數據保護的層次

很大一部分的數據“保護”工作都涉及到數據加密。在數據中心，數據可以有三種狀態：休息，運行和被使用。最常見的加密是在設備層面的加密，以便保護那些處于休息和運行狀態的數據。通常，設備層面進行加密相對容易實現，但其也只是提供了最低水平的數據保護。

大多數人認為，當數據保護是實現全磁盤加密(包括磁盤驅動器本 身的加密或者文件系統的加密)就自然實現了對處于休息狀態的數據加密。但我們將這種方法僅僅視為對設備的保護，因為如果您拔出磁盤驅動器，所有磁盤上的數 據固然均是加密的，只有那些有私人密鑰能夠解密數據的才可以訪問。但當磁盤被操作時，整盤加密或加密文件系統沒有提供任何保護。當文件被讀取或復制，其會 自動解密，而當這些數據被轉移到另一個平臺，加密并不會同時隨之轉移。

運行中的數據加密通常被認為是通過協議，如SSL/TLS保障的。在運行中的數據保護是通過這些協議的嗅探。而沒有私人密鑰，將無法解密數據。

　　另一種考慮對休息和運行狀態數據保護的互補的方案是 以數據為中心，而非以設備為中心的加密。如果對單個文件進行了加密，那么，就算某人刪除了驅動設備或試圖在傳輸過程中攔截敏感數據數據仍然是受保護的。只 要在休息和運行狀態的數據被鎖定，那么你將不再依賴于單個設備或傳輸協議來為加密的數據提供保護，因為無論到哪里，以何種傳輸方式，其在本地存儲，SAN或NAS，或云中均是受保護的。

以數據為中心的方法?

以數據為中心的保護方法在技術上并不比設備加密更難。在過去，有關加密障礙和以數據為中心的保護的某些誤解主要是由于諸如企業缺乏有實力可以處理或加密大型機的內部人員等因素造成的。因此首先，我們將向大家介紹有關于以數據為中心的加密和設備級加密之間的差異的一些基本知識。

對于設備級加密，通常需要X.509證書以便在加密操作中提供密鑰，通常用很少的配置。從這點上看，既然已經對整體進行了加密，就沒有必要選擇 對個別證書進行加密了，因為該設備已經采用了相同的通用加密。其執行是很容易的，也并非完全沒有價值，但其越來越受到高級攻擊或不必要的“訪客”威脅。

而另一方面，以數據為中心的加密保護單個文件，利用特定的認證確保每個文件只有那些具有特定訪問權限的人才能訪問。以數據為中心的安全性要求以 一個經紀人協商的身份組合應用程序，密鑰和加密算法。身份驗證，要求您首先告知應用程序您是誰，然后關聯相應的密鑰認證您的身份。接下來，應用程序利用密 鑰與適當的加密算法通過使用平臺，并利用相應的密鑰對數據進行加密解密。以數據為中心的加密解決方案都能夠使用多種鍵控源，以及聯系特定的鍵進行身份識 別。他們還可以利用硬件加密的優勢，這將盡可能高效地進行數據加密。如主鍵訪問等功能使密鑰管理更加容易，并且能夠在非常大的規模來實現。

在實踐中的保護

安全就是縱深防御。以數據為中心的加密是對以設備為中心的加密的互補，但鑒于當今世界數據移動的大趨勢，我們必須著眼于數據第一，然后才是設備。因此，在數據傳輸過程中的數據保護遠比單純確保設備的安全更有效。

了解一些以數據為中心的安全的級聯效應，如從存儲的角度來看到影響是非常重要的。一個鮮為人知的事實是，壓縮加密數據是不可能。根據定義，加密 數據是高度隨機的，因此其不能被壓縮。如果你要對數據進行加密，最好是在加密的同時進行壓縮，因為除此之外你就沒有壓縮加密數據的機會了。

值得一提的是，加密應該從您企業的敏感數據開始。實施更廣泛的加密方法固然有價值，但要煮沸一大片海水可能會錯過某些精致(和現實)業務數據的 安全性。例如，您可以實施數據分類或將其與一個SAN和NAS上批量數據的DLP解決方案結合使用。但你會希望把重點放在敏感數據處理方面，并確保對休息 和運行狀態數據的加密。

以層為出發點

新的NIST框架的第一個版本，避免陷入數據安全的紛爭，如建議加密類型。然而，在固體的方面之一：“層”系統，能夠讓企業和數據管理人員評估 他們的風險偏好和分層的安全需求。較之許多其他的安全措施，其只是努力減少數據安全的預期，這是一個起點。而隨著密碼學作為“分層”的安全方法的一部分， 數據中心管理人員可以建立自己的框架來保護敏感的商業信息安全