Bekleyen Veri Şifreleme (Encryption at Rest) Nedir?
İngilizce: Encryption at Rest
Bekleyen veri şifreleme, disk, veritabanı veya yedekte duran veriyi anahtarlarla koruyarak yetkisiz erişim riskini azaltır.
Bekleyen Veri Şifreleme (Encryption at Rest) Nedir?
Bekleyen veri şifreleme, aktif olarak ağ üzerinden taşınmayan verinin şifreli tutulmasıdır. Diskteki dosyalar, veritabanı tabloları, object storage nesneleri, yedekler ve arşivler bu kapsama girer. Amaç, depolama medyası veya yetkisiz bir hesap ele geçirilse bile verinin okunmasını zorlaştırmaktır.
Bu kavram, veri aktarımı sırasında kullanılan SSL/TLS ile karıştırılmamalıdır. TLS veriyi hareket hâlindeyken korur; bekleyen veri şifreleme ise depolandığı yerde korur. Uygulamada disk şifreleme, veritabanı şifreleme, alan bazlı şifreleme ve yedek şifreleme farklı katmanlar olarak birlikte kullanılabilir.
Anahtar Yönetimi
Şifrelemenin güvenliği, kullanılan algoritmadan çok anahtar yönetimine bağlıdır. Anahtarlar uygulama koduna yazılmamalı, KMS veya HSM gibi kontrollü sistemlerde tutulmalı, erişim kayıtları izlenmeli ve rotasyon süreci tanımlanmalıdır. Bazı yapılarda veri anahtarı ile ana anahtar ayrılır; buna envelope encryption denir.
KVKK gibi veri koruma gereksinimlerinde şifreleme tek başına uyumluluk garantisi değildir, fakat risk azaltan önemli bir teknik tedbirdir. Yetki yönetimi, loglama, veri maskeleme ve şifreleme anahtarlarının ayrıştırılması birlikte ele alınmalıdır.
İlgili Terimler
KVKK, Türkiye'de kişisel verilerin işlenmesi, saklanması ve aktarımı için veri sorumlularına yasal yükümlülükler getirir.
ŞifrelemeŞifreleme, okunabilir veriyi anahtar ve algoritma kullanarak yalnızca yetkili tarafların çözebileceği kriptografik biçime dönüştürür.
SSL/TLSSSL/TLS, istemci ve sunucu arasında kimlik doğrulama, anahtar anlaşması ve şifreli veri aktarımı sağlayan güvenlik protokol ailesidir.