編輯部數位轉型零風險 亞利安保障資料庫安全 啟動區塊鏈應用與防護
德諾科技:密鑰管理成企業新挑戰
適當的加密以及權限的控管措施可以減少資料外洩,然而必須配合良好的密鑰及密碼管理機制才能使企業享受到全面資料保護的安全性,而不造成更大的管理負擔。
為了確保達到資訊安全的目標,企業採取了各種控管措施,從基礎的帳號密碼、設立角色為基礎的存取管理、到為各種檔案、資料庫、網站加密、建立 PKI 架構、雙因素驗證等。然而產生的密碼或金鑰又是另一個管理負擔。許多企業於是仰賴像是 LastPass 或 OneLogin 等第三方密碼管理服務。不過這些管控措施也成了駭客眼中的最佳攻擊目標。
2015 年 LastPass 遭到駭客入侵,讓駭客取得用戶的電子郵件帳號、密碼提醒字串、驗證雜湊函數等等,這些資訊讓用戶的銀行帳戶、客戶資料或研發智財、商業機密等陷入被非法存取或曝光的風險。今年,OneLogin 也發生駭客透過取得 AWS 金鑰、AWS API,再入侵資料庫,造成客戶各種機密資訊外洩。另外,大型網站一旦被駭,也可能造成連鎖效應,像是 LinkedIn、美國社交網站 MySpace 早年被駭流失的帳號密碼等,導致用戶其他像包括 Twitter、Instagram 等服務在日後也遭到非法存取。這些例子說明了密鑰管理及加密機制是現今企業及服務供應商不可忽視的議題。
德諾科技協理李哲祥指出,市面上有為數眾多的密碼管理、加密方案,但是企業必須先了解自身的風險在哪裡,才知道要導入哪種方案,以及如何部署才能達到有效。而且資料外洩可能來自內部人士不當存取,也可能是外部駭客入侵,面對兩種不同的防禦對象,導入的方案的也會有所差異。
例如 Column based 或整個資料庫加密,防止檔案被偷效果很好,但這種方式是把密鑰放到 AP server 上,且對 App 層沒有設防。一旦攻擊來自程式漏洞,例如 SQL injection,當駭客攻到 AP Server 時即會取得加密金鑰,則資料庫加密形同虛設。因此針對 SQL Injection 防禦,就不適合導入資料庫加密,較好的方案則是將密鑰放到 HSM(hardware security module)上。因此企業在導入密碼管理及安全方案時,需設想好是針對哪種攻擊源架設防護。
此外,不同國際標準之遵循,也對密碼防護提出不同的要求。例如 ISO 27001 僅要求企業做好適當的控制措施,然而 PCI CSS v3.2 版則明確要求「單一主機只實作單一功能」,例如網頁伺服器、資料庫及 DNS 都必須建立在個別伺服器上;加密金鑰不應和用戶帳號建立關聯;以及 DBA 不得兼具主機管理員身份等,且用戶存取權限必須嚴明定義,只有 DBA 可以存取資料庫,而也只有定義好的應用程式 ID 才得以存取資料庫。
面對加密管理產品該如何選擇?李哲祥建議至少要具備 5 種能力。分別是可以做到檔案透明加密、可做欄位加密(包括設定密碼長度、設定強密碼)、應用程式加密,憑證化 (tokenization) 及全部或部份動態資料遮罩 (masking)。此外,如果能支援大數據應用或雲端環境,以及是否具備完整的密碼管理,如依職權及部門可以設定不同的密碼存取權的能力,都是企業需要考量的因素。
但實際部署情況可能因為外部因素更複雜。例如 PCI DSS 對密碼管理實作有相當要求,包括使用強加密,對密鑰管理也有最少人數的保管人以及手動、明文密鑰管理等。此外,國內的金管會也要求國內電子支付業者皆需建立災難備援中心,則又衍生出密鑰回復等問題。此外,新商業模式如電子貨幣、物聯網 (IoT) 設備安全性問題,再再都需要企業與時俱進,規劃相對應的適足的安全防護方案。