Data at rest là gì? bảo mật dữ liệu ở trạng thái nghỉ như thế nào

Data at rest là gì?

Thiết kế tạo dựng nên một ứng dụng an toàn đòi hỏi rất nhiều những biện pháp bảo vệ, nhưng điều quan trọng nhất là những biện pháp sử dụng để bảo vệ dữ liệu ở trong ứng dụng. Đây cũng là một trong những điều khó có thể thực hiện được nhất. Khi nói đến vấn đề bảo mật dữ liệu ứng dụng, hiện nay có hai loại dữ liệu riêng biệt cần phải được bảo mật là data at rest và data in transit.

Theo đó data at rest là dữ liệu ở trạng thái nghỉ được sử dụng để mô tả tất cả những loại dữ liệu đang nằm ở trong các thiết bị lưu trữ (storage) nhưng loại trừ ra bất cứ những loại dữ liệu nào thường xuyên được truyền qua mạng (network) hoặc các dữ liệu chỉ lưu trữ ở trong bộ nhớ tạm thời (temporary memory).

Một ví dụ đơn giản, dễ hiểu về dữ liệu ở trạng thái nghỉ là hồ sơ của người dùng ở trong ứng dụng SaaS. Hồ sơ này có thể bao gồm có thông tin tên người dùng, mật khẩu, thông tin ảnh hồ sơ, địa chỉ các email, địa chỉ thực của người dùng và các thông tin liên hệ khác của bạn. Nó có thể bao gồm những thông tin ứng dụng về cách người dùng đang vận hành sử dụng các ứng dụng. Trong phần cài đặt dữ liệu cục bộ hơn, dữ liệu thông tin còn lại sẽ bao gồm tất cả những tệp thông tin được lưu trữ ở trên thiết bị máy tính của bạn — các bảng tính, các phần tài liệu Word, các văn bản trình bày, hình ảnh, video, và tất cả mọi thứ liên quan.

Cách bảo mật dữ liệu nghỉ an toàn

Hiện nay có hai chiến lược, giải pháp để bảo mật Data at rest : Bảo mật hệ thống lưu trữ thông tin dữ liệu và mã hóa chính các dữ liệu đó.

Hệ thống lưu trữ dữ liệu an toàn là mô hình được đánh giá là kém an toàn nhất. Nó có liên quan trực tiếp đến việc đảm bảo rằng các hệ thống cơ sở dữ liệu hoặc kho dữ liệu có chứa các dữ liệu không thể thực hiện thao tác truy cập được từ những tác nhân xấu. Điều này thường có liên quan đến tường lửa và những vấn đề hạn chế vật lý khác. Mặc dù những phương án này thường có thể thành công trong việc ngăn chặn những kẻ xấu, các hacker ở bên ngoài truy cập vào trong các thông tin dữ liệu, nhưng nếu những kẻ xấu đã xâm nhập được vào bên trong hệ thống của bạn, thì tất cả những thông tin dữ liệu đã được lưu trữ trong hệ thống sẽ rất dễ bị đánh cắp, xâm phạm. Mô hình này chỉ nên được ứng dụng để bảo vệ cho những dữ liệu ít nhạy cảm, ít quan trọng hơn.

Phương pháp lưu trữ các dữ liệu nhạy cảm, quan trọng được an toàn hơn có liên quan đến việc thực hiện mã hóa dữ liệu khi nó đã được lưu trữ. Bằng cách đó, nếu bất kỳ ai cố gắng xâm nhập vào hệ thống, truy cập vào các thông tin dữ liệu đang được lưu trữ — từ bên trong hoặc từ bên ngoài — họ sẽ không thể xem, đọc hoặc khai thác sử dụng các thông tin lưu trữ mà không có các khóa và các quyền mã hóa hoặc giải mã thích hợp.

Một vấn đề đặc biệt quan trọng đối với việc thực hiện mã hóa các thông tin dữ liệu được lưu trữ là nơi và cách mà người dùng lưu trữ các khóa mã hóa. Người dùng nếu không muốn lưu trữ chúng ở cùng một vị trí với những dữ liệu chính, vì điều đó có thể sẽ làm mất đi lợi thế của việc bảo mật dữ liệu thông qua việc giải mã. Thay vào đó, các khóa dữ liệu sẽ phải được lưu trữ ở một vị trí riêng biệt, độc lập mà kẻ xấu, hacker sẽ không thể tiếp cận được dữ liệu nếu hệ thống lưu trữ bị xâm phạm.

Có khá nhiều những tùy chọn khác nhau để lưu trữ khóa mã hóa / cách giải mã — có một số cách vô cùng đơn giản và một số cách khá khó khăn, phức tạp. Một số tùy chọn vô cùng tuyệt vời cho các ứng dụng điện toán đám mây là sử dụng các dịch vụ lưu trữ chính của những nhà cung cấp các dịch vụ điện toán đám mây của người dùng. Ví dụ: Amazon Web Services cung cấp Dịch vụ quản lý khóa AWS (KMS) cho mục đích này. Ngoài việc lưu trữ thông tin của các khóa mã hóa / cách giải mã của người dùng, các dịch vụ này cung cấp hỗ trợ việc sắp xếp các khóa và thay đổi các khóa thường xuyên (key rotation) để từ đó có thể giữ các thông tin được an toàn và bảo mật tuyệt đối.

Đôi khi, việc triển khai bảo mật các thông tin dữ liệu ở trạng thái nghỉ có thể được thực hiện một cách tốt nhất bằng những phương thức hoàn toàn không cần lưu trữ dữ liệu. Một ví dụ cụ thể nhất là thông tin thẻ tín dụng. Có rất ít lý do để các trang web thực hiện lưu trữ các thông tin trong thẻ tín dụng — có được mã hoá hay không — ở trong ứng dụng. Điều này sẽ được áp dụng cho những shop thương mại điện tử cũng như những trang sử dụng để đăng tải nội dung. Ngay cả những trang web có tính phí định kỳ vào thẻ tín dụng của người dùng cũng không cần phải thực hiện việc lưu trữ thông tin của thẻ tín dụng ở trong ứng dụng.

Thay vì lưu trữ những thông tin của thẻ tín dụng, phương án tốt nhất là sử dụng các dịch vụ xử lý thẻ tín dụng và để những đơn vị này tiến hành lưu trữ thông tin cho bạn. Sau đó, người dùng chỉ cần phải lưu trữ các mã OTP thông báo đề cập đến thẻ tín dụng để từ đó cấp cho ứng dụng của bạn những quyền được truy cập vào thẻ tín dụng cho những giao dịch tài chính.

Có rất nhiều các dịch vụ xử lý thẻ tín dụng phổ biến trên thế giới, bao gồm Stripe, Square và PayPal. Ngoài ra, còn có một số các cửa hàng thương mại điện tử lớn hơn cũng đang cung cấp các dịch vụ xử lý thẻ tín dụng, bao gồm có ứng dụng của Amazon và Shopify. Những công ty này sẽ cung cấp tất cả những khả năng bảo mật thông tin và đáp ứng được tất cả những yêu cầu về pháp lý để lưu trữ và xử lý thông tin thẻ tín dụng nhanh chóng, thành công. Bằng cách sử dụng các mã thông báo, bạn vẫn có thể cung cấp những giao diện sử dụng cho khách hàng của mình trông giống như bạn đang tự thực hiện việc xử lý thẻ tín dụng nguyên bản — nhưng bạn sẽ không bao giờ có thể lưu trữ thông tin thẻ tín dụng và do đó cũng không bao giờ cần phải lo lắng, sợ hãi về tính an toàn, bảo mật của chúng.

Trên đây là thông tin data in rest là gì cũng như cách bảo mật dữ liệu an toàn nhất. Việc bảo mật dữ liệu data in rest sẽ không quá khó khăn nếu người dùng có thể sử dụng đúng phương án.