加密是保護(hù)網(wǎng)絡(luò)附加存儲(NAS)上數(shù)據(jù)的最有效工具之一。在加密后，即使網(wǎng)絡(luò)攻擊者獲得驅(qū)動器的訪問權(quán)限或攔截驅(qū)動器的通信，如果沒有加密密鑰，攻擊者將無法讀取數(shù)據(jù)。 通過使用NAS加密，可防止未經(jīng)授權(quán)個人訪問靜態(tài)或動態(tài)機(jī)密數(shù)據(jù)。

[[426272]]

這些數(shù)據(jù)可能包括信用卡號、知識產(chǎn)權(quán)、醫(yī)療記錄、個人身份信息 (PII) 或其他類型的機(jī)密數(shù)據(jù)。此外，使用加密可確保遵守 GDPR 或 HIPAA 等法規(guī)。

如果沒有加密，數(shù)據(jù)將以明文形式存儲和傳輸，任何攔截通信或訪問驅(qū)動器的人都可以讀取數(shù)據(jù)。NAS設(shè)備還與其他設(shè)備和流量共享相同的LAN。這些系統(tǒng)包括計算機(jī)、打印機(jī)、智能手機(jī)、平板電腦和物聯(lián)網(wǎng)設(shè)備。

NAS加密可能是復(fù)雜的過程，如果操作不當(dāng)，可能會使敏感數(shù)據(jù)面臨風(fēng)險。對此，管理員可以通過遵循這七個最佳做法來簡化他們的工作。

1. 確定要加密的內(nèi)容

加密和解密數(shù)據(jù)會降低性能，有時會很顯著。這里影響的程度取決于NAS設(shè)備、企業(yè)如何部署加密以及存儲單元是否包含加密加速器。在某些情況下，加密還會降低數(shù)據(jù)縮減技術(shù)的效率。

因此，僅加密需要受到保護(hù)或需要遵守適用法規(guī)的數(shù)據(jù)。根據(jù)數(shù)據(jù)的機(jī)密性要求對數(shù)據(jù)進(jìn)行優(yōu)先級排序。為了幫助確定數(shù)據(jù)的優(yōu)先級，請考慮如果某些類型的數(shù)據(jù)遭到破壞會產(chǎn)生的影響。

2. 加密靜態(tài)敏感數(shù)據(jù)

靜態(tài)數(shù)據(jù)是指存儲在NAS設(shè)備上的數(shù)據(jù)，而不是端點之間傳輸?shù)臄?shù)據(jù)。這可能是傳輸數(shù)據(jù)的副本，但核心數(shù)據(jù)本身會持久保存到NAS介質(zhì)。

使用NAS加密可保護(hù)敏感數(shù)據(jù)免遭未經(jīng)授權(quán)的訪問，即使設(shè)備被盜也是如此。但是，請確保用于加密和解密操作的加密模塊符合公認(rèn)的標(biāo)準(zhǔn)，例如NIST制定的聯(lián)邦信息處理標(biāo)準(zhǔn)。

請使用高級加密技術(shù)，例如AES 256位加密。請加密元數(shù)據(jù)和其余數(shù)據(jù)。此外，加密應(yīng)該能夠根據(jù)需要進(jìn)行擴(kuò)展，而幾乎不會中斷操作。

3. 加密動態(tài)敏感數(shù)據(jù)

傳輸中的數(shù)據(jù)容易受到竊聽和劫持等威脅。除非數(shù)據(jù)經(jīng)過加密，否則網(wǎng)絡(luò)攻擊者可以訪問在NAS設(shè)備和其他系統(tǒng)(包括其他NAS設(shè)備)之間傳輸?shù)臋C(jī)密信息。因此，非常重要的是，對傳輸?shù)? NAS 設(shè)備或從 NAS 設(shè)備傳輸?shù)娜魏蚊舾袛?shù)據(jù)進(jìn)行加密。

對于超出企業(yè)受保護(hù)域的通信，NAS加密尤其重要，盡管這并不意味著內(nèi)部網(wǎng)絡(luò)沒有風(fēng)險。惡意員工或粗心大意的用戶可能同樣構(gòu)成威脅。對動態(tài)數(shù)據(jù)進(jìn)行加密時，請使用行業(yè)標(biāo)準(zhǔn)協(xié)議(例如傳輸層安全協(xié)議)，并關(guān)閉 NAS 設(shè)備上所有未使用的端口。此外，應(yīng)涵蓋所有敏感信息，包括備份和復(fù)制的數(shù)據(jù)。

4. 加密管理會話

管理員經(jīng)常需要訪問他們的NAS系統(tǒng)以配置和控制存儲組件，有時遠(yuǎn)程連接到系統(tǒng)。管理訪問與其他類型的通信一樣容易受到攻擊。攻擊者可以攔截會話數(shù)據(jù)，并訪問NAS環(huán)境本身，在那里他們可以更改權(quán)限、竊取敏感信息、引入惡意軟件或破壞數(shù)據(jù)。無論管理員是通過API、命令行界面還是其他客戶端工具進(jìn)行連接，請始終加密管理會話以防止數(shù)據(jù)泄露和其他風(fēng)險。

5. 使用虛擬專用網(wǎng)絡(luò)

虛擬專用網(wǎng)絡(luò)通過互聯(lián)網(wǎng)提供加密連接。它隱藏有關(guān)會話的詳細(xì)信息，并為與NAS設(shè)備遠(yuǎn)程通信的客戶端系統(tǒng)添加額外的保護(hù)層。由于虛擬專用網(wǎng)絡(luò)會偽裝用戶的在線身份和活動，攻擊者更難以竊取數(shù)據(jù)或破壞系統(tǒng)，甚至無法推斷會話的內(nèi)容或數(shù)據(jù)類型。在COVID-19大流行期間，虛擬專用網(wǎng)絡(luò)變得尤為重要，因為越來越多的人在家工作并需要遠(yuǎn)程連接來完成工作。

6. 部署集中密鑰管理

大多數(shù)加密方法依賴于加密密鑰來加密和解密數(shù)據(jù)。因此，企業(yè)應(yīng)該將密鑰管理納入NAS加密策略。加密密鑰必須得到正確生成、分發(fā)、儲存，并在完成使命后銷毀。這個過程需要集中的密鑰管理系統(tǒng)，以維護(hù)密鑰并保護(hù)它們免受未經(jīng)授權(quán)的訪問。

如果沒有這個系統(tǒng)，密鑰可能會被泄露，使未經(jīng)授權(quán)的個人有可能冒充用戶、訪問敏感數(shù)據(jù)、攔截消息，或進(jìn)行一系列其他惡意行為。密鑰管理還應(yīng)考慮適用的法規(guī)，包括數(shù)據(jù)保護(hù)法律，以及與導(dǎo)入和導(dǎo)出加密技術(shù)相關(guān)的法律。

7. 不要僅僅依靠加密來保護(hù)敏感數(shù)據(jù)

加密是可用于保護(hù)敏感數(shù)據(jù)的最重要機(jī)制之一，但它不是唯一的工具。數(shù)據(jù)保護(hù)需要多層安全，以防止數(shù)據(jù)受到多種方式的破壞。

例如，員工可能被授權(quán)訪問公司網(wǎng)絡(luò)上的PII數(shù)據(jù)。當(dāng)用戶登錄并訪問數(shù)據(jù)時，它會被解密并以純文本形式呈現(xiàn)，以便用戶可以處理信息。如果網(wǎng)絡(luò)攻擊者獲得用戶的登錄憑據(jù)，攻擊者將能夠訪問網(wǎng)絡(luò)并查看該員工可用的任何數(shù)據(jù)，即使數(shù)據(jù)經(jīng)過加密。