Certes Networks从数据本体加密 克服云端与量子时代网安挑战
- 台北讯
-
企业近年加速导入公有云,跨国、跨云数据流动成为营运常态,也让网安风险的关注焦点随之转移。瑞奇数码技术副理王生雄指出,面对数据一旦外泄即无法回收、量子运算威胁逐步逼近的现实,该公司代理的Certes Networks选择从数据本身出发,以「数据流本体加密」与「抗量子金钥架构」双轴策略,重构企业在云端与未来量子时代的网安防线。
在公有云环境中,TLS与VPN的确能有效防范窃听与中间人攻击,但其保护范围本质上仍停留在连线通道。一旦凭证被窜改、握手机制遭降级,或云端端点本身遭入侵,数据在进出通道前后的状态,仍可能暴露在风险之中。这也是为何通道安全不等于数据内容安全,逐渐成为金融与高敏感产业重新检视云端风险的核心命题。
Certes Networks Channel Sales Director-APAC亚太区代理业务总监Bill Fraser表示,Certes DPRM解决方案的技术核心,是直接在传输层对IP封包的数据内容本体加密,同时保留封包标头、通讯埠、路由与QoS等必要信息,使数据即便在公网或云端环境中被拦截,也仅以密文形式存在,且不影响既有网络架构、监控与流量管理。
对企业而言,这意味着近乎「零侵入」的部署模式,加密节点可设于企业端出口与云端入口之间,不需建立VPN、不必调整防火墙规则,也不影响既有应用;以云端备份为例,数据在离开地端前即完成加密,进入Amazon Web Services 等公有云后仍维持密文状态,即使云端端点遭入侵,攻击者取得的也只是无法解读的数据流。
除了加密层级的差异,Bill Fraser提到Certes另一项关键设计,在于以数据流为核心的存取策略。传统通道式加密往往共享同一组金钥,一旦遭破解,影响范围可能扩及整条通道;Certes则将每一条数据传输视为独立的安全单元,采取「每条数据流各自使用独立金钥,并定期轮替」的设计,哪些数据需要加密、哪些对象具备解密权限,皆由政策明确定义,即使单一数据流遭到破解,也难以作为横向移动的跳板,进一步降低整体风险。
瑞奇数码产品经理卓玮珊表示,这类架构特别适用于金融、医疗与政府等高度受监管场景,也逐渐被延伸至AI训练数据保护、跨国数据中心同步,以及云端备援与灾难复原等用途。在台湾市场中,此技术的主要应用族群为金融业,其导入多半源自外部制度规范或特定对接单位对数据传输加密的要求;部署层面则是针对特定对外连线或跨系统传输段进行保护。
除了金融业之外,内部掌握高度机敏数据、且对网安要求较高的企业,也会评估并导入相关加密机制,以强化跨据点与关键数据传输的防护。
在量子议题上,Certes采取相对务实的策略。王生雄指出,量子电脑虽尚未全面商用,但攻击行为早已开始,过去多起重大网安事件显示,攻击者可能长期潜伏于企业网络中,持续外流并保存数据,等待未来解密变现;一旦量子运算成熟,近年广泛使用的加密体系,可能在短时间内失去防护能力。
因此Certes 并未将策略完全押注于纯后量子口令学演算法,而是以已充分验证、具备高效能的对称式加密为基础,搭配具备加密演算法敏捷性的架构,让企业得以立即部署,同时保留未来升级空间。
其数据传输核心采用AES-256-GCM,在量子情境下仍具备足够安全强度,并透过多段式金钥切割与定期轮替,避免完整金钥以单一形式暴露于网络之中,降低长期被蒐集与分析的风险。
抗量子思维进入企业实际导入情境时,关注焦点也随之回到实际导入的可行性与对营运的影响。卓玮珊以金融业为例,此类型产业在评估导入时,重点关注面向集中在三个层次,包括管理复杂度是否可控、效能与延迟是否符合营运需求,以及是否具备可通过稽核的合规依据。
针对此需求,瑞奇数码以 POC作为标准流程,先透过实地测试与效能验证,提供具体测试报告,协助客户进行内部评估;一般而言,POC期间约一个月,若成效符合预期且决策明确,从评估到正式上线,大多可在一季内完成。
卓玮珊最后表示,公有云正逐渐成为多数企业建构 IT 系统的重要选项,在此运作架构下,云端服务供应商主要负责基础设施安全,而从地端传输至云端过程中的数据保护,仍需由企业自行掌握。
Certes所提供的解决方案,正是从「数据本体」出发,将加密与金钥治理直接绑定在数据流之上,协助企业在云端、跨据点与量子风险并行的环境中,建立一套可实时落地、且具备长期演进弹性的网安防护基础,确保数据在整个生命周期中的安全性。
