目前,我在3台服务器上拥有16个数据库,每个数据库中有多个表 – 这将继续增长.手动执行此操作会带来错误的巨大机会,使我的数据无法读取.是的,我可以写一些东西来做这件事……但这真的是每个人都在做什么吗?
所以问题是你是手动处理这个问题还是推荐一个负担得起的(主观的,我知道的)第三方工具?
我已经看到了一些关于“更改”层次结构中更高层的密钥的建议.我们使用经常推荐的数据库主密钥层次结构来加密证书,该证书对加密数据的对称密钥进行加密.
首先,这似乎不符合“旋转钥匙”的定义.其次,即使我更改了DMK或Cert,也不会阻止使用相同的对称密钥对数据进行解密,这可能是坏人被盗/破解的.
解决方法
<咆哮>
PCI-DSS 2.0要求的解释3.6.4“已经到达加密期间结束的密钥的加密密钥更改(例如,在经过一段规定的时间后……”)“您必须每年轮换密钥或者世界将结束“是短视的,并且在我/我的审计员的意见不正确:如果你使用足够强大的算法(例如AES-256)并且没有已知的钥匙旋转违规,你的钥匙不能提供更好的安全性 – 事实上它创造了一个新的曝光(只要解密/重新加密你的数据,旧密钥需要提供给程序 – 即使机器做这项工作是安全的,它仍然需要把密钥放入不止一个地方).
请注意,如果您想要成功地创建此参数,您需要两件事:一个对密码学有基本了解的审核员,以及面对NIST publication 800-57(特别是“推荐的加密期间”表)的防御性策略.例如,我们的政策要求AES-256(没有实际攻击,并且将永远用于暴力)并在终止直接访问密钥的人员时强制进行密钥轮换(关键系统管理员工作人员,某些C级人员) ).
< /咆哮>
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
