企业在保护数据中心的完整性方面投入了大量资源,以抵御各种网络威胁,例如恶意软件、欺骗和网络钓鱼。然而,重要的是要注意,它们仍然容易受到专门针对传输中的数据的攻击。
传输中数据的加密类型
根据开放系统互连模型(OSI模型),有不同类型的加密可用,从物理层到更高的应用层。根据应用程序和用例,公司可以选择适合其特定需求的不同类型的加密。
- 例如,光加密通过在光纤系统上传输受保护的信号来保护物理层(第1层)的数据。它非常适合在高速通信链路(10 Gbps、40 Gbps、100 Gbps)上运行的金融和医疗保健应用程序。
- 另一方面,链路层(第二层)的以太网加密可以在使用以太网协议时使用媒体访问控制安全(MACsec)对信息进行加密,而不管传输介质是什么。HIPAA、PCI和Sarbanes-Oxley已经使用MACsec作为保护高容量(<10G)通信网络的有效机制。
- 同时,IPSec (Internet Security Protocol)作为三层或IP连接的站点之间建立VPN (secure tunnel)的框架和协议。IPSec被广泛应用于几乎所有行业,用于在Internet上建立安全通信,其容量通常不超过1G,并且有几个品牌支持标准化协议。
- 为了在更高的应用程序层(第4层到第7层)加密流量,创建了几个协议,例如传输层安全性(TLS),以保护客户机-服务器环境中的会话。
光加密的优点
加密类型的选择取决于每个业务的环境和安全需求。例如,当在受严格监管的场景中传输大量信息时,光加密是必不可少的。在这种情况下,光加密的好处可以概括为三个关键方面。
灵活性:由于这种加密是在光信号上提供的,完全独立于更高层传输的信息,因此它支持多种信息格式,这使得该技术完全独立于用户选择的协议。
效率:高层协议使用报头进行信息加密,这减少了向应用程序发送有用数据的能力。对于使用小信息包的应用程序,这种情况更为突出,其中用于加密的信息量对于用于传输对应用程序有价值的数据的信息量来说非常重要。相反,光学层的加密不使用这些报头,因此允许100%的可用容量用于发送有价值的信息,如下图所示。
延迟:与其他更高层的加密机制相比,光信号编码/解码过程中产生的延迟明显更低,几乎难以察觉。
以太网加密的优点
以太网加密与光加密一样,适用于对信息传输要求高、安全标准严格的场景。此外,在这一层使用MACsec协议进行加密还具有以下优点:
传输独立性:MACsec在两个设备之间建立安全的数据传输,无论中间设备或网络如何,只要两端都有以太网格式可用。相比之下,光加密需要OTN(光传输网络)才能发挥作用。
成本:虽然考虑到同等的能力和设备成本,使用MACsec协议的第二层加密的成本高于光学加密,但它仍然是一种具有成本效益的解决方案。
效率:与光学加密相比,第2层加密服务可能具有稍长的延迟,但在上述环境中,它们仍然优于更高层的传输中的数据保护机制。
下表显示了在不同层执行加密所导致的不同成本和服务质量变量:
哪种类型的加密最适合您的公司?
确定公司的最佳加密类型取决于几个因素,例如环境和安全需求。哪个网络层最适合保护传输中的数据的问题一直是争论的主题。一些人认为,驻留在应用层的敏感数据是最适合保护的层,而另一些人则认为,数据安全应该从物理层开始,保护数据移动中涉及的协议信息。然而,这个问题的答案最终取决于每个公司的具体需求。
在flhi Networks,我们专注于为您的企业识别和实施最合适的加密解决方案。我们拥有超过20年的经验,提供使用各种加密方法的连接解决方案和服务,我们有成功的记录。我们无与伦比的光学基础设施(OTN)使我们能够在不同的服务层部署加密解决方案,我们拥有技术联盟、流程和训练有素的资源来运行符合联邦信息处理标准(FIPS - Level 2)标准的加密服务。让我们根据您的需求提供最佳的加密解决方案,帮助您保护您的数据。
