安全專家Karen Scarfone逐一分析了市面上的幾款頂尖全盤(pán)加密產(chǎn)品,確定哪一款可能最適合貴企業(yè)。
全盤(pán)加密(FDE)廣泛應(yīng)用于各種各樣的臺(tái)式機(jī)和移動(dòng)設(shè)備操作系統(tǒng)上。這項(xiàng)技術(shù)可以加密硬盤(pán)上的所有靜態(tài)數(shù)據(jù),從而有助于保護(hù)重要信息,防止泄密。
市面上有多種類型的全盤(pán)加密軟件產(chǎn)品。有些與其他安全套件捆綁在一起,有些是獨(dú)立式的,還有一些內(nèi)置在操作系統(tǒng)中。本文著重分析了非捆綁式的解決方案(獨(dú)立式和內(nèi)置于操作系統(tǒng))。這倒不是說(shuō)捆綁式解決方案較為遜色;不過(guò),評(píng)估捆綁式解決方案所需的標(biāo)準(zhǔn)比純FDE解決方案要廣泛得多。
市面上五款領(lǐng)先的商用FDE產(chǎn)品是:Check Point全盤(pán)加密產(chǎn)品、戴爾數(shù)據(jù)保護(hù)和加密產(chǎn)品、邁克菲全面數(shù)據(jù)保護(hù)產(chǎn)品、Sophos SafeGuard和賽門(mén)鐵克端點(diǎn)加密產(chǎn)品。值得注意的是,戴爾產(chǎn)品既可以在戴爾硬件上使用,也可以在非戴爾硬件上使用。另外還有幾種大受歡迎的開(kāi)源FDE解決方案,包括DiskCryptor。最后,還有操作系統(tǒng)提供的解決方案,比如蘋(píng)果FileVault 2和微軟BitLocker。
所有這些FDE解決方案都得到了廣泛使用,F(xiàn)DE產(chǎn)品問(wèn)世的時(shí)間通常只有短短幾年。這些產(chǎn)品都提供了基本的FDE功能,保護(hù)臺(tái)式機(jī)、筆記本電腦和某些移動(dòng)設(shè)備上的靜態(tài)數(shù)據(jù)。有些還可以用在服務(wù)器上;但是由于它們的主要保護(hù)對(duì)象是臺(tái)式機(jī)和筆記本電腦,所以本文將著重介紹這些計(jì)算機(jī)平臺(tái)。
由于市面上有那么多的FDE產(chǎn)品,找到適合企業(yè)的一款產(chǎn)品可能并非易事。幸好,有許多成熟的產(chǎn)品可供選擇,另外還可以參考區(qū)別FDE產(chǎn)品的七大標(biāo)準(zhǔn)。
第一個(gè)標(biāo)準(zhǔn):設(shè)備部署
操作系統(tǒng)提供的FDE軟件在設(shè)備部署方面似乎會(huì)有顯著的優(yōu)勢(shì),因?yàn)檐浖呀?jīng)作為操作系統(tǒng)的一部分而安裝上去。然而實(shí)際情況并非如此。
在FDE部署環(huán)境中,配置軟件以及嚴(yán)加看管配置的難度常常比軟件安裝大得多。如果用戶能夠改動(dòng)FDE配置,他們就有可能無(wú)意中或有意削弱或禁用這項(xiàng)技術(shù),因而讓它毫無(wú)用處。用戶們還可以對(duì)自己的系統(tǒng)發(fā)動(dòng)拒絕服務(wù)攻擊,只要?jiǎng)h除加密密鑰或者以其他方式對(duì)配置進(jìn)行不明智的更改。
商用FDE產(chǎn)品提供了遠(yuǎn)程部署功能,那樣系統(tǒng)管理員就不需要跑過(guò)去查看每一個(gè)最終用戶設(shè)備。這可以節(jié)省寶貴的時(shí)間,另外對(duì)遠(yuǎn)程用戶(比如說(shuō)遠(yuǎn)程辦公人員和長(zhǎng)時(shí)間出差的人員)來(lái)說(shuō)也必不可少。操作系統(tǒng)提供的微軟BitLocker在一定程度上可以通過(guò)組策略(Group Policy)來(lái)加以管理,但它其實(shí)是用于本地管理,就跟蘋(píng)果FileVault 2一樣。開(kāi)源產(chǎn)品通常需要本地安裝和配置,它們通常假設(shè)循規(guī)蹈矩的最終用戶不會(huì)更改FDE配置。
第二個(gè)標(biāo)準(zhǔn):產(chǎn)品管理
就FDE而言,管理并不完全局限于FDE配置。管理的許多方面需要考慮,包括密鑰輪換、密碼更改、補(bǔ)丁安裝和密碼升級(jí)(比如加大密鑰長(zhǎng)度和采用新的加密算法)。
就企業(yè)FDE部署環(huán)境而言,集中式管理的重要性再怎么強(qiáng)調(diào)都不為過(guò)。FDE的主要成本不在于軟件本身,而在于管理和支持。就因?yàn)槟晨罱鉀Q方案的初始成本較低,并不意味著從長(zhǎng)遠(yuǎn)來(lái)看其實(shí)際運(yùn)營(yíng)成本也會(huì)比較低。開(kāi)源解決方案通常并不提供任何形式的集中式管理功能,這樣一來(lái),管理和支持起來(lái)特別費(fèi)錢(qián),尤其是在規(guī)模相當(dāng)大的企業(yè)里。
FDE方面最讓人驚訝的地方之一是,操作系統(tǒng)提供的產(chǎn)品常常被認(rèn)為難以管理,使用其他FDE產(chǎn)品來(lái)作為補(bǔ)充。本文測(cè)評(píng)的一些商用產(chǎn)品實(shí)際上能夠?yàn)椴僮飨到y(tǒng)提供的FDE添加管理功能,比如戴爾數(shù)據(jù)保護(hù)和加密產(chǎn)品、邁克菲全面數(shù)據(jù)保護(hù)產(chǎn)品和Sophos SafeGuard。從性能的角度來(lái)看這具有優(yōu)勢(shì)――能夠使用原生FDE功能,同時(shí)確保已部署了單一、強(qiáng)大的集中式管理框架,能夠同時(shí)滿足FileVault和BitLocker的需要。
第三個(gè)標(biāo)準(zhǔn):兼容性
就與現(xiàn)有環(huán)境兼容而言,許多企業(yè)應(yīng)該最關(guān)心的是FDE解決方案如何處理進(jìn)入休眠或待機(jī)模式的設(shè)備(通常是筆記本電腦)。問(wèn)題在于,處于這樣一種模式的筆記本電腦會(huì)丟失或被偷;如果FDE沒(méi)有對(duì)電腦存儲(chǔ)的數(shù)據(jù)進(jìn)行強(qiáng)有力的保護(hù),那么敏感數(shù)據(jù)就很容易外泄。
由于兼容性因產(chǎn)品和操作系統(tǒng)而異(甚至有可能因環(huán)境而異),強(qiáng)烈建議企業(yè)組織使用所考慮的每款FDE解決方案來(lái)測(cè)試自己的設(shè)備――無(wú)論是原生操作系統(tǒng)解決方案(微軟BitLocker和蘋(píng)果FileVault 2),第三方解決方案(Check Point全盤(pán)加密產(chǎn)品、戴爾數(shù)據(jù)保護(hù)和加密產(chǎn)品、邁克菲全面數(shù)據(jù)保護(hù)產(chǎn)品、Sophos SafeGuard和賽門(mén)鐵克端點(diǎn)加密產(chǎn)品),還是開(kāi)源解決方案(DiskCryptor)。那樣一來(lái),它們就能明白在其特定的環(huán)境下,各種FDE解決方案在電腦休眠或待機(jī)期間會(huì)有怎樣的表現(xiàn)。
FDE軟件與直接訪問(wèn)硬盤(pán)的應(yīng)用程序之間可能也會(huì)有沖突――有些很明顯,比如磁盤(pán)實(shí)用工具,有些則不太明顯,比如某些資產(chǎn)管理程序。強(qiáng)烈建議企業(yè)組織對(duì)照可能直接訪問(wèn)硬盤(pán)的任何應(yīng)用程序,測(cè)試每一款有意購(gòu)買(mǎi)的FDE產(chǎn)品,找出任何不兼容之處,然后聯(lián)絡(luò)受影響產(chǎn)品的廠商,詢問(wèn)可能的解決辦法。
第四個(gè)標(biāo)準(zhǔn):驗(yàn)證服務(wù)整合
通常建議企業(yè)組織為FDE采用多因子驗(yàn)證(MFA),那樣完全重復(fù)使用操作系統(tǒng)密碼驗(yàn)證的產(chǎn)品通常不被接受。FDE軟件應(yīng)該有自己的驗(yàn)證機(jī)制,或者利用企業(yè)級(jí)MFA,比如活動(dòng)目錄、智能卡或密碼令牌(后者最好)。本文中提到的所有商用產(chǎn)品都支持多因子驗(yàn)證,包括智能卡和密碼令牌,而戴爾數(shù)據(jù)保護(hù)和加密產(chǎn)品尤其值得一提,原因在于它還專門(mén)支持生物特征識(shí)別技術(shù)。至于蘋(píng)果FileVault 2和微軟BitLocker功能,驗(yàn)證服務(wù)方面的選項(xiàng)相當(dāng)有限,除非FileVault或BitLocker之外還使用可以添加集中式管理及其他功能的第三方商用產(chǎn)品。
第五個(gè)標(biāo)準(zhǔn):密鑰恢復(fù)
密碼密鑰恢復(fù)是FDE的一項(xiàng)特別重要的管理功能,因?yàn)槿绻艽a恢復(fù)失敗或沒(méi)有可能,受影響用戶就會(huì)永遠(yuǎn)無(wú)法訪問(wèn)所有本地存儲(chǔ)的數(shù)據(jù)。復(fù)雜的集中式密鑰恢復(fù)功能只有商用附加產(chǎn)品才提供。FileVault提供了一定的集中式密鑰恢復(fù):它會(huì)將恢復(fù)密鑰存儲(chǔ)在蘋(píng)果公司,允許用戶致電蘋(píng)果來(lái)恢復(fù)該密鑰。然而,請(qǐng)第三方保管加密密鑰可能會(huì)違反企業(yè)安全政策,所以企業(yè)評(píng)估潛在產(chǎn)品時(shí)一定要留意恢復(fù)密鑰存儲(chǔ)在何處。微軟BitLocker單獨(dú)使用時(shí),并不提供任何的集中式密鑰管理。
商用產(chǎn)品支持管理員執(zhí)行的集中式密鑰恢復(fù)活動(dòng);有些產(chǎn)品還支持用戶實(shí)現(xiàn)自助式恢復(fù),比如Check Point全盤(pán)加密產(chǎn)品和賽門(mén)鐵克端點(diǎn)加密產(chǎn)品。認(rèn)真評(píng)估恢復(fù)方案各自的安全性,這點(diǎn)很重要。
比如說(shuō),自助式恢復(fù)產(chǎn)品可能需要用戶回答一些問(wèn)題,比如他們偏愛(ài)的顏色或?qū)櫸锩Q。不法分子可以利用這些問(wèn)題,在未經(jīng)授權(quán)的情況下擅自獲取用戶的密碼,因而避開(kāi)該用戶設(shè)備上的FDE。評(píng)估密鑰恢復(fù)方案時(shí),企業(yè)組織應(yīng)該先確定執(zhí)行密鑰恢復(fù)的將是用戶還是管理員(還是兩者都可以)。
第六個(gè)標(biāo)準(zhǔn):緩解蠻力攻擊
對(duì)付采用蠻力的密碼攻擊,最常見(jiàn)的緩解手法就是,延長(zhǎng)驗(yàn)證嘗試之間的間隔、將驗(yàn)證嘗試暫停一段時(shí)間,或者在多次嘗試失敗后擦除設(shè)備上的數(shù)據(jù)。如果使用了單因子(密碼)驗(yàn)證,最迫切需要任何這種緩解手法。除了Check Point全盤(pán)加密產(chǎn)品和賽門(mén)鐵克端點(diǎn)加密產(chǎn)品外,本文提到的其他產(chǎn)品都無(wú)法提供對(duì)付蠻力攻擊的緩解手法,所以向廠商詢問(wèn)這方面的詳細(xì)信息很要緊。
第七個(gè)標(biāo)準(zhǔn):密碼算法
考慮到密碼技術(shù)的現(xiàn)狀,F(xiàn)DE產(chǎn)品通常應(yīng)該采用高級(jí)加密標(biāo)準(zhǔn)(AES)算法,最好是采用長(zhǎng)度是256位的密鑰。本文提到的所有產(chǎn)品都采用AES,而且都支持使用256位密鑰。
另外建議,正式評(píng)估FDE產(chǎn)品,確定它們實(shí)施的密碼機(jī)制是否安全可靠,這實(shí)際上也是一些企業(yè)組織所要求的;最常見(jiàn)的認(rèn)證是聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)140-2合規(guī)認(rèn)證。FIPS 140-2合規(guī)認(rèn)證方面的信息詳見(jiàn)此處(http://searchsecurity.techtarget.com/feature/The-fundamentals-of-FDE-Comparing-the-top-full-disk-encryption-products)。
一些產(chǎn)品并不符合FIPS 140-2,比如賽門(mén)鐵克終端加密和面向Yosemite的蘋(píng)果FileVault 2,但這是由于這些是新產(chǎn)品(2014年底才推出)。這些產(chǎn)品正等著進(jìn)行FIPS 140-2測(cè)試,所以預(yù)計(jì)它們?cè)诓贿h(yuǎn)的將來(lái)會(huì)通過(guò)合規(guī)認(rèn)證。DiskCryptor等開(kāi)源產(chǎn)品并不符合FIPS 140-2標(biāo)準(zhǔn),最可能是由于獲得認(rèn)證面臨經(jīng)濟(jì)負(fù)擔(dān)。因此,需要使用FIPS合規(guī)產(chǎn)品的企業(yè)組織可能不得不出資自行開(kāi)展這些開(kāi)源產(chǎn)品的認(rèn)證過(guò)程,如果想要實(shí)施開(kāi)源產(chǎn)品的話。
密碼方面需要考慮的另一個(gè)方面是,密碼密鑰存儲(chǔ)在哪里,本地還是遠(yuǎn)程;如果存儲(chǔ)在本地,又存儲(chǔ)在設(shè)備上的何處。比如說(shuō),戴爾數(shù)據(jù)保護(hù)和加密產(chǎn)品以及微軟BitLocker就能使用本地可信平臺(tái)模塊(TPM),對(duì)存儲(chǔ)的數(shù)據(jù)實(shí)行強(qiáng)有力的保護(hù)。如果密鑰存儲(chǔ)在本地,而存儲(chǔ)的密鑰又沒(méi)有得不到適當(dāng)?shù)谋Wo(hù),攻擊者就能夠恢復(fù)密鑰,避開(kāi)FDE提供的保護(hù)機(jī)制,因而突破設(shè)備的安全防線。
結(jié)束語(yǔ)
本文介紹的所有軟件都可以提供基本的FDE產(chǎn)品。產(chǎn)品是否適合用于企業(yè),最大的決定因素是有無(wú)全面的軟件管理功能。比如說(shuō),盡管許多企業(yè)已經(jīng)擁有了操作系統(tǒng)提供的FDE軟件,但還是購(gòu)買(mǎi)FDE產(chǎn)品,原因就是管理操作系統(tǒng)提供的FDE面臨諸多難題。另外還有一些開(kāi)源產(chǎn)品,它們提供了免費(fèi)的FDE功能,但它們?nèi)鄙俟芾砉δ?,最適合個(gè)人和一次性系統(tǒng)使用,并不適合標(biāo)準(zhǔn)的企業(yè)部署環(huán)境使用。
在諸多商用產(chǎn)品當(dāng)中,沒(méi)有哪款產(chǎn)品具有真正明顯的優(yōu)勢(shì)。每家企業(yè)需要橫向比較產(chǎn)品,確定哪款最適合自己的要求。在許多情況下,這意味著向提供企業(yè)內(nèi)部使用的其他安全產(chǎn)品的同一家廠商購(gòu)買(mǎi)產(chǎn)品。如果將任何商用產(chǎn)品用于整個(gè)企業(yè)的FDE部署環(huán)境,企業(yè)應(yīng)該會(huì)覺(jué)得很輕松。