SAS 資訊安全 (16)

教學目標

初步了解 SAS Viya 平台加密技術的基本概念。

重點概念

首先目前有越來越多的產業,像是零售、製造、媒體、金融、政府、醫療、…等產業,目前皆需要使用加密技術,主要解決法規遵循、防止機敏資料外洩、移轉雲端部署、…等相關問題,若是沒妥善進行加密處理將會影響客戶的聲譽,以及遭受罰款。此時 SAS Viya 解決方案就能有效進行加密處理,以解決客戶所面臨的問題,加密技術在 SAS 中針對加密的主要有三種類型,分別為:

  1. At-rest Encryption:主要針對儲存空間中的資料進行加密。
  2. In-motion Encryption:主要針對處理程序之間傳輸的資料進行加密。
  3. In-use encryption:主要針對移出和移入記憶體中的資料進行加密。

其中 In-use Encryption 的加密類型,因為需要硬體和作業系統修改相關的操作,但是 SAS Viya 解決方案主要以應用程式軟體資料安全為主,所以目前並沒有對應的加密技術。

接著加密主要是由數學程序執行資料加密的計算,也就是加密演算法,透過演算法資訊將會被轉換為無意義的密文,並且需要使用金鑰才能夠進行密文的解密。金鑰也就是密碼金鑰主要是被使用於加密演算法的位元字串,是加密運作中最核心且最重要的部份。至於加密金鑰的技術主要有五種,分別為:

  1. Symmetric Key Encryption:相同金鑰進行加密和解密。
  2. Asymmetric Key Encryption:一個金鑰進行加密,另一個金鑰進行解密。
  3. Public Key Encryption:分享公開金鑰進行加密,僅有私密金鑰才能夠解密。
  4. Transport Layer Encryption (TLS):主要提供隱私和資料完整性得安全通訊。
  5. Hashing:轉換字元文字至固定長度值或關鍵值。

其中 Symmetric Key Encryption 非常快,強度取決於演算法和金鑰長度,但是困難於安全的分散金鑰,像是 3DES、AES。Asymmetric Key Encryption 非常慢,強度取決於演算法和金鑰長度,能夠安全的分散公開金鑰,像是 TLS 和 SSH。Public Key Encryption 則常被用於安全連線或數位簽章等應用。Transport Layer Encryption (TLS) 主要有兩層,第一層是 Record Protocol 提供連線安全,主要使用對稱金鑰加密。第二層是 Handshake Protocol 提供允許伺服器和客戶端驗證另一方、協商加密演算,以及用於資料交換的加密金鑰,也就是公開金鑰。 Hashing 主要透過加密雜湊函數或數學演算進行單向轉向,無法還原,此外還可以再透過 Salt 隨機資料讓雜湊值更安全,主要確保資料的完整性,避免資料傳輸時被更改。

再來在 SAS Viya 中針對加密技術的關鍵服務主要有四個,分別為:

  1. Apache HTTP Server:主要透過代理的功能實作 HTTPS 安全連線之應用。
  2. SAS Secrets Manager:主要建立私密金鑰和簽署給予服務使用的伺服器憑證。
  3. SAS Credentials Microservice:主要儲存對於使用者存取第三方資源的外部憑據。
  4. SAS Configuration Server:主要儲存加密設定的資訊。

最後 SAS Viya 在 Linux 作業系統中將會以預設設定 Encryption in-motion 安全連線,主要以是 Transport Layer Encryption (TLS) 加密技術為主,但是 SAS Cloud Analytics Services inter-node communication 和 SAS Embedded Process 預設不會進行設定,若有需要則要進行手動設定,此外 SAS Viya 主要是透過 SAS Secrets Manager 產生服務安全連線 (HTTPS) 相關的私密金鑰和簽署伺服器憑證,請注意並不包括 Apache HTTP Server 的部份,因為 Apache HTTP Server 相關的私密金鑰和簽署伺服器憑證主要還是會以企業環境因素和作業系統為主。

相關資源