Với mối đe dọa an ninh ngày càng tăng và các yêu cầu pháp lý nghiêm ngặt hơn, việc thực hiện các biện pháp mạnh mẽ để bảo mật quá trình truyền tải dữ liệu là rất quan trọng. Điều này bao gồm dữ liệu không chỉ khi đang truyền mà còn khi đang lưu trữ.
Bảo vệ dữ liệu lưu trữ trên các thiết bị vật lý hoặc trên đám mây là điều quan trọng đối với chiến lược bảo mật IT của bất kỳ tổ chức nào. Trong bối cảnh này, có hai phương pháp chính để mã hóa dữ liệu: client-side encryption (CSE) và server-side encryption (SSE).
Client-side encryption (CSE)
Cho phép khách hàng mã hóa dữ liệu của họ trên các thiết bị trước khi gửi nó lên máy chủ Fstorage để lưu trữ. Điều này đảm bảo rằng dữ liệu vẫn được mã hóa suốt vòng đời của nó, cung cấp mức độ bảo mật cao vì khách hàng quản lý các khóa mã hóa, và các khóa này không bao giờ được chia sẻ với Fstorage hoặc bất kỳ bên thứ ba nào. Phương pháp này yêu cầu khách hàng quản lý khóa của họ một cách cẩn thận, nhưng đây là giải pháp lý tưởng cho những ai cần kiểm soát hoàn toàn bảo mật dữ liệu.
Server-side encryption (SSE)
Cung cấp một giải pháp thay thế, nơi dữ liệu được mã hóa khi đến máy chủ Fstorage. Đây là trách nhiệm của Fstorage, giúp giảm đáng kể gánh nặng quản lý bảo mật cho khách hàng. Có hai phương pháp mã hóa phía máy chủ:
SSE-C - Server-Side Encryption with Customer Keys: Khách hàng có thể cung cấp và quản lý khóa mã hóa của riêng mình, giúp họ kiểm soát hoàn toàn bảo mật dữ liệu. Lựa chọn này đặc biệt phù hợp với các tổ chức có yêu cầu tuân thủ và bảo mật dữ liệu cụ thể, vì nó cho phép quản lý độc quyền các khóa mã hóa.
SSE-S3 - Server-Side Encryption with HI GIO S3 Cloud-Managed Keys (đang phát triển): Điều này đơn giản hóa quy trình mã hóa bằng cách sử dụng các khóa do Fstorage quản lý. Phương pháp này lý tưởng cho khách hàng muốn có giải pháp mã hóa mạnh mẽ mà không phải đối mặt với những phức tạp trong quản lý khóa. Nó tích hợp sử dụng KMS (Key Management Service).
HI GIO S3 Storage không lưu trữ khóa của bạn. Nếu khóa bị mất, tất cả dữ liệu sẽ bị mất và không thể khôi phục.
Sử dụng server-side encryption (SSE) với các khóa mã hóa do khách hàng cung cấp (SSE-C - Server-Side Encryption with Customer Keys) cho phép bạn chỉ định các khóa mã hóa của mình.
Khi bạn tải xuống một object, HI GIO S3 Storage sẽ sử dụng khóa mã hóa do khách hàng cung cấp để áp dụng mã hóa AES-256 cho dữ liệu.
Khi kiểm tra một Object, hách hàng phải cung cấp cùng một khóa mã hóa như một phần của yêu cầu. Đầu tiên, HI GIO S3 sẽ kiểm tra xem khóa mã hóa của khách hàng có khớp không, sau đó giải mã Object trước khi trả lại dữ liệu cho bạn.
Khi sử dụng SSE-C, bạn phải cung cấp thông tin khóa mã hóa bằng cách sử dụng các tiêu đề yêu cầu sau:
--sse-customer-algorithm
Sử dụng tiêu đề này để chỉ định thuật toán mã hóa. Giá trị tiêu đề phải là AES256.
--sse-customer-key
Sử dụng tiêu đề này để cung cấp khóa mã hóa 256-bit, được mã hóa base64, để HI GIO S3 mã hóa và giải mã dữ liệu.
--sse-customer-key-md5
(Optional)
Sử dụng tiêu đề này để cung cấp một hàm băm MD5 128-bit được mã hóa base64 của khóa mã hóa theo RFC 1321. S3 sử dụng tiêu đề này để kiểm tra tính toàn vẹn của thông điệp, đảm bảo rằng khóa mã hóa đã được truyền tải mà không có lỗi.