رمزنگاری: امن کردن داده های سازمان

انتخاب راه حل های رمزنگاری

در کل سه نوع راهکار رمزنگاری وجود دارد: رمزگذاری کامل دیسک(HDD)، رمزگذاری Volume\هارد مجازی(VHD) و رمزگذاری فایل\پوشه. هنگام انتخاب نوع رمزنگاری، سازمان ها باید طیف وسیعی از راه حل هایی که می تواند نیازهای امنیتی آنها را پوشش دهند را در کنار راه حل هایی که بیشتر مورد استفاده قرار می گیرند مورد ارزیابی قرار دهند.

مدیریت متمرکز سیاست ها، شفافیت برنامه ها و پایگاه داده، تاخیر کم، قابلیت تعاملی بالا در مدیریت کلید، پشتیبانی از رمزنگاری سخت افزاری، پشتیبانی از قوانین انطباق و قابلیت های نظارتی از جمله ویژگی هایی است که سازمان ها بایستی هنگام انتخاب یک سیستم رمزگذاری در نظر بگیرند.

موقع انتخاب راه حلی برای رمزنگاری فضاهای ذخیره سازی بایستی عوامل متعددی از جمله سیستم عامل های مورد پشتیبانی، داده های تحت حافظت و تهدیداتی که باید توسط راه حل انتخابی مسدود شوند، در نظر گرفته شوند. این عوامل می تواند شامل راه اندازی سرور جدید و نصب نرم افزارهایی در دستگاه های مورد نظر باشند یا می توانند از سرورهای موجود و همچنین نرم افزار پیش فرض در سیستم عامل های دستگاه استفاده نمایند.

رمزنگاری می تواند بسته به نحوه و گستره ی تغییراتی که در زیرساخت و تجهیزات شبکه ایجاد می کند باعث از دست رفتن قابلیت ها موجود یا مسائل دیگری شود. به همین دلیل هنگام ارزیابی راه حل های امنیتی، سازمان ها بایستی نتیجه مربوط به مقایسه قابلیت های از دست رفته و قابلیت های امنیتی بدست آمده را مد نظر قرار داده و با توجه به ارزش جایگاهی که راه حل امنیتی برای سازمان ایجاد می کند، در مورد انتخاب راه حل مورد ارزیابی تصمیم گیری نمایند. این نکته بسیار مهم می باشد که اگر راه حل هایی امنیتی مورد ارزیابی نیازمند تغییرات گسترده ای در زیرساخت ها و ایستگاه های کاری باشند، بایستی زمانی مورد استفاده قرار گیرند که گزینه دیگری برای پوشش نیاز امنیتی وجود نداشته باشد.

پروتکل های رمزنگاری

یک پروتکل رمزنگاری شامل تعدادی مرحله و تبادل پیام می باشد که برای رسیدن به یک هدف خاص امنیتی طراحی شده است.

برای اطمینان از سازگاری و کارایی راه حل های امنیتی با استانداردهای موجود، سازمان ها بایستی از پروتکل های رمزنگاری سازگار با این استانداردها مانند پروتکل امن لایه اینترنت (IPSec)، لایه سوکت امن (SSL)، امنیت لایه حمل (TLS)، شل امن (SSH)، پروتکل امن چند رسانه ای (S/MIME) و پروتکل Kerberos استفاده نمایند. با توجه به اینکه هر کدام از این پروتکل ها با هدف خاصی طراحی شده اند و نسبت به هم دارای مزایا و معایبی می باشند. با وجود اینکه برخی از این پروتکل ها در ویژگی های عملکردی همپوشانی دارند با این وجود از هر کدام از این پروتکل ها در حوزه های متفاوتی استفاده می شود.

• IPSec: این پروتکل رمزنگاری در لایه شبکه و در سطح بسته IP فراهم می کند و نیازمند پشتیبانی سطح پایینی از سیستم عامل و یک سرور پیکربندی شده دارد. از آنجایی که IPSec می تواند به صورت تونلی امن برای بسته های متعلق به چندین کاربر و هاست استفاده شود، به همین دلیل از این پروتکل برای ساختن شبکه های خصوصی مجازی و اتصال دستگاه های راه دور به شبکه سازمان استفاده می شود. نسل بعدی پروتکل اینترنت یعنی IPv6 به صورت پیشفرض شامل IPSec می باشد، به همین دلیل پروتکل IPSec از ابتدا برای کار با وژن قدیمی پروتکل اینترنت (IPv4) طراحی شده بود و در حال حاضر نیز استفاده می شود.
• SSL و TLS بالای پروتکل کنترل انتقال (TCP) کار می کنند و با اضافه کردن رمزنگاری، احراز هویت سرور و اعتبارسنجی کلاینت و با استفاده از پروتکل TCP با دیگر پروتکل ها پیوند برقرار می کند. TLS نسخه ارتقاء یافته SSL می باشد که امنیت و انعطاف پذیری بالاتری نسبت به SSL دارد. SSL و TLS اصلی ترین روش برای تضمین امنیت تراکنش های تحت وب می باشد که یکی از کاربردهای آن استفاده از “https” به جای “http” در URL ها می باشد. OpenSSL یکی از موارد کاربردی و پیاده سازی شده متن باز SSL می باشد.
• S/MIME: این پروتکل استانداردی برای رمزنگاری کلید عمومی و امضای داده های MIME سرویس ایمیل می باشد. با استفاده از پرورتکل S/MIME مدیران شبکه گزینه ای امن تری از پروتکل ارسال ایمیل (SMTP) را در اختیار دارند. S/MIME امنیت SMTP را بهبود داده و اجازه می دهد ارتباطات گسترده مبتنی بر ایمیل بدون هیچ گونه خطر امنیتی ایجاد شوند.
• SSH اصلی ترین متد برای امن سازی ارتباطات پایانه های راه دور از طریق اینترنت و رمز کردن جلسات مربوط به این ارتباطات می باشد. دلیل توسعه پروتکل SSH استفاده از ویژگی های مانند single sign-on و ایجاد تونل امن برای جریان های داده ای TCP می باشد. اکثرا از پروتکل SSH برای تأمین امنیت سایر جریان های داده ای نیز استفاده می شود. OpenSSH محبوب ترین پیاده سازی متن باز از پروتکل SSH می باشد. نحوه کار SSH به این گونه ای است که کلاینت با استفاده از یک کلید سرور را احراز هویت می کند و در ادامه کاربر رمز عبوری برای تأیید هویت کاربری خود وارد می کند. رمز عبور با استفاده از کلید ارایه شده از سرور رمزگذاری شده و برای تأیید به سرور ارسال می شود. در ارتباطات SSH برای جلوگیری از حملات man-in-the-middle که در آن ارتباط بین دو کاربر توسط یک شخص ثالث و غیر مجاز نظارت و اصلاح می شود، این پروتکل اطلاعاتی در مورد سرورهایی که از طریق آن با این سرورها ارتباط برقرار می نماید را ثبت می کند.
• Kerberos پروتکلی برای احراز هویت کاربران به صورت single sign-on می باشد که از آن برای تأیید هویت کاربران و در مقابل سرورهای اعتبار سنجی مرکزی و توزیع کلید استفاده می شود. Kerberos با اعطای مجوز معتبر به کاربران، دسترسی آنها به سرویس های مختلف شبکه را با یک با احراز هویت تضمین می نماید. در دفعات بعدی که این کاربران با سرور ارتباط برقرار می کنند، سرور مجوز دسترسی آنها را تایید کرده و نیازی به اعتبار سنجی مجدد نمی باشد.
  Kerberos متد اصلی برای احراز هویت و تامین امنیت مکانیزیم اعتبار سنجی کاربران در
  شبکه LAN می باشد. برای استفاده از Kerberos نیاز است هم سرویس گیرنده و هم سرویس دهنده کدهای مربوط به آن را اضافه نماید. دلیل این موضوع این است که هر کسی می تواند پیاده سازی متفاوتی از پروتکل Kerberos در برنامه های کاربردی خود را داشته باشد که در بعضی از برنامه های کاربردی باعت ایجاد پیچیدگی می شود.

نرم افزارها و راه حل های معروف رمزنگاری داده

اکثر شرکت های بزرگ امنیتی نرم افزارهای متنوعی در حوزه رمزنگاری برای سازمان ها ارائه داده اند. در تعدادی از نرم افزارهای رمزنگاری اطلاعات شامل نرم افزارهای رمزگذاری کامل دیسک آورده شده است:

• Check Point Full Disk Encryption Software Blade: این نرم افزار به صورت اتوماتیک امنیت داده های ذخیره شده در درایوهای هارد ایستگاه کاری فراهم می کند. این اطلاعات شامل داده های کاربر، فایل های سیستم عامل و فایل های موقت و پاک شده می باشد. با توجه به این که در این روش و پیش از بوت شدن سیستم عامل احراز هویت چند عاملی برای احراز هویت کاربر اتفاق می افتد. به همین دلیل در صورت به سرقت رفتن این اطلاعات، از هرگونه دسترسی به این داده ها جلوگیری می شود.
• Dell Data Protection Encryption Enterprise: این نرم افزار به بخش IT سازمان کمک می کند تا سیاست هایی برای کدگزاری داده های سازمانی ذخیره شده بر روی درایوهای سیستم های کاری و رسانه های خارجی قابل حمل اعمال نمایند.
• HPE SecureData Enterprise: این نرم افزار برای محافظت از داده های سازمانی از هر دو تکنولوژی رمزنگاری و Mask کردن داده ها استفاده می کند. HPE SecureData اطلاعات را شناسایی و به گونه ای آنها را تغییر می دهد که ماهیت و یکپارچگی آنها برای استفاده فرآیندها، برنامه ها و سرویس ها از این اطلاعات حفظ شود. HPE SecureData Enterprise از دو ویژگی فرمت رمزگذاری با حفظ فرمت بالا و رمزنگاریی با کارایی بالا در حفظ فرمت استفاده می کند.
• IBM Guardium Data Encryption: این نرم افزار قابلیت هایی برای رمزنگاری داده های ساختار یافته و غیر ساختار یافته مطابق با نیازهای صنعت و الزامات امنیتی فراهم می کند. این نرم افزار عملیات رمزنگاری و رمزگشایی را با حداقل تاثیر در عملکرد سیستم انجام می دهد. برای استفاده از این نرم افزار نیازی به تغییر در پایگاه های داده، برنامه ها یا شبکه ها نمی باشد.
• McAfee (Intel Security) Complete Data Protection: نرم افزار شرکت McAfee علاوه بر پشتیبانی از رمزنگاری سیستم عامل ایکس اپل و رمز نگاری بومی ویندوز مایکروسافت، رمزگذاری درایوهای سیستم، رسانه های قابل حمل، سیستم های اشتراک فایل و داده های ابری، قابلیت ادغام شدن با نرم افزار (DLP) این شرکت را نیز دارد.
• Microsoft BitLocker Drive Encryption: این نوع رمزگذاری تنها برای سیستم عامل های ویندوز ارایه شده است و برای افزایش امنیت اطلاعات درایوهای کامپیوتر مورد استفاده قرار می گیرد. داشتن BitLocker که با سیستم عامل یکپارچه شده است، تهدیدات مربوط به سرقت اطلاعات و یا قرار گرفتن در معرض سوءاستفاده از رایانه های به سرقت رفته اند را کاهش می دهد.
• Sophos SafeGuard Encryption: کار این نرم افزار به صورت برخط می باشد و فقط به ارتباطاتی که امن شده باشند اجازه تبادل اطلاعات می دهد. رمزنگاری همگام سازی شده از داده ها با استفاده از اعتبارسنجی مداوم کاربر و برنامه کاربردی و چک کردن یکپارچگی امنیتی دستگاه قبل از دسترسی به داده های رمز شده حافظت می کند.
• Symantec Endpoint Encryption: این نرم افزار از رمزنگاری درایو های ایستگاه های کاری و رسانه های قابل حمل با مدیریت متمرکز، همچنین رمزنگاری سرویس ایمیل، اشتراک فایل و امن کردن ابزارهای خط فرمان  پشتیانی می کند. همچنین قابل ادغام با نرم افزارهای DLP این شرکت می باشد.
• Trend Micro Endpoint Encryption: این نرم افزار رمزنگاریی در سطح دیسک، پوشه و فایل و رسانه های قابل جابجایی ارایه می دهد. علاوه بر این دارای قابلیت مدیریت نرم افزارهای BitLocker و Apple FileVault می باشد.
• WinMagic SecureDoc Enterprise Server: این نرم افزار راهکارهای کنترلی جهت کنترل محیط امنیتی مورد نیاز داده های سازمان فراهم می کند. بیشتر از این راهکارها برای اطمینان از امنیت اطلاعات و شفافیت در روال های مربوط به جابه جایی اطلاعات سازمان استفاده می شود. نرم افزار SES با استفاده از رمزگذاری کامل دیسک و فن آوری PBConnex، سازمان ها را قادر می سازد تا فرآیندهای IT خود را ساده تر نمایند.

شش راهنمایی برای برای داشتن یک سیستم رمزنگاری قوی:

1. از کلیدهای رمزنگاری قدیمی استفاده نکنید.
2. از کلیدهای رمزنگاری با طول زیاد استفاده نمایید.
3. از رمزنگاری چند لایه استفاده کنید.
4. کلیدهای رمزنگاری در جای امن نگهداری کنید.
5. از معماری صحیح متدهای رمزنگاری اطمینان حاصل کنید.
6. عوامل بیرونی مانند مسایل مربوط به امضاء دیجیتال را در نظر بگیرید.

سازگاری زیرساخت های ابری و اینترنت اشیاء با رمزنگاری

با توجه با این که سازمان ها برای بهبود کارایی و کاهش هزینه ها خود در حال مهاجرت به سمت پردازش های ابری و استفاده از اینترنت اشیا (IoT) می باشند. به همین دلیل استفاده از این فناوری ها می توانند خطرات بیشتری برای داده های سازمان ها ایجاد نمایند.

سیستم های رمزنگاری می تواند با قابلیت های خود به امنیت داده ها کمک زیادی نماید. با این وجود هنوز بسیاری از سازمان ها از این راهکارها استفاده نمی کنند. برای مثال بر اساس نظرسنجی انجام شده توسط موسسه Ponemon و Gemalto بین بیش از ۳۴۰۰ کارشناس فناوری اطلاعات و کارشناس امنیت فناوری اطلاعات، آنها اظهار داشته اند که تنها یک سوم از اطلاعات حساس ذخیره شده سازمان شان در فضای ابری به صورت رمز شده می باشد.

با وجود این که سه چهارم از پاسخ دهندگان بر این باور بودند که تنها برنامه های کاربردی و سرویس های مبتنی بر زیرساخت ابری برای فعالیت های سازمان اهمیت دارد. اما ۸۱ درصد از آنها ابراز امیدواری کرده اند که زیرساخت های ابری در آینده ای نزدیک در سازمانشان اهمیت بیشتری پیدا کند.

رمزگذاری داده ها ذخیره شده درفضای ابری ممکن است کمی چالش برانگیز باشد، زیرا این امکان وجود دارد که علاوه بر پراکندگی داده ها در مکان های جغرافیای مختلف، داده های ذخیره شده در یک فضا لزوما مربوط به یک سازمان خاص نباشد. یکی از گزینه ها پیش رو این است که از ارائه دهندگان خدمات ابری درخواست کنید در کنار سرویس ابری که برای شما ارایه می دهد یک سرویس رمزنگاری داده ها را هم به عنوان بخشی از یک توافقنامه به عنوان خدمات به سازمان شما ارایه دهد.

علاوه بر فضاهای ذخیره سازی ابری، سازمان ها این روزها به طور گسترده ای به استفاده از دستگاه های IoT روی آورده اند. در مقابل تعداد کمی از سازمان های زیرساخت امنیتی مربوط به این تکنولوژی را پیاده سازی کرده اند. رمزنگاری گزینه ای برای بهبود امنیت اطلاعات در اینترنت اشیاء (IoT) به ویژه آنهایی که به صورت بی سیم به شبکه متصل می شوند، می باشد. .

به طور خلاصه رمزگذاری داده ها راهکاری جهت محافظت از اطلاعات ذخیره شده، درحال انتقال و همچنین محیط ها و تکنولوژی های ابری و اینترنت اشیاء (IoT) می باشد. سازمان بایستی زیرساخت رمزنگاری مورد نیاز تکنولوژی های مختلف که با اطلاعات سازمان سر و کار دارند را فراهم نماید.