعتبارسنجی شده و خوانده شود.

انتخاب راه حل های رمزنگاری

در کل سه نوع راهکار رمزنگاری وجود دارد: رمزگذاری کامل دیسک(HDD)، رمزگذاری Volume\هارد مجازی(VHD) و رمزگذاری فایل\پوشه. هنگام انتخاب نوع رمزنگاری، سازمان ها باید طیف وسیعی از راه حل هایی که می تواند نیازهای امنیتی آنها را پوشش دهند را در کنار راه حل هایی که بیشتر مورد استفاده قرار می گیرند مورد ارزیابی قرار دهند.

مدیریت متمرکز سیاست ها، شفافیت برنامه ها و پایگاه داده، تاخیر کم، قابلیت تعاملی بالا در مدیریت کلید، پشتیبانی از رمزنگاری سخت افزاری، پشتیبانی از قوانین انطباق و قابلیت های نظارتی از جمله ویژگی هایی است که سازمان ها بایستی هنگام انتخاب یک سیستم رمزگذاری در نظر بگیرند.

موقع انتخاب راه حلی برای رمزنگاری فضاهای ذخیره سازی بایستی عوامل متعددی از جمله سیستم عامل های مورد پشتیبانی، داده های تحت حافظت و تهدیداتی که باید توسط راه حل انتخابی مسدود شوند، در نظر گرفته شوند. این عوامل می تواند شامل راه اندازی سرور جدید و نصب نرم افزارهایی در دستگاه های مورد نظر باشند یا می توانند از سرورهای موجود و همچنین نرم افزار پیش فرض در سیستم عامل های دستگاه استفاده نمایند.

رمزنگاری می تواند بسته به نحوه و گستره ی تغییراتی که در زیرساخت و تجهیزات شبکه ایجاد می کند باعث از دست رفتن قابلیت ها موجود یا مسائل دیگری شود. به همین دلیل هنگام ارزیابی راه حل های امنیتی، سازمان ها بایستی نتیجه مربوط به مقایسه قابلیت های از دست رفته و قابلیت های امنیتی بدست آمده را مد نظر قرار داده و با توجه به ارزش جایگاهی که راه حل امنیتی برای سازمان ایجاد می کند، در مورد انتخاب راه حل مورد ارزیابی تصمیم گیری نمایند. این نکته بسیار مهم می باشد که اگر راه حل هایی امنیتی مورد ارزیابی نیازمند تغییرات گسترده ای در زیرساخت ها و ایستگاه های کاری باشند، بایستی زمانی مورد استفاده قرار گیرند که گزینه دیگری برای پوشش نیاز امنیتی وجود نداشته باشد.

پروتکل های رمزنگاری

یک پروتکل رمزنگاری شامل تعدادی مرحله و تبادل پیام می باشد که برای رسیدن به یک هدف خاص امنیتی طراحی شده است.

برای اطمینان از سازگاری و کارایی راه حل های امنیتی با استانداردهای موجود، سازمان ها بایستی از پروتکل های رمزنگاری سازگار با این استانداردها مانند پروتکل امن لایه اینترنت (IPSec)، لایه سوکت امن (SSL)، امنیت لایه حمل (TLS)، شل امن (SSH)، پروتکل امن چند رسانه ای (S/MIME) و پروتکل Kerberos استفاده نمایند. با توجه به اینکه هر کدام از این پروتکل ها با هدف خاصی طراحی شده اند و نسبت به هم دارای مزایا و معایبی می باشند. با وجود اینکه برخی از این پروتکل ها در ویژگی های عملکردی همپوشانی دارند با این وجود از هر کدام از این پروتکل ها در حوزه های متفاوتی استفاده می شود.

  • IPSec: این پروتکل رمزنگاری در لایه شبکه و در سطح بسته IP فراهم می کند و نیازمند پشتیبانی سطح پایینی از سیستم عامل و یک سرور پیکربندی شده دارد. از آنجایی که IPSec می تواند به صورت تونلی امن برای بسته های متعلق به چندین کاربر و هاست استفاده شود، به همین دلیل از این پروتکل برای ساختن شبکه های خصوصی مجازی و اتصال دستگاه های راه دور به شبکه سازمان استفاده می شود. نسل بعدی پروتکل اینترنت یعنی IPv6 به صورت پیشفرض شامل IPSec می باشد، به همین دلیل پروتکل IPSec از ابتدا برای کار با وژن قدیمی پروتکل اینترنت (IPv4) طراحی شده بود و در حال حاضر نیز استفاده می شود.
  • SSL و TLS بالای پروتکل کنترل انتقال (TCP) کار می کنند و با اضافه کردن رمزنگاری، احراز هویت سرور و اعتبارسنجی کلاینت و با استفاده از پروتکل TCP با دیگر پروتکل ها پیوند برقرار می کند. TLS نسخه ارتقاء یافته SSL می باشد که امنیت و انعطاف پذیری بالاتری نسبت به SSL دارد. SSL و TLS اصلی ترین روش برای تضمین امنیت تراکنش های تحت وب می باشد که یکی از کاربردهای آن استفاده از “https” به جای “http” در URL ها می باشد. OpenSSL یکی از موارد کاربردی و پیاده سازی شده متن باز SSL می باشد.
  • S/MIME: این پروتکل استانداردی برای رمزنگاری کلید عمومی و امضای داده های MIME سرویس ایمیل می باشد. با استفاده از پرورتکل S/MIME مدیران شبکه گزینه ای امن تری از پروتکل ارسال ایمیل (SMTP) را در اختیار دارند. S/MIME امنیت SMTP را بهبود داده و اجازه می دهد ارتباطات گسترده مبتنی بر ایمیل بدون هیچ گونه خطر امنیتی ایجاد شوند.
  • SSH اصلی ترین متد برای امن سازی ارتباطات پایانه های راه دور از طریق اینترنت و رمز کردن جلسات مربوط به این ارتباطات می باشد. دلیل توسعه پروتکل SSH استفاده از ویژگی های مانند single sign-on و ایجاد تونل امن برای جریان های داده ای TCP می باشد. اکثرا از پروتکل SSH برای تأمین امنیت سایر جریان های داده ای نیز استفاده می شود. OpenSSH محبوب ترین پیاده سازی متن باز از پروتکل SSH می باشد. نحوه کار SSH به این گونه ای است که کلاینت با استفاده از یک کلید سرور را احراز هویت می کند و در ادامه کاربر رمز عبوری برای تأیید هویت کاربری خود وارد می کند. رمز عبور با استفاده از کلید ارایه شده از سرور رمزگذاری شده و برای تأیید به سرور ارسال می شود. در ارتباطات SSH برای جلوگیری از حملات man-in-the-middle که در آن ارتباط بین دو کاربر توسط یک شخص ثالث و غیر مجاز نظارت و اصلاح می شود، این پروتکل اطلاعاتی در مورد سرورهایی که از طریق آن با این سرورها ارتباط برقرار می نماید را ثبت می کند.
  • Kerberos پروتکلی برای احراز هویت کاربران به صورت single sign-on می باشد که از آن برای تأیید هویت کاربران و در مقابل سرورهای اعتبار سنجی مرکزی و توزیع کلید استفاده می شود. Kerberos با اعطای مجوز معتبر به کاربران، دسترسی آنها به سرویس های مختلف شبکه را با یک با احراز هویت تضمین می نماید. در دفعات بعدی که این کاربران با سرور ارتباط برقرار می کنند، سرور مجوز دسترسی آنها را تایید کرده و نیازی به اعتبار سنجی مجدد نمی باشد.
    Kerberos متد اصلی برای احراز هویت و تامین امنیت مکانیزیم اعتبار سنجی کاربران در
    شبکه LAN می باشد. برای استفاده از Kerberos نیاز است هم سرویس گیرنده و هم سرویس دهنده کدهای مربوط به آن را اضافه نماید. دلیل این موضوع این است که هر کسی می تواند پیاده سازی متفاوتی از پروتکل Kerberos در برنامه های کاربردی خود را داشته باشد که در بعضی از برنامه های کاربردی باعت ایجاد پیچیدگی می شود.

نرم افزارها و راه حل های معروف رمزنگاری داده

اکثر شرکت های بزرگ امنیتی نرم افزارهای متنوعی در حوزه رمزنگاری برای سازمان ها ارائه داده اند. در تعدادی از نرم افزارهای رمزنگاری اطلاعات شامل نرم افزارهای رمزگذاری کامل دیسک آورده شده است:

  • Check Point Full Disk Encryption Software Blade: این نرم افزار به صورت اتوماتیک امنیت داده های ذخیره شده در درایوهای هارد ایستگاه کاری فراهم می کند. این اطلاعات شامل داده های کاربر، فایل های سیستم عامل و فایل های موقت و پاک شده می باشد. با توجه به این که در این روش و پیش از بوت شدن سیستم عامل احراز هویت چند عاملی برای احراز هویت کاربر اتفاق می افتد. به همین دلیل در صورت به سرقت رفتن این اطلاعات، از هرگونه دسترسی به این داده ها جلوگیری می شود.
  • Dell Data Protection Encryption Enterprise: این نرم افزار به بخش IT سازمان کمک می کند تا سیاست هایی برای کدگزاری داده های سازمانی ذخیره شده بر روی درایوهای سیستم های کاری و رسانه های خارجی قابل حمل اعمال نمایند.
  • HPE SecureData Enterprise: این نرم افزار برای محافظت از داده های سازمانی از هر دو تکنولوژی رمزنگاری و Mask کردن داده ها استفاده می کند. HPE SecureData اطلاعات را شناسایی و به گونه ای آنها را تغییر می دهد که ماهیت و یکپارچگی آنها برای استفاده فرآیندها، برنامه ها و سرویس ها از این اطلاعات حفظ شود. HPE SecureData Enterprise از دو ویژگی فرمت رمزگذاری با حفظ فرمت بالا و رمزنگاریی با کارایی بالا در حفظ فرمت استفاده می کند.
  • IBM Guardium Data Encryption: این نرم افزار قابلیت هایی برای رمزنگاری داده های ساختار یافته و غیر ساختار یافته مطابق با نیازهای صنعت و الزامات امنیتی فراهم می کند. این نرم افزار عملیات رمزنگاری و رمزگشایی را با حداقل تاثیر در عملکرد سیستم انجام می دهد. برای استفاده از این نرم افزار نیازی به تغییر در پایگاه های داده، برنامه ها یا شبکه ها نمی باشد.
  • McAfee (Intel Security) Complete Data Protection: نرم افزار شرکت McAfee علاوه بر پشتیبانی از رمزنگاری سیستم عامل ایکس اپل و رمز نگاری بومی ویندوز مایکروسافت، رمزگذاری درایوهای سیستم، رسانه های قابل حمل، سیستم های اشتراک فایل و داده های ابری، قابلیت ادغام شدن با نرم افزار (DLP) این شرکت را نیز دارد.
  • Microsoft BitLocker Drive Encryption: این نوع رمزگذاری تنها برای سیستم عامل های ویندوز ارایه شده است و برای افزایش امنیت اطلاعات درایوهای کامپیوتر مورد استفاده قرار می گیرد. داشتن BitLocker که با سیستم عامل یکپارچه شده است، تهدیدات مربوط به سرقت اطلاعات و یا قرار گرفتن در معرض سوءاستفاده از رایانه های به سرقت رفته اند را کاهش می دهد.
  • Sophos SafeGuard Encryption: کار این نرم افزار به صورت برخط می باشد و فقط به ارتباطاتی که امن شده باشند اجازه تبادل اطلاعات می دهد. رمزنگاری همگام سازی شده از داده ها با استفاده از اعتبارسنجی مداوم کاربر و برنامه کاربردی و چک کردن یکپارچگی امنیتی دستگاه قبل از دسترسی به داده های رمز شده حافظت می کند.
  • Symantec Endpoint Encryption: این نرم افزار از رمزنگاری درایو های ایستگاه های کاری و رسانه های قابل حمل با مدیریت متمرکز، همچنین رمزنگاری سرویس ایمیل، اشتراک فایل و امن کردن ابزارهای خط فرمان  پشتیانی می کند. همچنین قابل ادغام با نرم افزارهای DLP این شرکت می باشد.
  • Trend Micro Endpoint Encryption: این نرم افزار رمزنگاریی در سطح دیسک، پوشه و فایل و رسانه های قابل جابجایی ارایه می دهد. علاوه بر این دارای قابلیت مدیریت نرم افزارهای BitLocker و Apple FileVault می باشد.
  • WinMagic SecureDoc Enterprise Server: این نرم افزار راهکارهای کنترلی جهت کنترل محیط امنیتی مورد نیاز داده های سازمان فراهم می کند. بیشتر از این راهکارها برای اطمینان از امنیت اطلاعات و شفافیت در روال های مربوط به جابه جایی اطلاعات سازمان استفاده می شود. نرم افزار SES با استفاده از رمزگذاری کامل دیسک و فن آوری PBConnex، سازمان ها را قادر می سازد تا فرآیندهای IT خود را ساده تر نمایند.

شش راهنمایی برای برای داشتن یک سیستم رمزنگاری قوی:

  1. از کلیدهای رمزنگاری قدیمی استفاده نکنید.
  2. از کلیدهای رمزنگاری با طول زیاد استفاده نمایید.
  3. از رمزنگاری چند لایه استفاده کنید.
  4. کلیدهای رمزنگاری در جای امن نگهداری کنید.
  5. از معماری صحیح متدهای رمزنگاری اطمینان حاصل کنید.
  6. عوامل بیرونی مانند مسایل مربوط به امضاء دیجیتال را در نظر بگیرید.

سازگاری زیرساخت های ابری و اینترنت اشیاء با رمزنگاری

با توجه با این که سازمان ها برای بهبود کارایی و کاهش هزینه ها خود در حال مهاجرت به سمت پردازش های ابری و استفاده از اینترنت اشیا (IoT) می باشند. به همین دلیل استفاده از این فناوری ها می توانند خطرات بیشتری برای داده های سازمان ها ایجاد نمایند.

سیستم های رمزنگاری می تواند با قابلیت های خود به امنیت داده ها کمک زیادی نماید. با این وجود هنوز بسیاری از سازمان ها از این راهکارها استفاده نمی کنند. برای مثال بر اساس نظرسنجی انجام شده توسط موسسه Ponemon و Gemalto بین بیش از 3400 کارشناس فناوری اطلاعات و کارشناس امنیت فناوری اطلاعات، آنها اظهار داشته اند که تنها یک سوم از اطلاعات حساس ذخیره شده سازمان شان در فضای ابری به صورت رمز شده می باشد.

با وجود این که سه چهارم از پاسخ دهندگان بر این باور بودند که تنها برنامه های کاربردی و سرویس های مبتنی بر زیرساخت ابری برای فعالیت های سازمان اهمیت دارد. اما 81 درصد از آنها ابراز امیدواری کرده اند که زیرساخت های ابری در آینده ای نزدیک در سازمانشان اهمیت بیشتری پیدا کند.

رمزگذاری داده ها ذخیره شده درفضای ابری ممکن است کمی چالش برانگیز باشد، زیرا این امکان وجود دارد که علاوه بر پراکندگی داده ها در مکان های جغرافیای مختلف، داده های ذخیره شده در یک فضا لزوما مربوط به یک سازمان خاص نباشد. یکی از گزینه ها پیش رو این است که از ارائه دهندگان خدمات ابری درخواست کنید در کنار سرویس ابری که برای شما ارایه می دهد یک سرویس رمزنگاری داده ها را هم به عنوان بخشی از یک توافقنامه به عنوان خدمات به سازمان شما ارایه دهد.

علاوه بر فضاهای ذخیره سازی ابری، سازمان ها این روزها به طور گسترده ای به استفاده از دستگاه های IoT روی آورده اند. در مقابل تعداد کمی از سازمان های زیرساخت امنیتی مربوط به این تکنولوژی را پیاده سازی کرده اند. رمزنگاری گزینه ای برای بهبود امنیت اطلاعات در اینترنت اشیاء (IoT) به ویژه آنهایی که به صورت بی سیم به شبکه متصل می شوند، می باشد. .

به طور خلاصه رمزگذاری داده ها راهکاری جهت محافظت از اطلاعات ذخیره شده، درحال انتقال و همچنین محیط ها و تکنولوژی های ابری و اینترنت اشیاء (IoT) می باشد. سازمان بایستی زیرساخت رمزنگاری مورد نیاز تکنولوژی های مختلف که با اطلاعات سازمان سر و کار دارند را فراهم نماید.