数据库加密的有效策略与挑战

关键要点

随着网络威胁的不断增加，安全专业人士面临着严峻的挑战。恶意黑客具备技能，能够通过各种方式入侵企业并从中获取已盗取的数据谋取利益。而对于安全专业人士而言，好消息是：提供了强有力的最后防线。

根据，一半的组织声称已经制定了加密策略。当数据经过加密后，在大多数情况下，对恶意行为者来说几乎毫无价值。然而，问题在于加密和解密企业运营数据的过程相当复杂。

这些障碍解释了为何静态数据加密的普及程度远低于通过普遍使用的SSL/TLS协议实现的传输数据加密。历史上，只有政府和军事系统对数据安全的要求极其严格。但随着法规和惩罚的日益严格，以及数据库加密解决方案的可用性与效率的提高，越来越多的企业意识到必须将数据库加密融入其网络安全策略中。

尽管如此，挑战依然存在。数据库加密选项众多，选择最佳解决方案并不是一件易事，尤其是管理启用解密的加密密钥。我们可以将数据库加密方法分为三种：
、数据库插件以及透明数据加密(TDE)。

这种数据库加密方法依赖于对个别应用程序的修改，以实时加密和解密数据库中的数据。加密和解密的负担落在应用程序内的加密代理上，而非数据库。表面上看，这似乎是个简单的解决方案：一旦在应用程序级别实施了加密，所有问题都解决了。

然而，实际上，API方法有许多缺陷，因此有些人认为它是一种过时的选择。团队必须分配大量开发资源来修改商业或专有应用程序以支持加密。此外，团队不仅必须加密数据，还需要修改查询和搜索来访问加密数据。在开发资源本就紧张的情况下，这无疑是一个沉重的任务。

规模问题是另一个挑战。应用程序级别的加密在初期可能表现良好，但随着数据和查询量的增加，应用程序性能会下降，除非动态分配更多计算能力。当多个由不同团队开发或修改的应用程序同时读写同一数据库中的加密数据时，这个问题将更为复杂。

更糟糕的是，在同一数据库中，几乎不可能协调一个应用程序和数据库配对所使用的加密密钥在其他应用程序之间的共享。这与企业数据集中分析、改善客户关系、优化业务运营和识别新机会这一趋势背道而驰。

在数据库插件方法中，所有加密/解密通过一个与数据库分开但集成的模块进行。应用程序和数据库都不承担加密的计算负担。大多数加密插件专门针对单一数据库软件产品，尽管也有少数支持多个产品。

数据库插件需要一定的管理和开发工作。数据库管理员(DBA)必须采用新的软件进行部署、维护和更新。更重要的是，需要对应用程序进行修改以查询加密数据，尽管这并不如API加密方法的要求那么广泛。

就优势而言，插件方法带来的许多模块具有额外的功能，如审计、访问控制和合规管理。由于插件的多样性及其特性，确定最佳解决方案可能会变得复杂，因为公司需要权衡模块的能力与他们已具备的功能。

安全专业人士应该关注“T”代表的“透明”——顾名思义，TDE数据库加密方法需要的管理工作最少。在这种方法中，我们将加密