التقرير الموجز حول التشفير

تم التحديث للمرة الأخيرة في 21 أكتوبر 2019

المقدمة

لماذا تنتقل الشركات إلى السحابة؟ بشكل عام، يعود سبب هذا الانتقال إلى أن بيئات السحابة هي بيئات تتميّز بقابلية التطور وبموثوقية وقدرة كبيرة على التوفّر، غير أن هذه الأسباب ليست الاعتبارات الوحيدة، إذ يطغى الأمان على أهمية المزايا الأخرى للسحابة.

لذلك، يجب على مزودي السحابة وضع إستراتيجية أمان شاملة. تشمل إستراتيجية Zoho للأمان أبعادًا متعددة، ويشكّل التشفير جزءًا أساسيًا منها.

ستجد في هذه الصفحة شرحًا لكل ما قد ترغب في معرفته حول إستراتيجية Zoho للتشفير وكيفية استخدامنا إياها للحفاظ على أمان بياناتك.

ما المقصود بالتشفير؟

يُستخدم التشفير في الأساس لحماية محتويات رسالة معيّنة بحيث لا يتمكن من قراءتها إلا المستلم المقصود. ويتم ذلك باستبدال المحتويات ببيانات لا يمكن التعرف عليها ولا يمكن أن يفهمها إلا المستلم المقصود. بذلك، أصبح التشفير طريقة لحماية البيانات من أولئك الذين قد يرغبون في سرقتها.

تحصل عملية التشفير عندما تغيّر البيانات من خلال عملية ترميز خاصة لكي يتعذّر تحديد البيانات (فتصبح مشفّرة). ويمكنك بعد ذلك إجراء عملية فك ترميز خاصة لتتمكن من استرداد البيانات الأصلية (التي تم فك تشفيرها). ومن خلال إبقاء عملية فك الترميز سرية، لن يتمكن أي شخص آخر من استرداد البيانات الأصلية من البيانات المشفّرة.

تتبع عملية الترميز خوارزمية تشفير مثل AES 256 التي هي خوارزمية عامة، غير أنّ العملية بحد ذاتها تعتمد على المفتاح الذي يُستخدم لتشفير البيانات وفك تشفيرها بهدف استرداد البيانات الأصلية.

يبقى المفتاح سرًا، فمن دونه، سيتمكن أي شخص قد ينجح في الوصول إلى البيانات من رؤية "نص مشفّر" لا يحمل معنى فعليًا. وبالتالي، تكون البيانات محمية.

لماذا نعمد إلى تشفير بياناتك؟

الطبقة الأخيرة للحماية: على الرغم من أن إستراتيجية الأمان الشاملة تساعد الشركة في حماية البيانات من المتسللين، إلا أن التشفير هو المرحلة الأخيرة التي تعيق محاولات سرقة بياناتك، فهو يكمل عملية حماية البيانات ويضمن بذلك عدم إلحاق الضرر ببياناتك أو سرقتها في حال حدوث انتهاك أمني.

الخصوصية- يوفّر التشفير الشعور بالطمأنينة ويخفف من المخاوف المتعلقة بالخصوصية على الإنترنت، ويساعد في حماية الخصوصية من خلال تحويل المعلومات الشخصية إلى بيانات "سرية" موجّهة للأطراف التي تحتاج إليها فحسب. وعندما تتفاعل معنا وتخزّن بياناتك على خوادمنا، يساعدنا التشفير في ضمان حصولك على خصوصية مطلقة.

ما المقصود بـ "البيانات"

هناك نوعان من البيانات التي نتولى معالجتها-

  1. بيانات العملاء- هي البيانات التي تخزّنها لدينا من خلال خدمات Zoho. في العادة، تعالج إحدى خدمات Zoho هذه البيانات من خلال حساب العميل الذي يمكن تحديده في قاعدة بيانات IAM (إدارة الهوية والوصول).

    تبعًا لمدى حساسية البيانات ومتطلبات المستخدم، يتم تشفير بعض بيانات العملاء فيما يتم استثناء بعضها الآخر من عملية التشفير. إن البيانات الحساسة هي تلك التي يمكن أن تسبب أضرارًا للأفراد أو المؤسسات ذات الصلة في حال تم الكشف عنها.

  2. البيانات المشتقة- هي البيانات التي لم تقدّمها أنت مباشرة لكنها مشتقة من بياناتك. على سبيل المثال، يتم تخزين الرموز المميزة للمصادقة والمعرّفات الفريدة وعناوين URL والتقارير وغيرها لدينا.

    تبعًا لمدى حساسية البيانات، يتم تشفير بعض البيانات المشتقة فيما يتم استثناء بعضها الآخر من عملية التشفير.

في الأقسام الآتية، يشير مصطلح "البيانات" إلى البيانات المشفّرة.

تشفير البيانات أثناء نقلها

عندما تستخدم خدمات Zoho، تنتقل بياناتك عبر الإنترنت من متصفحك إلى مركز بياناتنا أو إلى جهات خارجية أخرى (أثناء إجراء عمليات تكامل مع جهات خارجية). ويعمد تشفير البيانات أثناء نقلها إلى حمايتها من الهجمات الوسيطة.

هناك سيناريوهان لتشفير البيانات أثناء نقلها:

  • عندما تنتقل البيانات من متصفحك إلى خوادمنا.
  • عندما تنتقل البيانات من خادمنا إلى خوادم غير خوادم Zoho (الجهات الخارجية)

بينك وبين Zoho

وضعت Zoho سياسات صارمة لتكييف أمان طبقة النقل (TLS) مع كل اتصالاتها. يضمن أمان طبقة النقل (TLS) الاتصال الآمن بينك وبين خوادم Zoho من خلال السماح بالمصادقة على كلا الطرفين المشتركين في الاتصال ومن خلال تشفير البيانات التي يجدر نقلها، كما يضمن عدم تنصت أي جهات خارجية على الاتصالات بينك وبين Zoho أو عبثها بها.

نعتمد الإصدار الأحدث لبروتوكول أمان طبقة النقل (TLS) ‏1.2/‏1.3 ونستخدم الشهادات الصادرة عن SHA 256 والتشفيرات (مفاتيح AES_CBC/‏AES_GCM ‏256 بت/128 بت للتشفير وSHA2 للمصادقة على الرسائل وECDHE_RSA كآلية التبادل الأساسية). ونعمل أيضًا على اعتماد سرية إعادة التوجيه المثالية واستخدام أمان النقل الصارم لـ HTTPS‏ (HSTS) على كل المواقع.

بين Zoho والجهات الخارجية

نتبع بروتوكول https أثناء تواصلنا مع الجهات الخارجية. بالنسبة إلى المعاملات التي تتضمن بيانات حساسة وحالات استخدام، نلجأ إلى التشفير غير المتماثل الذي يستخدم نظام مفاتيح معلنة وسرية لتشفير البيانات وفك تشفيرها.

لذلك، ننشئ مجموعة ثنائية من المفاتيح المعلنة والسرية في خدمة إدارة المفاتيح (KMS) الخاصة بنا التي تنشئ المفاتيح وتخزّنها وتديرها في كل الخدمات. ونقوم بتشفير هذه المجموعات الثنائية باستخدام مفتاح رئيسي ويتم تخزين المجموعات الثنائية من المفاتيح المشفّرة في KMS بالذات، كما يتم تخزين المفتاح الرئيسي على خادم منفصل.

نوفّر المفاتيح المعلنة للجهات الخارجية من خلال الشهادات فيما نخزّن المفتاح السري في KMS. وبعد المصادقة، يتم فك تشفير البيانات المشفّرة في KMS.

التشفير عندما تكون البيانات ثابتة

هناك مستويان رئيسيان للتشفير-

  1. تشفير طبقة التطبيق
  2. تشفير القرص الصلب بالكامل المستند إلى الجهاز

تستند إستراتيجية تشفير البيانات على مستوى التطبيق إلى مكان تخزين البيانات وكيفية تخزينها-

  • قاعدة البيانات (DB) - مخزّنة كجداول
  • نظام الملفات الموزّعة (DFS) - مخزّنة كملفات
  • تشفير URL
  • النسخ الاحتياطي
  • السجلات
  • ذاكرة التخزين المؤقت

تظهر الصورة أدناه صورة واضحة عن إستراتيجية التشفير التي نعتمدها:

إستراتيجية التشفير

مستوى التطبيق

تتضمن أي خدمة (أو تطبيق) تستخدمها من Zoho بيانات: البيانات التي تزوّدها والبيانات التي نخزّنها بالنيابة عنك كجزء من الخدمة. ويمكن استلام البيانات كملف أو كحقول بيانات. وتتم معالجة كل من هاتين الفئتين بشكل مختلف تبعًا لطريقة تشفيرها.

يتناول هذا القسم موضوع التشفير عندما تكون البيانات ثابتة على مستوى التطبيق.

تشفير قاعدة البيانات (DB)

عندما تستخدم خدمات مثل Zoho Creator أو Zoho Forms، يتم تخزين البيانات التي تدخلها في التطبيق أو بيانات الخدمة في قاعدة بياناتنا كـ جداول.

ويتم تشفير البيانات الواردة في هذه الجداول وفقًا لمعيار AES 256 مع وضع AES/CBC/PKCS5Padding، غير أنّ مستوى التشفير يختلف تبعًا لمدى حساسية حقل البيانات وخيار المستخدم ومتطلباته.

هناك مستويان لتشفير قاعدة البيانات-

  1. تبعًا لمدى حساسية البيانات
  2. تبعًا لوظيفة البحث

ملاحظة: سنشير من الآن فصاعدًا إلى أي عميل أو شركة تستخدم خدمة Zoho وتضمّ عددًا محدودًا من المستخدمين على أنها "مؤسسة".

تبعًا لمدى حساسية البيانات

المستوى 1- هو المستوى الافتراضي للتشفير الذي نطبّقه على البيانات الواردة من كل المؤسسات. في هذا المستوى، تعيّن KMS مفتاحًا إلى كل مؤسسة ويتم تشفير البيانات المرتبطة بتلك المؤسسة باستخدام هذا المفتاح، كما يتم تشفير المفتاح باستخدام مفتاح رئيسي، ثم يتم تخزين المفتاح المشفّر على خادم منفصل.

المستوى 2- نطبّق هذا المستوى من التشفير على معلومات التعريف الشخصية والحساسة (PII). وتتضمن هذه الفئة حقولاً مثل أرقام الحسابات المصرفية وأرقام التعريف وبيانات المقاييس الحيوية.

في هذا المستوى، تنشئ KMS مفتاحًا فريدًا لكل عمود في الجدول، ويتم تشفير كل البيانات في عمود معيّن باستخدام المفتاح الذي تم إنشاؤه لذلك العمود، كما يتم تشفير هذه المفاتيح مرة أخرى باستخدام مفتاح رئيسي وتخزينها على خادم منفصل.

تبعًا لوظيفة البحث

إن متجه التهيئة (IV) هو عبارة عن قيمة عشوائية تتيح بدء عملية التشفير. وتضمن هذه القيمة العشوائية تشفير كل كتلة / وحدة من البيانات بشكل مختلف، كما يعني هذا أن تشفير البيانات نفسها مرتين سيؤدي إلى إنتاج نصوص مشفّرة مختلفة.

ما سبب أهمية متجه التهيئة؟

إذا لم يكن لديك متجه تهيئة واستخدمت وضع تسلسل التشفير الكتلي (CBC) مع مفتاحك فقط، فستعمد مجموعتان من البيانات اللتان تبدآن بالبيانات نفسها إلى إنتاج الكتل المتطابقة الأولى. تُبعد متجهات التهيئة احتمال أن يؤدي تشفير مجموعتين مختلفتين من البيانات إلى توفير الإدخال / الإخراج نفسه (على مستوى التشفير الكتلي، وباستخدام المفتاح نفسه)، حتى لو كانت المجموعتان مرتبطتين (بما في ذلك على سبيل المثال لا الحصر: البدء بالكتلة الأولى نفسها).

عندما يمكّن كل طلب تشفير استخدام متجه تهيئة عشوائي، تختلف الكتلة الأولى ولا يستطيع المهاجم بالتالي استنتاج أي أمر قد يساعده في فك ترميز البيانات المشفّرة.

التشفير المحافظ على المساواة: هو مستوى التشفير الافتراضي لكل الجداول. في هذا المستوى، يحصل جدول البيانات بكامله على متجه تهيئة واحد، ما يعني أنه يمكن استخدام الكتلة الكاملة من النصوص المشفّرة في استعلام بحثي داخل الجدول. ونظرًا إلى أن متجه التهيئة هو نفسه لكل البيانات في الجدول، فسوف يزوّدك البحث بالبيانات.

التشفير القياسي: في هذا المستوى، يعتمد كل إدخال للبيانات على متجه تهيئة فريد. حتى إذا قمت بتشفير الجدول بالكامل باستخدام مفتاح واحد، فسينتج كل إدخال للبيانات المشفّرة نصًا مشفّرًا فريدًا. علاوة على ذلك، ونظرًا إلى كون متجه التهيئة عشوائيًا وفريدًا لكل مجموعة من البيانات، فلن يزوّدك الاستعلام البحثي بالبيانات. ويشكّل هذا التشفير خيارًا أكثر أمانًا من نوع "التشفير المحافظ على المساواة".

في أي حالات سيتم استخدام هذه الأنواع؟

غالبًا ما يستند قرار اعتماد نوع تشفير معيّن إلى المتطلبات. إذا كان من الضروري أن تخضع البيانات لأعلى مستوى من الحماية، فعلينا اعتماد المستوى 2 مع التشفير القياسي، لكن إذا لم تكن كل الحقول بحاجة إلى الحد الأقصى من الحماية بل حقول معيّنة فقط، فيكفي اعتماد الحماية من المستوى 2 مع التشفير القياسي.

غير أنّ الأمر لا يتمحور دائمًا حول الحماية فحسب، ففي بعض الأحيان، قد يرغب المستخدمون في البحث عن حقل والعثور عليه مثل "معرّف البريد الإلكتروني" لتلبية متطلباتهم. في هذه الحال، لن يكون خيار التشفير القياسي الخيار الصائب، وبالتالي، يتعيّن اعتماد التشفير "المحافظ على المساواة".

تشفير الملف أو نظام الملفات الموزّعة (DFS)

عندما تستخدم خدمات مثل Zoho Docs، تنشئ ملفات يتم حفظها في نظام الملفات الموزّعة (DFS) لدينا.

يستند التشفير إلى خوارزمية AES 256 القياسية، لكن وضع التشفير هو وضع معدل النقرات أو وضع العداد. عند اعتماد AES 256، تنقسم النصوص العادية التي تحتاج إلى أن يتم تشفيرها إلى حزم من البيانات أو الكتل. وبما أننا نعمد إلى تشفير محتويات الملفات هنا، يجب أن تحرص الخوارزمية على أن يتم تشفير كل كتلة بشكل مستقل عن غيرها لئلا يحصل المهاجم على أي معلومات عن الملف حتى إذا تم اختراق تشفيرات الكتل. بالنسبة إلى هذا المطلب، يُعدّ وضع معدل النقرات مثاليًا.

على غرار تشفير قاعدة البيانات، يتضمن تشفير الملفات أيضًا مستويين:

المستوى 1- في هذا المستوى، يتم تزويد كل مؤسسة بمفتاح. ويتم تشفير كل ملف من تلك المؤسسة باستخدام هذا المفتاح، لكن مع متجه تهيئة عشوائي فريد يتم تخزينه مع الملف نفسه. ويتم تشفير هذا المفتاح مرة أخرى باستخدام مفتاح رئيسي ويتم تخزينه في KMS.

المستوى 2- في هذا المستوى، يتم تزويد كل ملف بمفتاح فريد ويتم تشفيره باستخدام هذا المفتاح. تتم إعادة تشفير كل مفتاح تم استخدامه لتشفير ملف باستخدام مفتاح رئيسي، ويتم تخزين المفتاح المشفّر بالإضافة إلى الملف في DFS. ويكون هذا المفتاح الرئيسي فريدًا للخدمة أو التطبيق ويتم تخزينه وإدارته في KMS.

تشفير URL

قد تتضمن روابط الدعوات أو أي تواصل آخر بيننا بيانات حساسة يتم تمريرها في عناوين URL. لتأمين هذا التواصل، يتم تشفير أجزاء من عنوان URL. وفي حال تضمّن عنوان URL أي محتوى يمكن تحديده، مثل معرّف المستند، فيتم تشفير هذا الجزء.

يشتمل هذا التشفير على مستويين - مفتاح واحد لكل مؤسسة أو مفتاح واحد لكل عنوان URL. مرة أخرى، يتم تحديد مستوى التشفير تبعًا لمدى حساسية البيانات في عنوان URL.

تشفير البيانات الاحتياطية

ننشئ نُسخًا احتياطية بناءً على جدولين: يومي وأسبوعي. وتكون خوادم النسخ الاحتياطي مزوّدة بالمستوى نفسه من الحماية الذي تتمتع به الخوادم الرئيسية. سيتم تشفير كل البيانات التي نأخذها كنسخ احتياطية عندما تكون ثابتة. نستخدم خوارزمية AES 256 للتشفير ونخزّن المفاتيح على خادم منفصل. لدينا أيضًا مراكز بيانات متكررة تضمن إمكانية توفّر عالية. وتتضمن أيضًا مراكز البيانات هذه نسخةً عن بياناتك المشفرة، ويتم إنشاء نسخ احتياطية منها تمامًا مثل مركز البيانات الرئيسي.

تشفير السجلات

يستخدم Zoho Logs نظام Hadoop للملفات الموزّعة (HDFS) لتخزين السجلات وإدارتها. نستخدم تقنية التشفير من Hadoop Inc لتشفير البيانات بينما تتم معالجة إدارة المفاتيح من خلال خدمة إدارة المفاتيح (KMS).

تشفير ذاكرة التخزين المؤقت

نستخدم برنامج Redis المفتوح المصدر لتخزين البيانات ذاكرة التخزين المؤقت وإدارتها. تحتوي ذاكرة التخزين المؤقت على بيانات يتم استخدامها بشكل متكرر أثناء تشغيل الخدمة، ويجب تخزينها لفترة معيّنة. في بعض الأحيان، يمكن تخزين بياناتك في ذاكرة التخزين المؤقت لتحسين الخدمة أو لاستكشاف الأخطاء وإصلاحها. وفي حال تضمنت أي بيانات معلومات شخصية حساسة، فنحن نختار تشفيرها.

إدارة المفاتيح

تقوم خدمة إدارة المفاتيح (KMS) في الشركة بإنشاء المفاتيح وتخزينها وإدارتها على كل الخدمات. ونحن نمتلك المفاتيح ونحتفظ بها باستخدام خدمة إدارة المفاتيح. في الوقت الحالي، لا نملك الحق في تشفير البيانات بواسطة مفاتيح يملكها العميل.

تتنوع المفاتيح المستخدمة في مراحل التشفير المختلفة:

مفتاح تشفير البيانات (DEK): المفتاح المستخدم لتحويل البيانات من نص عادي إلى نص مشفّر، أو المفتاح المستخدم لتشفير البيانات.

مفتاح تشفير المفاتيح (KEK): المفتاح المستخدم لتشفير مفتاح تشفير البيانات (DEK)، وهو خاص بالخدمة، ويوفّر مستوى أمان إضافيًا.

المفتاح الرئيسي: المفتاح المستخدم لتشفير مفتاح تشفير المفاتيح (KEK). يتم تخزين هذا المفتاح في خادم معزول لضمان السلامة.

كيف تعمل خدمة إدارة المفاتيح (KMS)؟

تعتمد كل أنواع التشفير على الخوارزمية AES 256. ووفقًا لهذه الخوارزمية، تتم معالجة البيانات كـ "كتل" يجب تشفيرها. بصرف النظر عما إذا كانت البيانات حقلاً في قاعدة البيانات أو ملفًا في نظام الملفات الموزّعة (DFS)، يبدأ التشفير عندما يتم تشفير كتلة بيانات باستخدام مفتاح تشفير البيانات (DEK).

يتم تشفير مفتاح تشفير البيانات (DEK) هذا بشكل إضافي باستخدام مفتاح تشفير المفاتيح (KEK). يتم تشفير مفتاح تشفير المفاتيح (KEK) مرة أخرى باستخدام مفتاح رئيسي يتم تخزينه على خادم منفصل. تجد في ما يلي العناصر التي يجب إدارتها-

  • البيانات المشفّرة
  • مفاتيح تشفير البيانات (DEK)
  • مفاتيح تشفير البيانات (DEK) المشفّرة
  • مفاتيح تشفير المفاتيح (KEK)
  • مفاتيح تشفير المفاتيح (KEK) المشفّرة
  • المفتاح الرئيسي

تعمل خدمة إدارة المفاتيح (KMS) على إدارة هذه العناصر بالطريقة التالية:

kms1

1
تقديم الطلبات

تتم المصادقة على المستخدم لاستخدام خدمات Zoho ويقوم بطلب البيانات

2
تشفير البيانات أثناء نقلها

التشفير المستند إلى أمان طبقة النقل (TLS)

3
واجهة التطبيق الأمامية

توجيه حركة البيانات إلى خوادم التطبيقات

4
خادم التطبيق

البدء بعملية التشفير

5
خدمة إدارة المفاتيح

إنشاء / استرداد مفتاح تشفير البيانات (DEK)

6
الخادم الرئيسي

إنشاء / استرداد مفتاح تشفير المفاتيح (KEK)

7
قاعدة بيانات خدمة إدارة المفاتيح (KMS)

تخزين مفتاح تشفير البيانات (DEK) المشفّر

8
خدمة إدارة المفاتيح

إرجاع مفتاح تشفير البيانات (DEK) للتشفير

9
عامل التشفير

تشفير البيانات باستخدام مفتاح تشفير البيانات (DEK)

10
سعة التخزين

تخزين البيانات المشفّرة

كيف يتم إنشاء المفاتيح؟

تقوم خدمة إدارة المفاتيح (KMS) بإنشاء مفاتيح 256 بت تتطابق مع بروتوكول AES 256، بالإضافة إلى متجه التهيئة (IV). كما أسلفنا، يضمن متجه التهيئة (IV) أن تكون الكتلة الأولى من البيانات المشفّرة عشوائية. لهذا السبب يتم تشفير النص العادي نفسه إلى نصوص مشفّرة مختلفة بمساعدة متجهات التهيئة.

تقوم خدمة إدارة المفاتيح (KMS) بإنشاء هذه المفاتيح ومتجه التهيئة (IV)باستخدام مكتبة Java آمنة ومُنشئ أرقام عشوائية آمن. 

أين يتم تخزين المفاتيح؟

يتم تشفير مفاتيح تشفير البيانات (DEK) التي تم إنشاؤها في خدمة إدارة المفاتيح (KMS) باستخدام مفتاح تشفير المفاتيح (KEK)، مما يوفّر مستوى إضافيًا من الأمان. ويجري تخزين مفاتيح تشفير البيانات (DEK) المشفّرة في قاعدة بيانات خدمة إدارة المفاتيح (KMS).

layers-security

نفصل المفاتيح فعليًا (ونخزّنها في مواقع مختلفة) بحيث لا يتمكن المهاجم الذي يحصل على مفتاح واحد من الحصول على سائر المفاتيح ذات الصلة أيضًا. نعمل على تشفير مفتاح تشفير المفاتيح (KEK) باستخدام مفتاح رئيسي ونخزّنه على خادم منفصل.

بالنسبة إلى تطبيق Zoho Docs، نوفّر طبقة إضافية من الأمان للمستندات المخزّنة عندما تكون ثابتة.

layers-security1

لن يتمكن المهاجم من تعريض البيانات للخطر بمجرد استهداف خدمة إدارة المفاتيح وحدها.

ما مدى أمان المفاتيح؟

الفصل الفعلي- وفقًا لما تم ذكره سابقًا، يبقى المفتاح الرئيسي محفوظًا في خادم منفصل فعلي وآمن. بذلك، يصبح من الصعب على المهاجم تعريض كل من مفاتيح تشفير البيانات (DEK) ومفاتيح تشفير المفاتيح (KEK) للخطر.

التحكم في الوصول- يساعدنا التحكم في الوصول في منع إساءة استخدام المفاتيح والوصول غير المسبوق إليها. تسمح قائمة التحكم بالوصول (ACL) لخدمات محددة فحسب بالوصول إلى مفاتيح محددة. وفي كل مرة يتم فيها الوصول إلى مفتاح، تجري المصادقة على هذه العملية ويتم تسجيلها. تساعد عمليات المراجعة المنتظمة لهذه السجلات في مراقبة العملية.

يتم تقييد الوصول إلى خوادم إدارة المفاتيح بشكل افتراضي، ولا يُسمح به إلا لموظفين محددين من شركة Zoho. ويؤدي أي وصول آخر إلى إرسال تذكرة، ويُسمح به بعد موافقة الإدارة فحسب. 

تبديل المفاتيح الدوري- نلجأ إلى نظام تبديل دوري للمفاتيح، بحيث نغيّر المفتاح الرئيسي الجذري بشكل دوري، مما يضمن أمانًا إضافيًا. عند إنشاء مفتاح رئيسي ومتجه تهيئة (IV) جديدين، يجب أيضًا مراجعة المفاتيح في قاعدة البيانات. وبالتالي، يتم أولاً إحضار كل المفاتيح في قاعدة البيانات وفك تشفيرها باستخدام المفتاح الرئيسي القديم وإعادة تشفيرها باستخدام المفتاح الرئيسي الجديد وتحديثها في قاعدة البيانات.

تتوفّر إمكانية التبديل الدوري للمفاتيح يدويًا لمعالجة المواقف الحرجة التي قد تنشأ.

إتاحة المفاتيح- إذا فشل التخزين الأساسي للأقراص في مركز بيانات واحد (DC)، فيتوفّر تابع وتابع ثانوي للنسخ الاحتياطي يحتوي على البيانات نفسها الموجودة في مركز البيانات (DC) الرئيسي. ولدى كل من التابع والتابع الثانوي مفاتيح تشفير بيانات (DEK) مشفّرة، تمامًا مثل الرئيسي.

ما هي البيانات التي نقوم بتشفيرها في خدماتنا؟

تختلف البيانات التي يتم تشفيرها عندما تكون ثابتة باختلاف الخدمات التي تختارها. يتم تحديد خيارات التشفير ومستوياته لإدخال بيانات معيّنة بناءً على قرارك أو قرارنا أو على ضوء قرار وفاقي بيننا.

يصف العمود الجدولي التالي البيانات المشفّرة من خدمات Zoho المتنوعة:

الخدماتالحقول المشفّرة
CRMالحقول المخصصة التي تحتوي على معلومات شخصية وكل الملفات
Docsكل الملفات
Creatorالحقول المخصصة
Campaignsالحقول التي تحتوي على معلومات شخصية وملفات المستخدم التي تم تحميلها
Cliqنصوص الدردشة والمعلومات الشخصية
Peopleالحقول المخصصة وكل الملفات
Connectالعناوين وعناوين URL ومحتويات كل من الموجزات ومنشورات المنتديات والمقالات والاجتماعات والمجموعات والإعلانات والمهام والتعليقات وملفات الفيديو والمرفقات
Deskمحتويات سلسلة التذاكر والمرفقات والرموز المميزة
Financeتفاصيل الحسابات المصرفية والحقول المخصصة التي تحتوي على معلومات شخصية وتفاصيل الموظفين التي تتضمن المعلومات الشخصية ومستندات السفر والكشوفات المصرفية والمرفقات
Projectsالمرفقات والحقول التي تتضمن المعلومات الشخصية والرموز المميزة
Notebookبطاقات الملاحظات والمرفقات
Signالمستندات والصور المميزة والرموز المميزة
Reportsالحقول المخصصة والملفات التي يقوم المستخدمون بتحميلها والاستعلامات المخصصة
Mailكل محتويات البريد والمرفقات والحقول التي تحتوي على المعلومات الشخصية
Recruitالحقول المخصصة والمستندات المستوردة من قبل المستخدم
Socialالرموز المميزة والحقول التي تحتوي على المعلومات الشخصية

تشفير كامل القرص

نلجأ إلى محركات الأقراص المشفّرة ذاتيًا (SEDS) لدعم تشفير كامل القرص المستند إلى الأجهزة.

إن محرك الأقراص المشفّر ذاتيًا (SED) هو عبارة عن محرك أقراص ثابتة (HDD) أو محرك أقراص ذي حالة صلبة (SSD) مع دائرة تشفير مضمنة في المحرك. ويشير التشفير الذاتي ببساطة إلى أن كل البيانات المكتوبة في وسيط التخزين تكون مشفّرة بواسطة محرك الأقراص قبل كتابتها ويتم إلغاء تشفيرها بواسطة محرك الأقراص عند قراءتها.

إن محركات الأقراص المشفّرة ذاتيًا (SED) هي عبارة عن محركات ممتثلة لمعايير معالجة المعلومات الفيدرالية FIPS 140-2 أو لمجموعة الحوسبة الموثوق بها (TCG). إن خوارزمية التشفير التي تم تكوينها لمحركات الأقراص المشفّرة ذاتيًا (SED) هي خوارزمية AES. يبلغ طول المفتاح المستخدم للتشفير وفك التشفير 256 بت.

يبرز نوعان من المفاتيح المستخدمة في محركات الأقراص المشفّرة ذاتيًا (SED)، مفتاح تشفير البيانات (DEK) ومفتاح المصادقة (AK).

مفتاح تشفير البيانات- يُستخدم هذا المفتاح لتشفير البيانات وإلغاء تشفيرها في محرك الأقراص. يتم إنشاء هذا المفتاح من قبل مورّد أثناء عملية التصنيع. عندما نحصل على خوادم جديدة مع محركات أقراص مشفّرة ذاتيًا (SED)، نعيد إنشاء المفتاح لأسباب أمنية.

مفتاح المصادقة - يعمد هذا المفتاح إلى تشفير مفتاح تشفير البيانات، ويُستخدم لقفل محرك الأقراص وإلغاء قفله. يتم إنشاء مفاتيح المصادقة تبعًا لسياسة فعالة، كما يتم تخزينها في نظام إدارة المفاتيح الخاص بنا. ويتم نقل المفتاح نفسه إلى كل خادم بطريقة آمنة عندما نقوم بتمكين التشفير في الخوادم. ونستخدم إدارة المفاتيح المحلية (LKM) لإدارة مفتاح المصادقة.

ملاحظة: يتم حاليًا تطبيق تشفير كامل القرص المستند إلى الأجهزة في مراكز البيانات في الهند فقط.

الخاتمة

نقوم بتشفير بيانات العملاء الحساسة عند تخزينها، وذلك أثناء نقلها عبر الإنترنت وبين مراكز البيانات (DC) الخاصة بنا، غير أنّ التشفير ليس سوى جزء من إستراتيجية الأمان لدينا، فنحن نبتكر باستمرار ونعمل على تحسين حماية البيانات عن طريق اعتماد أحدث البروتوكولات والتقنيات. للحصول على المزيد من المعلومات حول إستراتيجية الأمان الكاملة التي نعتمدها، يرجى زيارة https://www.zoho.com/security.html.