盤點:全磁盤加密技術的4大應用場景
在本文中,專家Karen Scarfone著重探討了FDE的優勢及其應用場景,以幫助企業判斷這種存儲加密技術是否真正是其所需要的。
全磁盤加密(full disk encryption, FDE)技術是一種存儲加密技術,正如其名稱所稱,它可以為臺式機、筆記本或服務器加密硬盤驅動器中的所有信息。這就是說,當計算機處于非啟動狀態時,其操作系統(OS)、應用和用戶數據都會受到保護,阻止未經授權訪問。
當有人試圖啟動該操作系統時,在進行啟動前,用戶或管理員必須成功驗證身份,這被稱為預啟動身份驗證(PBA)。在PBA成功后,操作系統將被啟動,用戶就可以訪問所有操作系統的功能、應用和數據。
傳統觀點認為,在最低限度下,每個企業都應該對訪問或存儲敏感數據的所有計算機使用FDE技術。雖然這聽起來很合理,但很多企業對其所有臺式機和筆記本電腦都使用FDE技術,因為他們錯誤地認為,該技術實際可以提供更多的保護。
FDE是否適合企業的系統完全取決于企業試圖阻止的威脅:設備的丟失或被盜、服務器端數據被盜、操作系統篡改或者惡意軟件訪問敏感數據,這是FDE擅長應付的四種應用場景。
場景1:防范計算設備丟失或被盜
部署FDE技術的最常見原因是攻擊者試圖對丟失或被盜的筆記本或移動設備中的敏感數據獲取未經授權訪問。
多年來,媒體報道了很多筆記本丟失或被盜的事件,這些筆記本包含著數以百萬計的未受保護客戶記錄。這些被視為真正的數據泄露事故,因為沒有人知道攻擊者是否已經訪問這些敏感數據。單起數據泄露事故可能導致企業損失數百萬美元--恢復成本和聲譽損失成本。
考慮到這些數據泄露事故的嚴重程度,企業有必要安裝FDE技術來保護筆記本中的敏感數據。這樣的話,當筆記本丟失或被盜時,數據仍然是安全的,因為設備會受到FDE保護。這可以幫助企業防止數據泄露和避免媒體報道其筆記本丟失或被盜的新聞。
很多企業已經擴展了這一基本原則(即使用FDE保護敏感數據),他們在所有筆記本(有時候包括臺式機)使用FDE技術,因為他們不能完全確定哪些設備包含敏感信息。這是常見的復雜問題,即要求在所有筆記本使用FDE。
例如,對于FDE自動部署到所有筆記本,在用戶第一次訪問敏感數據之前,企業沒有必要添加該技術到已經部署的筆記本。這可能會帶來不必要的延誤。并且,當FDE技術全面部署在企業環境中時,筆記本丟失或被盜的話,也沒有必要恐慌,應該確定設備是否受到FDE保護,如果沒有,則確定設備是否被用來訪問敏感數據,數據殘余可能仍然位于設備中。
要注意的是,FDE技術的使用通常是基于這樣的假設,即設備不被使用時會被關閉。這對于筆記本是一個問題,因為筆記本通常處于休眠或待機模式。根據使用的產品以及配置情況的不同,FDE技術可能或者可能不會對這些模式的筆記本產生效果。
IT部門應該自己進行測試來確保他們考慮購買的FDE產品能夠保護休眠和待機設備的敏感數據。如果不能提供保護,那么可能需要考慮其他方法,或者強制執行政策要求禁止使用筆記本的待機或休眠模式。
防止計算設備丟失或被盜的非FDE方法
防范設備丟失或被盜的非FDE方法涉及建構IT基礎設施架構,包括應用和數據庫,讓所有敏感數據集中存儲,而非敏感數據(直接或間接,如數據殘余)則本地存儲在筆記本、臺式機和其他設備。
數據丟失防護(DLP)等技術可以幫助確保這些敏感數據不會被轉移到可移動介質、打印或復制及粘貼到其他文檔,或從集中存儲中滲出。
選擇這種數據安全方法而非FDE技術的企業必須仔細檢測和測試這些方法,以確保它的有效性。如果可能發生數據泄露,那么設備的丟失或防護仍然可能導致重大數據泄露事故。
場景2:防止服務器端數據盜竊
有時候企業會選擇在其服務器硬盤驅動器使用FDE技術,當服務器未被啟動時,這可以對服務器硬盤中的內容提供保護,例如當服務器從一個位置運送到另一個位置時。
對于有些企業而言這并不是常見的情況,但對于具有分支機構的企業而言這很常見,其分支機構有自己的服務器,技術人員可能要在這些位置之間運送硬盤驅動器,還有在災難恢復操作中,服務器會從一個物理位置遷移到另一個位置。
出于這些原因,企業可以在服務器硬盤驅動器使用FDE技術來在這些運輸過程中提供保障。
場景3:防范不必要的OS篡改
雖然大多數人知道FDE技術可以防止因設備丟失或被盜而引起的敏感數據泄露,但其實該技術還可以防止對操作系統的篡改。
例如,攻擊者可能會在短時間內獲取對不受FDE保護的筆記本或臺式機的訪問權限。該攻擊者可以通過多種方法(包括利用操作系統漏洞和使用取證工具)來修改該操作系統的可執行文件、配置、權限和其他屬性。這將允許攻擊者歸還該設備到原來的位置,同時通過向操作系統可執行文件植入的惡意軟件,保持對該設備的遠程訪問。
這并不是常見的威脅,但在具有特別高安全需求的企業,僅此一點就讓企業有足夠理由為臺式機和筆記本使用FDE技術。
再次需要注意的是,FDE只能保護非啟動狀態下的設備;當設備處于啟動狀態時,FDE將無法阻止惡意軟件感染和操作系統執行操作。為了防范和應對這些情況,企業需要使用反惡意軟件技術,例如防病毒軟件或惡意軟件分析工具;漏洞管理工具,包括補丁管理功能來消除操作系統和應用中的已知漏洞;以及強大的身份驗證和訪問控制系統配置,以確保只有授權管理員可以更改操作系統文件、配置等。
場景4:要求合作伙伴提供全面惡意軟件防護
也許對于大多數企業的系統而言,最常見的威脅是試圖訪問存儲在本地臺式機或筆記本電腦中敏感數據的惡意軟件。然而,在設備被啟動后,FDE技術完全無法阻止這種惡意軟件。不過,還有其他形式的存儲加密技術可能會有所幫助。
這些技術包括虛擬磁盤加密、卷加密和文件加密,它們可以保護數據的機密性和完整性,即使當設備完全啟動后。很多企業在其筆記本和臺式機中存儲有敏感數據,他們在選擇FDE技術的同時,還可以選擇這些技術來提供額外的保護層,特別是針對惡意軟件。
總結
FDE技術可以有效阻止某些類型的威脅。具體來說,它們可以幫助防止對丟失或被盜臺式機、筆記本或服務器中敏感數據的未經授權訪問。
除了FDE技術外,還有替代技術可以防止敏感數據被存儲在本地,但這些也都不是萬全的技術,FDE提供了額外的保護層,因為FDE技術可以有效防止攻擊者更改未啟動設備的操作系統或應用可執行文件。
然而,FDE技術并不能保護處于使用狀態的設備中的數據或可執行文件。考慮使用FDE技術對企業應該慎重考慮他們正試圖應對什么樣的威脅,并結合使用FDE技術與其他額外的補充安全技術。
