- Điện toán đám mây là gì?›
- Trung tâm khái niệm về điện toán đám mây›
- Bảo mật, danh tính và tuân thủ›
- Mã hóa dữ liệu là gì?
Mã hóa dữ liệu là gì?
Chủ đề trang
- Mã hóa dữ liệu là gì?
- Mã hóa dữ liệu hoạt động như thế nào?
- Mã hóa dữ liệu được sử dụng để làm gì?
- Những loại dữ liệu nào nên được mã hóa?
- Sự khác biệt giữa băm và mã hóa dữ liệu là gì?
- Sự khác biệt giữa chữ ký số và mã hóa dữ liệu là gì?
- Các tiêu chuẩn mã hóa dữ liệu phổ biến là gì?
- Một số điều cần cân nhắc khi lựa chọn kỹ thuật mã hóa dữ liệu là gì?
- AWS có thể giúp đáp ứng các yêu cầu mã hóa dữ liệu của bạn như thế nào?
Mã hóa dữ liệu là gì?
Mã hóa dữ liệu làm xáo trộn một phần dữ liệu, khiến dữ liệu không thể đọc được đối với con người, dịch vụ hoặc thiết bị mà không có khóa để mở khóa nội dung của dữ liệu. Mã hóa làm cho các tệp, đĩa, đối tượng, luồng và các loại dữ liệu khác trở nên riêng tư giữa người mã hóa và người giữ khóa. Ngay cả khi bên thứ ba có quyền truy cập vào dữ liệu được mã hóa, họ không thể truy cập dữ liệu mà không có khóa. Mã hóa dữ liệu là một phần cơ bản của an ninh mạng doanh nghiệp.
Mã hóa dữ liệu hoạt động như thế nào?
Các hệ thống mã hóa hiện đại thường sử dụng mã hóa đối xứng hoặc bất đối xứng, cả hai dạng mật mã.
Mã hóa đối xứng
Mã hóa khóa đối xứng sử dụng một khóa riêng duy nhất để mã hóa và giải mã dữ liệu. Cách thức hoạt động của các khóa đối xứng có nghĩa là bên gửi và bên nhận phải sở hữu khóa mã hóa từ trước.
Nói chung, mã hóa đối xứng nhanh hơn và hiệu quả hơn mã hóa bất đối xứng, khiến nó trở thành lựa chọn rất phù hợp để mã hóa một lượng lớn dữ liệu.
Mã hóa bất đối xứng
Mã hóa đối xứng sử dụng một cặp khóa công cộng và riêng tư:
- Khóa công khai là khóa được sử dụng để mã hóa dữ liệu mà người khác gửi cho bạn. Bạn chia sẻ khóa mã hóa này một cách công khai với các liên hệ của bạn. Khóa này không cần phải là bí mật.
- Khóa riêng tư là khóa mà bạn giữ bí mật và sử dụng để giải mã dữ liệu bí mật mà mọi người gửi cho bạn bằng khóa công cộng.
Hệ thống này loại bỏ nhu cầu trao đổi khóa được chia sẻ một cách an toàn, đây là một trong những hạn chế đáng kể nhất của mã hóa đối xứng.
Các tổ chức thường sử dụng mã hóa bất đối xứng theo các cách sau:
- Sử dụng chữ ký số
- Bảo mật các phiên duyệt web (HTTPS)
- Mã hóa tin nhắn nhạy cảm giữa các bên chưa trao đổi khóa trước đây
Mã hóa bất đối xứng đôi khi còn được gọi là mật mã khóa công cộng.
Mã hóa dữ liệu được sử dụng để làm gì?
Các cá nhân và tổ chức sử dụng các phương pháp mã hóa để bảo vệ dữ liệu và tuân thủ các tiêu chuẩn quy định. Có thể mã hóa dữ liệu đang được lưu trữ, dữ liệu đang được truyền và giữa các thiết bị trên mạng.
Mã hóa dữ liệu đang được lưu trữ
Dữ liệu đang được lưu trữ là dữ liệu mà bạn có trong bộ nhớ. Dữ liệu trong bộ nhớ có thể là dữ liệu được lưu trữ trên ổ cứng, trong đám mây hoặc trong cơ sở dữ liệu. Ví dụ: Các tổ chức thường duy trì bản sao lưu đồng bộ của dữ liệu quan trọng, được mã hóa ở trạng thái lưu trữ, trong đám mây.
Mã hóa dữ liệu đang được truyền
Dữ liệu đang được truyền là dữ liệu được truyền từ hệ thống này sang hệ thống khác qua mạng. Một ví dụ là tương tác giữa trình duyệt web và máy chủ. Khi bạn truy cập một trang web bảo mật, chẳng hạn như ngân hàng, trình duyệt và máy chủ sử dụng một hình thức mã hóa trong quá trình truyền. Mã hóa nội dung truyền thông trong quá trình truyền này được gọi là Bảo mật lớp truyền tải (TLS). Ai đó có thể chặn dữ liệu ngân hàng này qua mạng, nhưng dữ liệu sẽ không thể đọc được.
Mã hóa đầu cuối (E2EE)
Mã hóa dữ liệu đầu cuối tiến hành mã hóa dữ liệu trên hệ thống gửi trước khi truyền. Hệ thống nhận sử dụng khóa giải mã cục bộ sau khi nhận được dữ liệu. Ví dụ: Một ứng dụng nhắn tin an toàn thực hiện mã hóa đầu cuối trên nội dung tin nhắn trên thiết bị của bạn. Dữ liệu chỉ được giải mã khi liên hệ được phê duyệt của bạn nhận được dữ liệu đó trong ứng dụng của họ.
Những loại dữ liệu nào nên được mã hóa?
Các tổ chức thường sử dụng mã hóa để bảo mật dữ liệu nhạy cảm hoặc dữ liệu có quy định.
Dữ liệu tài chính
Mã hóa trong quá trình lưu trữ và trong quá trình truyền là phương pháp thực hành tốt nhất để bảo mật dữ liệu tài chính nhạy cảm, bao gồm các giao dịch, thông tin chi tiết tài khoản và lịch sử tín dụng. Trong lĩnh vực tài chính, nhiều quy định tuân thủ, chẳng hạn như Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI-DSS), yêu cầu có các quy tắc và quy trình mã hóa dữ liệu nghiêm ngặt. Mã hóa ở đây giúp ngăn chặn gian lận và truy cập trái phép.
Dữ liệu thương mại
Nhiều tổ chức cũng muốn mã hóa dữ liệu kinh doanh nhạy cảm, chẳng hạn như các đề xuất, hợp đồng khách hàng, thỏa thuận mức dịch vụ (SLA) và hợp đồng nhà cung cấp. Các ngành và quốc gia cụ thể yêu cầu tuân thủ các quy định và luật pháp, chẳng hạn như Quy định bảo vệ dữ liệu chung (GDPR), bao gồm các tiêu chuẩn mã hóa. Các công ty mã hóa dữ liệu để tránh thiệt hại về tài chính hoặc danh tiếng trong trường hợp vi phạm dữ liệu.
Dữ liệu nhân sự
Sự kết hợp của luật liên bang và địa phương thường quy định cách các tổ chức phải bảo mật dữ liệu nhân sự (HR), đặc biệt là thông tin nhận dạng cá nhân (PII) của nhân viên. Dữ liệu nhân sự cũng thường được chia sẻ với các nền tảng của bên thứ ba, điều này có thể tạo cơ hội để dữ liệu bị lộ hoặc bị chặn.
Thông tin nhận dạng cá nhân (PII)
Thông tin nhận dạng cá nhân (PII) bao gồm dữ liệu mà nếu được tiết lộ, có thể được sử dụng để xác định một cá nhân. Tên, địa chỉ và số An sinh xã hội là tất cả các ví dụ về PII. Mã hóa PII giúp các tổ chức ngăn chặn hành vi trộm cắp danh tính và đảm bảo tuân thủ luật bảo mật toàn cầu.
Ví dụ: Các quy định như GDPR ở Liên minh châu Âu và Đạo luật về quyền riêng tư của người tiêu dùng ở California (CCPA) yêu cầu các tổ chức bảo vệ PII trong quyền quản lý của họ. Mã hóa là một công cụ thường được sử dụng để đáp ứng các tiêu chuẩn này.
Thông tin y tế được bảo vệ (PHI)
Các nhà cung cấp dịch vụ chăm sóc sức khỏe, công ty bảo hiểm và bộ phận nhân sự xử lý thông tin y tế được bảo vệ (PHI), bao gồm thông tin y tế hoặc thông tin liên quan đến sức khỏe được liên kết với một cá nhân. Ví dụ về PHI bao gồm hồ sơ y tế điện tử, lịch sử điều trị và dữ liệu đơn thuốc.
Các luật như Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (HIPAA) ở Hoa Kỳ yêu cầu thực hiện các biện pháp bảo mật dữ liệu. Các biện pháp này bảo vệ tính bảo mật, tính toàn vẹn và độ sẵn sàng của PHI điện tử (ePHI). Cũng như PII, mã hóa là một công cụ phổ biến được sử dụng để đáp ứng HIPAA và các tiêu chuẩn PHI khác.
Sự khác biệt giữa băm và mã hóa dữ liệu là gì?
Thuật toán băm lấy dữ liệu, chẳng hạn như tệp hoặc tin nhắn và tính toán một chuỗi ký tự duy nhất cho dữ liệu, được gọi là hàm băm. Nếu ai đó hoặc một điều gì đó thay đổi dữ liệu ban đầu, thậm chí một chút, giá trị hàm băm cũng thay đổi. Do đó, hàm băm thường được sử dụng để giúp xác minh tính toàn vẹn và tính xác thực của dữ liệu.
Trái ngược với mã hóa, thuật toán băm là các hàm toán học một chiều. Các hàm này không có khóa mật mã và không thể đảo ngược. Các tổ chức thường sử dụng băm và mã hóa cùng nhau để xác minh rằng dữ liệu là xác thực và không bị thay đổi.
Sự khác biệt giữa chữ ký số và mã hóa dữ liệu là gì?
Chữ ký số là một công cụ để xác minh tính xác thực của bên gửi. Chữ ký số sử dụng cả mã hóa dữ liệu khóa công cộng và hàm băm.
Chữ ký số hoạt động thông qua quy trình sau:
- Bên gửi tạo một băm dữ liệu của họ để chứng minh đó là dữ liệu chân thực và không bị thay đổi.
- Sau đó, bên gửi mã hóa hàm băm đó để tạo chữ ký số.
- Bên nhận sẽ nhận được dữ liệu cùng với chữ ký được liên kết. Bên này chạy khóa giải mã trên chữ ký và tạo ra một hàm băm mới của dữ liệu để so sánh với bản gốc được giải mã.
Nếu cả hai hàm băm khớp, bên nhận có thể tự tin rằng bên gửi xác định đã gửi dữ liệu và không có thay đổi nào xảy ra trong quá trình truyền.
Các tiêu chuẩn mã hóa dữ liệu phổ biến là gì?
Tiêu chuẩn mã hóa đối xứng được sử dụng rộng rãi nhất hiện nay là Tiêu chuẩn mã hóa nâng cao (AES), với phần lớn lưu lượng truy cập internet trên thế giới được mã hóa bằng AES. Tiêu chuẩn bất đối xứng phổ biến nhất là Rivest-Shamir-Adleman (RSA). RSA thiên về điện toán hơn AES và được sử dụng phổ biến hơn để mã hóa khối lượng dữ liệu nhỏ, chẳng hạn như chữ ký số.
Bạn có thể sử dụng kết hợp AES và RSA. Vì RSA có hiệu quả nhất trong việc mã hóa khối lượng dữ liệu nhỏ, RSA có thể được dùng để mã hóa các khóa AES được gửi kèm với các truyền tải dữ liệu lớn sử dụng mã hóa đối xứng.
Tiêu chuẩn mã hóa nâng cao (AES)
AES là một đặc điểm kỹ thuật cho mã hóa đối xứng được thiết lập vào năm 2001 bởi Viện tiêu chuẩn và công nghệ quốc gia (NIST) Hoa Kỳ. AES sử dụng thuật toán mã hóa được phát triển bởi các nhà mật mã Joan Daemen và Vincent Rijmen và hỗ trợ kích thước khóa mã hóa 128 hoặc 256 bit (được gọi là AES-128 và AES-256).
RSA
Tên gọi RSA bắt nguồn từ các nhà khoa học tại MIT có tên Rivest, Shamir và Adleman, đã phát triển thuật toán này vào năm 1977. RSA sử dụng các cặp số nguyên tố lớn được tạo bí mật để tạo khóa riêng tư và công cộng. RSA sử dụng “bài toán phân tích ra thừa số” trong toán học cho mô hình mã hóa của RSA. Không tồn tại phương pháp tính toán hiệu quả nào để đảo ngược các thừa số nguyên tố của các số cực lớn, như những số được sử dụng để tạo khóa RSA.
Tiêu chuẩn mã hóa dữ liệu (DES)
Tiêu chuẩn mã hóa dữ liệu (DES) là một tiêu chuẩn mã hóa cũ hơn được NIST ngừng sử dụng vào năm 2002 để thay thế bằng AES. DES sử dụng khóa 56 bit để mã hóa dữ liệu theo các khối 64-bit, và các nhà nghiên cứu đã phát hiện ra rằng phương pháp này dễ bị tấn công dò tìm. Mặc dù dễ bị tấn công bởi các kỹ thuật xâm nhập hiện đại và các vụ rò rỉ dữ liệu, DES vẫn được sử dụng trong các hệ thống cũ ngày nay.
Một số điều cần cân nhắc khi lựa chọn kỹ thuật mã hóa dữ liệu là gì?
Các kỹ thuật mã hóa dữ liệu bạn chọn không nên chỉ dừng lại ở khả năng bảo vệ dữ liệu. Những kỹ thuật này phải phù hợp với mục tiêu kinh doanh và tuân thủ các yêu cầu quy định.
Hãy xem xét bốn yếu tố này khi chọn kỹ thuật mã hóa cho tổ chức của bạn.
Đánh giá độ nhạy cảm của tài sản
Không phải tất cả dữ liệu đều yêu cầu bảo mật giống nhau. Dữ liệu nhạy cảm có thể yêu cầu mã hóa đầu cuối đầy đủ. Dữ liệu ít nhạy cảm hơn có thể cần ít hoặc không cần mã hóa.
Hiểu môi trường bảo mật
Một số tổ chức nói chung có thể là mục tiêu, chẳng hạn như các tổ chức tài chính hoặc cơ quan chính phủ. Những tổ chức khác, chẳng hạn như các công ty ứng dụng, có thể có lượng dữ liệu đang được lưu trữ tối thiểu trên cơ sở hạ tầng của riêng họ, điều này có thể gây ra rủi ro bảo mật. Chọn các kỹ thuật phù hợp với hồ sơ rủi ro của từng bộ tài sản kỹ thuật số trong tổ chức của bạn.
Sử dụng các tiêu chuẩn hiện đại
Không phải tất cả các thuật toán mã hóa đều cung cấp cùng cấp độ bảo vệ. DES, phiên bản phái sinh 3DES và các tiêu chuẩn cũ hơn thường không thể bảo vệ khỏi các cuộc tấn công hiện đại. Tìm kiếm các dịch vụ mã hóa sử dụng các tiêu chuẩn hiện tại, chẳng hạn như mã hóa AES-256 và RSA với khóa 2048 bit.
Đáp ứng yêu cầu về tuân thủ
Nhiều ngành công nghiệp và khu vực pháp lý có các quy định cụ thể yêu cầu mã hóa để bảo vệ dữ liệu nhạy cảm. Ví dụ: PCI-DSS yêu cầu các tổ chức xử lý và truyền thông tin thẻ tín dụng tiêu dùng một cách bảo mật.
AWS có thể giúp đáp ứng các yêu cầu mã hóa dữ liệu của bạn như thế nào?
AWS có một loạt các dịch vụ hỗ trợ quản lý khóa và mã hóa dựa trên đám mây.
AWS CloudHSM cho phép bạn tạo và sử dụng các khóa mật mã trên các phiên bản mô-đun bảo mật phần cứng chuyên dụng, đơn thuê, đáp ứng tiêu chuẩn Tiêu chuẩn xử lý thông tin liên bang (FIPS) 140-2 cấp độ 3. AWS CloudHSM thúc đẩy tuân thủ bằng cách sử dụng các phiên bản HSM đơn thuê, do khách hàng sở hữu, chạy trong chính Đám mây riêng ảo (VPC) của bạn.
Dịch vụ quản lý khóa của AWS (AWS KMS) là dịch vụ cho phép bạn tạo và kiểm soát các khóa được sử dụng để mã hóa dữ liệu trong ứng dụng của mình. AWS KMS sử dụng thư viện mã hóa dữ liệu SDK mã hóa của AWS (bộ công cụ phát triển phần mềm).
AWS Payment Cryptography đơn giản hóa các hoạt động mật mã trong các ứng dụng thanh toán được lưu trữ trên đám mây.
Trình quản lý thông tin bí mật của AWS mã hóa các thông tin bí mật ở trạng thái lưu trữ bằng cách sử dụng các khóa mã hóa mà bạn sở hữu và lưu trữ trong AWS KMS.
Bắt đầu sử dụng mã hóa dữ liệu trên AWS bằng cách tạo tài khoản miễn phí ngay hôm nay.