Encryption at rest vs Encryption in transit khác biệt như thế nào?

Dữ liệu y tế luôn là mục tiêu hàng đầu của các cuộc tấn công mạng, đòi hỏi các tổ chức phải thiết lập hai lá chắn cốt lõi là Encryption at Rest vs Encryption in Transit. Dù cùng chung mục đích bảo mật, chúng lại vận hành ở hai trạng thái dữ liệu khác nhau và đối phó với những mối đe dọa riêng biệt. Hãy cùng Viettel IDC phân biệt rõ hai cơ chế này để xây dựng chiến lược phòng thủ dữ liệu tối ưu nhất.

Tìm hiểu Encryption at rest vs Encryption in transit là gì?

Encryption at rest là gì?

Encryption at rest (mã hoá tại chỗ) là quá trình mã hóa dữ liệu khi nó đang ở trạng thái không hoạt động và được lưu trữ cố định trên các phương tiện vật lý hoặc kỹ thuật số (như ổ cứng, cơ sở dữ liệu, thiết bị di động hoặc kho lưu trữ đám mây). Mục tiêu là bảo vệ dữ liệu khỏi bị rò rỉ nếu thiết bị bị mất cắp hoặc hệ thống lưu trữ bị xâm nhập.

Các đặc tính cốt lõi của Encryption at rest:

- Mã hóa toàn bộ ổ đĩa (FDE): Mã hóa toàn bộ thiết bị lưu trữ ở cấp độ phần cứng, khiến dữ liệu không thể truy cập nếu máy tính xách tay hoặc máy tính bảng bị thất lạc.

- Mã hóa cấp tệp (File-Level): Nhắm mục tiêu bảo vệ các tệp hoặc thư mục riêng lẻ, rất hữu ích cho các dữ liệu độc lập nhạy cảm như hình ảnh y tế hoặc báo cáo.

- Mã hóa cơ sở dữ liệu (TDE): Bảo mật toàn bộ hệ quản trị cơ sở dữ liệu hoặc các cột dữ liệu cụ thể (như số định danh cá nhân, tài chính).

- Mã hóa phong bì (Envelope Encryption): Sử dụng Khóa mã hóa dữ liệu (DEK) để mã hóa dữ liệu, sau đó dùng Khóa mã hóa khóa (KEK) để bảo vệ chính khóa DEK đó.

- Tiêu chuẩn phổ biến: Thường sử dụng thuật toán mã hóa mạnh mẽ AES-256.

- Tính năng Hủy mã hóa (Crypto-shredding): Chủ động xóa các khóa mã hóa để khiến dữ liệu tĩnh vĩnh viễn không thể khôi phục, phục vụ cho việc hủy thiết bị cũ an toàn.

Encryption in transit là gì?

Encryption in transit (mã hoá khi truyền tải) là quá trình bảo vệ dữ liệu khi nó đang hoạt động và di chuyển giữa các vị trí khác nhau qua mạng internet hoặc mạng nội bộ (như gửi email, gọi API, hoặc truyền dữ liệu lên đám mây). Mục tiêu là ngăn chặn các hành vi nghe lén, đánh chặn hoặc tấn công xen giữa (man-in-the-middle).

Các đặc tính cốt lõi của Encryption in transit:

- Ba trụ cột bảo vệ: Gồm Xác thực (xác minh danh tính người gửi/nhận), Tính toàn vẹn (đảm bảo dữ liệu không bị chỉnh sửa dọc đường) và Mã hóa (giữ nội dung riêng tư).

- Quá trình Handshake: Các điểm cuối thực hiện thỏa thuận về giao thức mã hóa và trao đổi khóa trước khi dữ liệu được truyền đi.

- Giao thức TLS (Transport Layer Security): Tiêu chuẩn cốt lõi để bảo mật các kết nối HTTPS, ứng dụng web và các cuộc gọi API.

- Mạng riêng ảo VPN: Sử dụng giao thức IPsec để tạo đường truyền riêng tư được mã hóa giữa mạng nội bộ doanh nghiệp và môi trường đám mây.

- TLS song phương (mTLS): Bắt buộc cả máy client và server phải xác thực lẫn nhau khi giao tiếp giữa các dịch vụ hệ thống.

- Tiêu chuẩn nâng cao: Thường sử dụng khóa RSA-2048 và được khuyến nghị nâng cấp lên mã hóa đối xứng AES-192 hoặc AES-256 để có độ an toàn tối đa.

So sánh Encryption at rest vs Encryption in transit khác gì nhau?

Encryption at rest vs Encryption in transit giải quyết các khía cạnh khác nhau của bảo mật dữ liệu. Encryption at rest tập trung vào việc bảo vệ dữ liệu cố định được lưu trữ trên các phương tiện vật lý như ổ cứng, cơ sở dữ liệu hoặc kho lưu trữ đám mây. Ngược lại, Encryption in transit bảo vệ dữ liệu khi nó di chuyển giữa các vị trí, chẳng hạn như trong quá trình trao đổi email, lưu lượng truy cập web hoặc truyền tệp.

Trường hợp sử dụng Encryption at rest và Encryption in transit

Việc lựa chọn giữa Encryption at rest và Encryption in transit phụ thuộc vào việc dữ liệu đang được lưu trữ hay đang trong quá trình chuyển giao chủ động. 

Trường hợp sử dụng Encryption at Rest

Mã hóa dữ liệu tĩnh được áp dụng khi dữ liệu nằm yên trong các hệ thống lưu trữ, giúp bảo vệ thông tin trước các nguy cơ phần cứng bị đánh cắp hoặc hệ thống bị tin tặc xâm nhập từ bên trong.

- Cơ sở dữ liệu hồ sơ bệnh án (EHR): Các hệ thống Hồ sơ sức khỏe điện tử lưu trữ thông tin nhạy cảm của bệnh nhân (chẩn đoán, đơn thuốc, phác đồ điều trị) bắt buộc phải dùng mã hóa tĩnh (như AES-256) trên máy chủ để đảm bảo dữ liệu không bị đọc trộm ngay cả khi hàng rào mạng bị xuyên thủng.

- Kho lưu trữ hình ảnh y tế quy mô lớn (DICOM): Các tệp ảnh chụp X-quang, MRI, CT có dung lượng lớn lưu trữ trong các kho lưu trữ đối tượng (object storage) trên đám mây như Amazon Web Services S3 cần được cấu hình mã hóa mặc định để tránh các lỗi rò rỉ do cấu hình sai cấu trúc lưu trữ.

- Thiết bị di động và phương tiện ngoại vi: Máy tính xách tay, máy tính bảng, điện thoại thông minh của nhân viên y tế và ổ cứng USB chứa ePHI phải được mã hóa toàn bộ ổ đĩa (FDE). Nếu thiết bị vô tình bị thất lạc hoặc mất cắp, dữ liệu bên trong vẫn hoàn toàn vô giá trị đối với kẻ gian.

- Hệ thống sao lưu và Lưu trữ lưu niên: Các bản sao lưu hệ thống định kỳ cần được mã hóa đồng bộ để duy trì một nền tảng bảo mật xuyên suốt, tránh việc kẻ xấu khai thác dữ liệu từ các bản sao lưu cũ.

Trường hợp sử dụng Encryption in Transit

Mã hóa dữ liệu truyền tải được áp dụng khi dữ liệu chủ động di chuyển qua lại giữa các mạng lưới (mạng nội bộ hoặc internet), giúp chống lại các cuộc tấn công nghe lén hoặc đánh chặn dữ liệu dọc đường.

- Khám bệnh từ xa (Telehealth): Các phiên tư vấn trực tuyến qua video, âm thanh giữa bác sĩ và bệnh nhân bắt buộc phải sử dụng các giao thức bảo mật truyền tải như TLS 1.2/1.3 nhằm ngăn chặn các hành vi nghe lén hoặc xem lén thông tin sức khỏe riêng tư.

- Giao tiếp qua API giữa các hệ thống: Khi dữ liệu được trao đổi tự động giữa các hệ thống khác nhau (ví dụ: hệ thống của nhà thuốc gửi yêu cầu xác nhận đơn thuốc đến hệ thống của bệnh viện), các cuộc gọi API này phải được mã hóa để giữ nội dung truyền tải luôn riêng tư.

- Trao đổi dữ liệu với bên thứ ba: Khi tổ chức y tế chia sẻ hồ sơ bệnh nhân cho các đối tác làm hóa đơn thanh toán, công ty bảo hiểm hoặc các phòng xét nghiệm/chẩn đoán độc lập, dữ liệu di chuyển giữa các bên bắt buộc phải nằm trong đường truyền mã hóa (như VPN hoặc HTTPS).

- Giao tiếp giữa các vi dịch vụ (Microservices): Trong các hạ tầng CNTT y tế hiện đại, lượng dữ liệu luân chuyển liên tục giữa các dịch vụ nội bộ nhỏ cần được bảo vệ bằng lưới dịch vụ (service meshes) kết hợp mã hóa TLS song phương (mTLS) để xác thực danh tính an toàn giữa các đầu mối.

Kết hợp cả hai phương thức mã hoá

Để bảo vệ dữ liệu y tế toàn diện, các tổ chức cần phối hợp cả mã hóa tại chỗ và khi truyền tải. Trong đó mã hóa đầu cuối là cốt lõi để đảm bảo dữ liệu chỉ được giải mã bởi người nhận hợp pháp mà không bên trung gian nào can thiệp được. 

Do yếu tố con người luôn tiềm ẩn rủi ro, hệ thống cần tự động hóa bảo mật — chẳng hạn như tự động dùng giao thức TLS/SRTP khi khám bệnh từ xa và mã hóa các file ghi âm bằng AES-256 ngay sau đó. Cuối cùng, các khóa giải mã phải được lưu trữ độc lập và tách biệt hoàn toàn với vùng dữ liệu để loại bỏ nguy cơ sụp đổ toàn hệ thống khi bị tấn công.

Kết luận

Encryption at rest vs Encryption in transit hoạt động như một hệ thống bảo vệ toàn diện, vừa giữ an toàn cho dữ liệu khi nằm yên trong ổ đĩa, vừa che chở thông tin trên mọi hành trình di chuyển. Trong kỷ nguyên số đầy biến động, việc triển khai song hành cả hai cơ chế này chính là tấm vé bảo hiểm tối ưu nhất cho tài sản số của mọi doanh nghiệp.