面對(duì)最近出現(xiàn)的Heartbleed漏洞，尋找具有成本效益、易于使用和可擴(kuò)展的加密解決方案變得非常重要。企業(yè)日常IT管理中肯定使用過加密技術(shù)、架構(gòu)和部署，面對(duì)Heartbleed和Dual_EC_DRBG事件，我們才會(huì)意識(shí)到正確加密的重要性，以及當(dāng)加密部署很糟糕或受到攻擊時(shí)需要付出的成本和代價(jià)。

[[112258]]

在這種情況下，修復(fù)或遷移解決方案以及迅速保護(hù)數(shù)據(jù)的能力是非常重要的。然而，遺憾的是，加密數(shù)據(jù)的理由往往是因?yàn)榉梢?guī)定，而不屬于受資助的安全措施，并且，加密通常比預(yù)期貴得多。如果你的企業(yè)正在尋找具有成本效益、易于使用和可擴(kuò)展的加密解決方案，下面的問題可能會(huì)指引你到正確的方向。

我應(yīng)該加密什么? 這里需要回答三個(gè)關(guān)鍵問題。哪些數(shù)據(jù)需要保護(hù)?(通常情況下，你會(huì)發(fā)現(xiàn)你的數(shù)據(jù)保護(hù)需求會(huì)隨著時(shí)間的推移而增長(zhǎng))。數(shù)據(jù)是什么樣的形式(非結(jié)構(gòu)化文件、數(shù)據(jù)庫、日志等)?數(shù)據(jù)在什么位置，數(shù)據(jù)中心、你的移動(dòng)設(shè)備、云計(jì)算中還是在遠(yuǎn)程位置?

我應(yīng)該怎么加密? 面對(duì)這個(gè)問題，企業(yè)通常會(huì)給出各種答案，還有復(fù)雜的方法來實(shí)現(xiàn)其加密要求。例如，企業(yè)可能會(huì)被要求加密不同應(yīng)用程序上的數(shù)據(jù)。每個(gè)應(yīng)用程序的加密方法可能不同，最終你可能需要多個(gè)加密方法來滿足一個(gè)要求。

密鑰呢? 一些加密選項(xiàng)是平臺(tái)原生功能，然而他們?nèi)狈γ荑€要求，即大多數(shù)加密解決方案必須具有合規(guī)性。我們發(fā)現(xiàn)，雖然加密通常比較容易，但密鑰管理的復(fù)雜性是讓大多數(shù)企業(yè)頭痛的問題。如果你使用密鑰加密，然后將密鑰與沒有受到良好保護(hù)的數(shù)據(jù)放在一起，那你還不如不加密數(shù)據(jù)。

加密幫助你消除什么風(fēng)險(xiǎn)?加密通常被認(rèn)為是保護(hù)數(shù)據(jù)的終極武器，但在實(shí)踐中，很多加密部署并沒能保護(hù)數(shù)據(jù)。數(shù)據(jù)自身沒有防御能力;它必須依賴于它所在的環(huán)境的防御能力。如果企業(yè)使用自加密磁盤加密其數(shù)據(jù)，這就消除了盜竊或數(shù)據(jù)丟失的物理風(fēng)險(xiǎn)。加密還能夠設(shè)置可以訪問數(shù)據(jù)的特權(quán)用戶和程序，但重要的是確保加密消除了這方面的風(fēng)險(xiǎn)。

這是否符合成本效益?跨多個(gè)環(huán)境、用例和應(yīng)用程序進(jìn)行加密的部署和維護(hù)成本可能會(huì)迅速增加。這不僅包含授權(quán)成本，還有運(yùn)營成本。企業(yè)需要問自己這些問題：我需要更改代碼嗎?我需要多個(gè)操作系統(tǒng)支持嗎?我需要密鑰管理解決方案嗎?

許多世界500強(qiáng)企業(yè)面臨著數(shù)據(jù)庫和文件服務(wù)器需要加密的問題，這主要是因?yàn)樾录悠陆鹑诠芾砭諱AS的規(guī)定，該機(jī)構(gòu)倡導(dǎo)通過貨幣政策以及對(duì)新興趨勢(shì)和潛在漏洞的宏觀經(jīng)濟(jì)監(jiān)督來實(shí)現(xiàn)可持續(xù)非通貨膨脹的經(jīng)濟(jì)增長(zhǎng)。一位首席安全架構(gòu)師意識(shí)到，這將花費(fèi)約240萬美元的授權(quán)費(fèi)用，以及需要超過24個(gè)月的時(shí)間來整合加密到一個(gè)自定義應(yīng)用程序。毫無疑問，他被這個(gè)數(shù)字震驚了。

底線是什么?尋找總體擁有成本較低的加密平臺(tái)。你會(huì)發(fā)現(xiàn)這樣更容易得到你需要的預(yù)算，并且通過允許多種數(shù)據(jù)加密方式，創(chuàng)建了一種安全的運(yùn)作業(yè)務(wù)的方式，而不需要改變你運(yùn)作業(yè)務(wù)的方式。