七種NAS加密做法幫助保護數據
加密是保護網絡附加存儲(NAS)上數據的最有效工具之一。在加密后,即使網絡攻擊者獲得驅動器的訪問權限或攔截驅動器的通信,如果沒有加密密鑰,攻擊者將無法讀取數據。 通過使用NAS加密,可防止未經授權個人訪問靜態或動態機密數據。
這些數據可能包括信用卡號、知識產權、醫療記錄、個人身份信息 (PII) 或其他類型的機密數據。此外,使用加密可確保遵守 GDPR 或 HIPAA 等法規。
如果沒有加密,數據將以明文形式存儲和傳輸,任何攔截通信或訪問驅動器的人都可以讀取數據。NAS設備還與其他設備和流量共享相同的LAN。這些系統包括計算機、打印機、智能手機、平板電腦和物聯網設備。
NAS加密可能是復雜的過程,如果操作不當,可能會使敏感數據面臨風險。對此,管理員可以通過遵循這七個最佳做法來簡化他們的工作。
1. 確定要加密的內容
加密和解密數據會降低性能,有時會很顯著。這里影響的程度取決于NAS設備、企業如何部署加密以及存儲單元是否包含加密加速器。在某些情況下,加密還會降低數據縮減技術的效率。
因此,僅加密需要受到保護或需要遵守適用法規的數據。根據數據的機密性要求對數據進行優先級排序。為了幫助確定數據的優先級,請考慮如果某些類型的數據遭到破壞會產生的影響。
2. 加密靜態敏感數據
靜態數據是指存儲在NAS設備上的數據,而不是端點之間傳輸的數據。這可能是傳輸數據的副本,但核心數據本身會持久保存到NAS介質。
使用NAS加密可保護敏感數據免遭未經授權的訪問,即使設備被盜也是如此。但是,請確保用于加密和解密操作的加密模塊符合公認的標準,例如NIST制定的聯邦信息處理標準。
請使用高級加密技術,例如AES 256位加密。請加密元數據和其余數據。此外,加密應該能夠根據需要進行擴展,而幾乎不會中斷操作。
3. 加密動態敏感數據
傳輸中的數據容易受到竊聽和劫持等威脅。除非數據經過加密,否則網絡攻擊者可以訪問在NAS設備和其他系統(包括其他NAS設備)之間傳輸的機密信息。因此,非常重要的是,對傳輸到 NAS 設備或從 NAS 設備傳輸的任何敏感數據進行加密。
對于超出企業受保護域的通信,NAS加密尤其重要,盡管這并不意味著內部網絡沒有風險。惡意員工或粗心大意的用戶可能同樣構成威脅。對動態數據進行加密時,請使用行業標準協議(例如傳輸層安全協議),并關閉 NAS 設備上所有未使用的端口。此外,應涵蓋所有敏感信息,包括備份和復制的數據。
4. 加密管理會話
管理員經常需要訪問他們的NAS系統以配置和控制存儲組件,有時遠程連接到系統。管理訪問與其他類型的通信一樣容易受到攻擊。攻擊者可以攔截會話數據,并訪問NAS環境本身,在那里他們可以更改權限、竊取敏感信息、引入惡意軟件或破壞數據。無論管理員是通過API、命令行界面還是其他客戶端工具進行連接,請始終加密管理會話以防止數據泄露和其他風險。
5. 使用虛擬專用網絡
虛擬專用網絡通過互聯網提供加密連接。它隱藏有關會話的詳細信息,并為與NAS設備遠程通信的客戶端系統添加額外的保護層。由于虛擬專用網絡會偽裝用戶的在線身份和活動,攻擊者更難以竊取數據或破壞系統,甚至無法推斷會話的內容或數據類型。在COVID-19大流行期間,虛擬專用網絡變得尤為重要,因為越來越多的人在家工作并需要遠程連接來完成工作。
6. 部署集中密鑰管理
大多數加密方法依賴于加密密鑰來加密和解密數據。因此,企業應該將密鑰管理納入NAS加密策略。加密密鑰必須得到正確生成、分發、儲存,并在完成使命后銷毀。這個過程需要集中的密鑰管理系統,以維護密鑰并保護它們免受未經授權的訪問。
如果沒有這個系統,密鑰可能會被泄露,使未經授權的個人有可能冒充用戶、訪問敏感數據、攔截消息,或進行一系列其他惡意行為。密鑰管理還應考慮適用的法規,包括數據保護法律,以及與導入和導出加密技術相關的法律。
7. 不要僅僅依靠加密來保護敏感數據
加密是可用于保護敏感數據的最重要機制之一,但它不是唯一的工具。數據保護需要多層安全,以防止數據受到多種方式的破壞。
例如,員工可能被授權訪問公司網絡上的PII數據。當用戶登錄并訪問數據時,它會被解密并以純文本形式呈現,以便用戶可以處理信息。如果網絡攻擊者獲得用戶的登錄憑據,攻擊者將能夠訪問網絡并查看該員工可用的任何數據,即使數據經過加密。
