随着企业信息化越来越来普遍,内部办公系统、业务系统、对外服务系统已经普遍存在企业内部,这些系统也会产生大量的数据,而随着数据安全越来越严格,企业内部合规化审查也提上日程。
这篇文档主要介绍一个特定场景,业务系统在开发初期已经考虑到数据安全的重要性,对敏感数据进行加密处理,但进行加密所需要的密钥没有进行妥善保管:
a.作为配置文件明文存储;
b.在程序中明文传参固化。
以上这种方式在安全思维中是一大忌:密钥与数据存储一起。
为了满足上面场景合规性要求,且不会更改企业原有系统架构,现在提供KEK的解决方案。如下 Ciphertrust Manager可信密码管理平台对REST API支持图:
1. Ciphertrust Manager生成KEK;
2. 各应用系统调用Rest API对原有明文密钥进行加密,然后密文存储在各应用系统配置文件中;
3. 当业务需要数据处理的时候,调用REST API,获取明文数据加密密钥DEK,对数据处理,此时明文数据加密密钥DEK只存在于内存中,当处理数据中断,内存中密钥清除。
CipherTrust Manager使组织能够集中管理泰雷兹(Thales)和第三方产品的加密密钥。
它简化了密钥生命周期管理任务,包括安全密钥生成、备份/恢复、集群、归档和销毁。
它提供了对密钥和策略的基于角色的访问控制、多租户支持,以及对所有密钥管理和加密操作的可靠审计和报告。CipherTrust Manager中的统一管理控制台可以轻松发现和分类数据,并使用Thales提供的一套全面的数据保护连接器来保护任何位置的敏感数据。
CipherTrust Manager有虚拟和物理两种形式,可以使用FIPS 140-2验证设备安全地存储具有提升信任根的主密钥。这些设备既可以部署在本地,也可以部署在私有或公共云基础设施中。这使客户能够满足数据安全的合规性要求、法规要求和行业安全实践需求。
CipherTrust Manager安全的保证了KEK的安全性,并且可以记录业务调用的日志信息。对于KEK,CipherTrust Manager实现对KEK的密钥轮转功能,满足企业对密钥生命周期管理的需求。
企业业务系统在开发初期已经考虑到数据安全的重要性,对敏感数据进行加密处理,但进行加密所需要的密钥没有进行妥善保管?针对这些问题,安策提供密码可信安全管理的解决方案供大家参考。