敏感信息加密
最近更新时间: 2024-06-12 15:06:00
简介
敏感信息加密是密钥管理服务(KMS)核心的能力,实际应用中主要用来保护服务器硬盘上敏感数据的安全(小于4KB),如密钥、证书、配置文件等。 使用 CMK 加密敏感数据信息,而非直接将明文放置到云服务器上。使用时,再将密钥解密到内存,保证明文不落盘。这样,即使云服务器因为个人疏忽而遭受不明人员访问,这些数据信息也不会泄漏。
示意图
敏感信息举例
| 密钥,证书 | 后台配置文件 | |
|---|---|---|
| 用途 | 加密业务数据,通信通道,数字签名 | 保存系统架构和其他业务信息,比如数据库 IP、密码 |
| 丢失风险 | 保密信息被盗、加密通道遭监听、签名被伪造 | 业务数据被拖库、成为攻击其他系统的跳板 |
提前规划安全性
敏感信息是访问企业更高机密以及安全通道的钥匙,它本身的安全性尤为重要,所以在公司业务发展的阶段就应该规划其安全性。一个最基本的保护方法就是不要在云服务器硬盘上明文放置敏感信息,而是通过密钥管理服务将它们加密后放置,使用时再解密到内存,保证明文不落盘。 这样的好处是即使云服务器因为个人疏忽而遭受不明人员访问,也无法被直接获取明文敏感信息。对于攻击者来说,获取密文信息后还需要再推测密文文件用途、获取解密访问权限以及编写解密程序,这些将大大提高获取明文信息的难度和被发现的可能性。