Data i hvile - Data at rest
Data i ro i informasjonsteknologi betyr data som ligger fysisk på datamaskinens datalagring i enhver digital form (f.eks. Skylagring , filvertstjenester , databaser , datavarehus , regneark , arkiver, bånd, sikkerhetskopier utenfor nettstedet eller skyen, mobile enheter osv. .). Data i hvile inkluderer både strukturerte og ustrukturerte data. Denne typen data er utsatt for trusler fra hackere og andre ondsinnede trusler for å få tilgang til dataene digitalt eller fysisk tyveri av datalagringsmediet. For å forhindre at disse dataene får tilgang, modifiseres eller stjeles, vil organisasjoner ofte benytte sikkerhetstiltak som passordbeskyttelse, datakryptering eller en kombinasjon av begge. Sikkerhetsalternativene som brukes for denne typen data blir i stor grad referert til som d ata a t r est p rotection (DARP).
Data i hvile brukes som et supplement til begrepene data i bruk og data i transitt som sammen definerer de tre tilstandene til digitale data ( se figur 1 ).
Alternativ definisjon
Det er en viss uenighet om forskjellen mellom data i hvile og data i bruk . Data i hvile refererer vanligvis til data lagret i vedvarende lagring (disk, tape) mens data i bruk generelt refererer til data som behandles av en sentral datamaskin ( CPU ) eller i random access memory ( RAM , også referert til som hovedminne eller bare minne). Definisjoner inkluderer:
"... alle data i datalagring mens du ekskluderer data som krysser et nettverk eller midlertidig ligger i datamaskinens minne for å bli lest eller oppdatert."
"... alle data i lagring, men utelukker alle data som ofte krysser nettverket eller det som ligger i midlertidig minne. Data i hvile inkluderer, men er ikke begrenset til, arkiverte data, data som ikke er tilgjengelig eller endres ofte, filer som er lagret på harddisk stasjoner, USB-tommelstasjoner, filer som er lagret på sikkerhetskopibånd og disker, og også filer som er lagret utenfor nettstedet eller i et lagringsområde (SAN). "
Data i bruk har også blitt forstått som "aktive data" i sammenheng med å være i en database eller bli manipulert av et program. For eksempel hevder noen enterprise -krypteringsgateway -løsninger for nettskyen å kryptere data i ro, data i transitt og data i bruk .
Selv om det er allment akseptert at arkivdata (dvs. som aldri endres), uavhengig av lagringsmediet, er data i ro og aktive data som er gjenstand for konstant eller hyppig endring, er data i bruk. "Inaktive data" kan forstås som data som kan endres, men sjelden. Den upresise karakteren av begreper som "konstant" og "hyppig" betyr at noen lagrede data ikke kan defineres omfattende som data i hvile eller i bruk. Disse definisjonene kan tas for å anta at Data at Rest er et supersett av data som er i bruk; Imidlertid har data i bruk, med forbehold om hyppige endringer, forskjellige behandlingskrav fra data i hvile, enten de er helt statiske eller kan endres av og til.
Inndelingen av data i ro i underkategoriene "statisk" og "inkonstant" adresserer dette skillet ( se figur 2 ).
Bekymringer om data i hvile
På grunn av sin natur er data i hvile av økende bekymring for bedrifter, offentlige etater og andre institusjoner. Mobilenheter er ofte underlagt spesifikke sikkerhetsprotokoller for å beskytte data i hvile mot uautorisert tilgang når de går tapt eller blir stjålet, og det er en økende erkjennelse av at databasesystemer og filservere også bør anses å være i fare; jo lenger data blir ubrukt lagret, desto mer sannsynlig kan den bli hentet av uautoriserte personer utenfor nettverket.
Kryptering
Datakryptering , som forhindrer datasynlighet i tilfelle uautorisert tilgang eller tyveri, brukes ofte for å beskytte data i bevegelse og blir i økende grad fremmet for å beskytte data i ro.
Krypteringen av data i hvile bør bare inneholde sterke krypteringsmetoder som AES eller RSA . Krypterte data bør forbli kryptert når tilgangskontroller som brukernavn og passord mislykkes. Det anbefales å øke krypteringen på flere nivåer. Kryptografi kan implementeres på databasen som inneholder dataene og på den fysiske lagringen der databasene er lagret. Datakrypteringsnøkler bør oppdateres med jevne mellomrom. Krypteringsnøkler bør lagres separat fra dataene. Kryptering muliggjør også krypto-makulering på slutten av data- eller maskinvarelivssyklusen. Periodisk revisjon av sensitive data bør være en del av policyen og bør skje på planlagte forekomster. Til slutt må du bare lagre minst mulig mengde sensitive data.
Tokenisering
Tokenisering er en ikke-matematisk tilnærming til beskyttelse av data i hvile som erstatter sensitive data med ikke-sensitive substitutter, referert til som tokens, som ikke har noen ytre eller utnyttbar betydning eller verdi. Denne prosessen endrer ikke typen eller lengden på data, noe som betyr at den kan behandles av eldre systemer som databaser som kan være følsomme for datalengde og -type.
Tokens krever betydelig mindre beregningsressurser for å behandle og mindre lagringsplass i databaser enn tradisjonelt krypterte data. Dette oppnås ved å holde spesifikke data helt eller delvis synlige for behandling og analyse mens sensitiv informasjon holdes skjult. Lavere krav til behandling og lagring gjør tokenisering til en ideell metode for å sikre data i ro i systemer som håndterer store datamengder.
Føderasjon
En annen metode for å forhindre uønsket tilgang til data i hvile er bruk av dataføderasjon, spesielt når data distribueres globalt (f.eks. I off-shore arkiver). Et eksempel på dette kan være en europeisk organisasjon som lagrer sine arkiverte data utenfor USA i USA. I henhold til vilkårene i USA PATRIOT Act kan amerikanske myndigheter kreve tilgang til alle data som er fysisk lagret innenfor sine grenser, selv om den inneholder personlig informasjon om europeiske borgere uten tilknytning til USA. Datakryptering alene kan ikke brukes for å forhindre dette, ettersom myndighetene har rett til å kreve dekryptert informasjon. En datafederasjonspolicy som oppbevarer personlig innbyggerinformasjon uten utenlandske forbindelser i opprinnelseslandet (atskilt fra informasjon som enten ikke er personlig eller er relevant for offshore-myndigheter) er et alternativ for å løse denne bekymringen. Data som er lagret i utlandet kan imidlertid nås ved hjelp av lovgivning i CLOUD Act.