Шифрование диска или файла: что лучше?

Прочитано: 54 раз(а)


Полное шифрование диска сегодня является наиболее часто используемой на практике стратегией шифрования хранящихся данных, но означает ли это, что этого достаточно для предотвращения несанкционированного доступа к вашим данным? Краткий ответ: нет.

Шифрование на основе файлов — это еще одна форма прозрачного шифрования, которая заполняет пробелы, в которых не хватает полного дискового шифрования. К счастью, некоторые поставщики шифрования предлагают несколько типов шифрования.

Очевидно, что какая-то форма шифрования лучше, чем ее отсутствие вообще, но у вас может возникнуть ложное чувство безопасности, если вы используете исключительно полнодисковое шифрование для защиты своих данных. По этой причине важно рассмотреть возможность добавления файлового подхода к вашей текущей практике шифрования. Давайте лучше поймем полное шифрование диска, шифрование файлов, а также преимущества и недостатки каждого из них, чтобы проиллюстрировать, почему оба они важны для обеспечения безопасности на 360°.

Что такое полное шифрование диска?

Как следует из названия, полное шифрование диска (FDE) — это шифрование на уровне диска. Он обеспечивает автоматическое шифрование при записи или чтении данных с диска, но ничего не шифрует на уровне файлов. Он использует один и тот же ключ шифрования для всего диска, который немедленно расшифровывается, как только к устройству осуществляется доступ с действительными учетными данными пользователя. Это означает, что злоумышленники могут получить доступ ко всему, если система скомпрометирована.

Если использовать аналогию, то полное шифрование диска действует примерно так же, как запирание внешних дверей вашего дома без запирания внутренних комнат. Конечно, запереть входную дверь — это хорошая идея, чтобы злоумышленники не смогли легко проникнуть внутрь, но у них неизбежно будет свободный доступ по всему дому, если они каким-то образом смогут получить доступ.

Преимущества Полного Шифрования Диска

Хотя полнодисковое шифрование (FDE) не является целостным подходом к безопасности, оно может предложить некоторые ключевые преимущества. Прежде всего, его просто развернуть. Он предпочитает модель обслуживания «установил и забыл», то есть после того, как шифрование настроено, для его поддержания требуется сделать относительно немного.

FDE также исключает любую человеческую ошибку, когда речь идет о том, зашифровано что-либо на диске или нет. Он не делает различий между конфиденциальной и неконфиденциальной информацией, поэтому по умолчанию все автоматически шифруется. Полнодисковое шифрование также оказывает минимальное влияние на текущую производительность после первоначального воздействия на диск.

Недостатки Полного Шифрования Диска

Конечно, у полного шифрования диска есть и недостатки. Во-первых, данные защищены только до тех пор, пока они находятся на диске. И, как мы уже установили, FDE ненадежен, если вся система физически скомпрометирована. Полнодисковое шифрование, особенно в сочетании с подходом к шифрованию «все или ничего», обеспечивает минимальное соответствие различным стандартам безопасности , таким как PCI-DSS, HIPAA и GDPR. Это также означает, что методы резервного копирования становятся более громоздкими, поскольку необходимо выполнить резервное копирование всего диска одновременно, вместо того чтобы иметь возможность определить приоритетность файлов или каталогов, которые являются наиболее важными.

FDE также не шифрует ничего глубже, чем уровень диска — это означает, что метаданные, файловые структуры и содержимое самих файлов легко доступны любому действительному пользователю. Аналогичным образом, полнодисковое шифрование предлагает только широкие журналы аудита, а это означает, что невозможно детально просмотреть активность или потенциальные угрозы, используя только полнодисковое шифрование.

Что такое файловое шифрование?

В отличие от FDE, файловое шифрование (FBE) шифрует отдельные файлы или каталоги, а не весь диск. Это можно сделать автоматически, но некоторые пользователи предпочитают шифровать каждый файл вручную, чтобы обеспечить точный контроль над безопасностью своих данных. Каждый элемент зашифрован уникальным ключом, что иногда может быть как хорошо, так и плохо.

Если использовать другую аналогию, шифрование на основе файлов похоже на сейф, хранящийся в хранилище банка. Даже если хранилище взломано, каждый ящик внутри сохраняет свой уровень безопасности, взлом которого требует целенаправленных усилий.

Преимущества Шифрования Файлов

Преимущества файлового шифрования немного более существенны, чем у FDE. Очевидно, что шифрование сверху вниз идеально подходит для сокрытия информации о метаданных, файловой структуре, каталогах и т. д. в дополнение к содержимому каждого файла. Это также предлагает уникальное преимущество для многопользовательских систем: поскольку каждый ключ шифрования уникален для конкретного пользователя, по умолчанию два пользователя не могут получить доступ к одному и тому же файлу. Шифрование файлов также можно использовать для защиты данных в движении.

В отличие от полнодискового шифрования, FBE обеспечивает детальный контроль и журналы доступа, поэтому пользователи могут контролировать свою систему и выявлять угрозы безопасности, как только они происходят. Это также влияет на аналитику и отчетность, поскольку шифрование может выявить несоответствия в других частях системы.

Недостатки Файлового Шифрования

Одним из недостатков FBE является его несовместимость с операционными системами. Хотя FDE обычно является неотъемлемой частью компьютерной системы (хотя это не всегда так), FBE обычно реализуется с помощью дополнительной программы. Наиболее популярные продукты шифрования, вероятно, будут независимыми от операционной системы, но, как и в случае с любой другой категорией программного обеспечения, это не всегда так.

Еще одним очевидным недостатком FBE является то, что управление многочисленными ключами шифрования не всегда практично. Это бремя легко облегчить с помощью инструментов и служб управления ключами шифрования, но это также означает, что у вас есть другой инструмент или служба, обслуживание которых требует денег и усилий.

FBE или FDE: какое шифрование лучше?

Это может показаться сложным вопросом, но, учитывая все перечисленные выше преимущества и недостатки, легко понять, почему один метод шифрования по своей сути не лучше другого. Фактически, многоуровневый подход, использующий обе модели шифрования, является идеальным решением для большинства сценариев. Шифрование на основе файлов заполняет многие бреши в безопасности, которые оставляет полное шифрование диска, поэтому реализация обеих мер означает, что ваши данные всегда будут защищены независимо от того, находятся ли они в движении или в состоянии покоя.

Шифрование диска или файла: что лучше?



Новости партнеров