比起追蹤軟體的修補進度,眾多公司更仰賴於加密技術,加密比起任何一種安全性控管機制還來的更安全,但卻無法成為所有問題的解決方法,所以還是需要與多層的安全性控管合作創造更強大的保護,請各位讀者謹記於心,做加密還是會帶來一些麻煩的,如果沒辦法把檔案解密回來的話就代表該資料沒辦法再使用了
另外一些暫時使用的資料我們也不應該將其解密回來,例如TLS只有server跟client可以解密中間溝通的資訊,連系統管理員都不可以解開,而中間溝通的session只有在life time時暫時儲存,等到這組credential過期之後就應該捨棄掉,而解密的私鑰也永遠不能儲存在硬碟或者在網路上傳輸
當我們在網路上傳輸秘密或者個人識別資訊(Personal Identifiable Information, PII)時就得確保隱私,因為網路設備在追蹤以及審查資料時就會利用服務輸出錄到的資訊,其中就可能會包含秘密跟個人識別資訊,不論是加密的內容還是乾淨的明文內容,通常個人識別資訊會包含:名字、住址、電話號碼、電子郵件、身分證字號以及其他資訊等等,攻擊者可以利用這些資訊在網路上追蹤你
所以我們在網路上填寫資料時必須保證能夠加密資料,確保只有最少可能性的人或系統可以解密資料看到內容,而在備份策略一文中我們認為備份的資料也都需要加密起來,並且不同的備份應該要使用不同的私鑰,一般來說,我們並不希望同一把私鑰重複加密不同的資料,一份私鑰只能用在一個用途
一把用來加密檔案的私鑰也許會加密數百萬個檔案,但這把key應該只能用來加密檔案,而不會拿去做其他事情像是數位簽章或TLS協定,儘管使用加密搭配備份是不錯的策略,我們應該要定期地把備份給解開來看內容是否都完好無缺,以及加解密功能是否正常
在某些情境下,也許我們不需要備份詳細的log資料,然而大部分的法規或審查標準都需要歷史性的logs,因為在某些規範裡需要系統能夠搜尋或刪除特定的log紀錄
