Шифроване на бази данни, Journal of Network Solutions
Инструментите за криптиране на бази данни са централни за всеобхватната концепция за криптиране на информация.
Там, където злоупотребата с данни е възможна, тя непременно ще се случи: скандалът, който избухна около пълната клиентска база данни на T-Mobile, която може да бъде достъпна относително лесно през Интернет, е само един от многото уместни примери. Базите данни обикновено съдържат чувствителна и чувствителна информация, така че инструментите за криптиране на бази данни трябва да бъдат в центъра на една всеобхватна концепция за криптиране на информация.
Търговците на дребно, банките и доставчиците на услуги работят с бази данни, които съхраняват информация за клиенти, техните кредитни карти и транзакции, така че защитата на данните е изключително важна за тях. Стандартът за сигурност на данните в сектора на разплащателните карти (PCI DSS) предоставя 12 специфични изисквания за защита на информацията в среда за електронни плащания. Шифроването е един от най-важните елементи. Съгласно тази директива, цялата информация, съдържаща се в базата данни, трябва да бъде защитена чрез криптиране, а криптографските ключове трябва да се съхраняват в силно защитена среда. Това ниво на защита трябва да се осигури и за други документи, въпреки че задължителни стандарти съществуват само в няколко области.
Малко фирми работят с една база данни. В повечето случаи информацията се съхранява в множество бази данни, разработени от различни доставчици и разположени в различни точки на ИТ инфраструктурата. Всеки производител има свои собствени изисквания за управление на сигурността, така че преди да вземете окончателно решение,трябва да попитате дали вашият продукт за криптиране ще поддържа различни корпоративни бази данни, уеб сървъри, приложения и файлове и се уверете, че не сте обвързани с един доставчик.
Предприятията трябва да обмислят решения, които поддържат стандарти за криптиране като AES, 3DES, RSA или HMACSHA-1. Използването на стандартни алгоритми опростява избора на продукти, особено след като Brute Force атаките са практически елиминирани с правилната дължина на ключа.
Въпреки това, дори най-доброто решение за криптиране ще бъде безполезно, ако достъпът за декриптиране не е защитен толкова сигурно - той трябва да бъде предоставен само с правилния ключ. Най-удобни на практика се оказаха така наречените хардуерни модули за сигурност (Hardware Security Module, HSM), при които съхранението, генерирането и използването на ключове се извършва в защитена среда. HSM са по-сигурно хранилище от всеки софтуер или самата база данни. На пазара вече се появиха HSM, оптимизирани за криптиране на база данни и оборудвани с готов интерфейс. Докато традиционното HSM решение съхранява само ключа, оптимизираните решения поддържат редовно автоматично повторно ключване и по този начин отговарят на друго PCI DSS изискване.
За оптимална защита на съхранените данни криптирането на базата данни трябва да бъде част от многослоен подход и да се допълва от други слоеве на защита. Пълното криптиране на диска (Full Disc Encryption) защитава всички данни, съхранявани на него, дори ако носителят е изгубен и попадне в неподходящи ръце.
Шифроването на файлове и папки осигурява защита за определена поверителна информация, съхранявана на сървъри, работни станции, лаптопи и др.мобилни устройства, а криптирането на приложения защитава различни области от данни, които са пряко свързани с приложения, които работят с тази информация. Добре дефинираните потребителски роли и права, както и внимателно управляваните контроли за достъп до приложения, помагат да се гарантира сигурността на данните.
Данните също трябва да бъдат защитени, докато са в транзит през корпоративната мрежа. В този случай изборът на метод за криптиране трябва да вземе предвид закъсненията и претоварването, причинени от това решение, както и размера на честотната лента, от която се нуждае предприятието.
Ансгар Дод е търговски директор за Европа, Близкия изток и Африка за SafeNet.
Фигура 1. Шифроване в една стъпка в AES: само административни инструменти и интегрирана сигурност правят криптирането истински инструмент за сигурност.
Особености при използването на инструменти за криптиране за защита на бази данни
Работата с бази данни е коренно различна от защитените съобщения (поща) или електронното управление на документи. Големите количества данни и селективният достъп до информация затрудняват прилагането на ефективен подход, когато съдържанието е предварително декриптирано и след това, след използване, криптирано обратно. Методът на "прозрачно криптиране" ви позволява да запазите обичайните инструменти и работен процес, при който информацията се декриптира автоматично при четене от носителя (ако е въведен правилният ключ) и автоматично се криптира при запис. Този подход прави решението независимо от използваните приложения, то е приложимо както за логически дискове, така и за папки и файлове. При избора на продукт трябва да се обърне внимание дали защитата може да се задава динамично без прекъсванеили трябва да изключите базите данни за периода на криптиране, което може да отнеме много време.
За разлика от записа на диск, криптиран файл може да бъде прехвърлен непроменен за дешифриране на локален компютър. В резултат на това няма нужда да се криптира информация в мрежата, а процедурата за архивиране е радикално опростена. Известен компромис между дискове и файлове са защитени виртуални дискове (контейнери), които, подобно на файлове, съхраняват информация в криптирана форма, но след предоставяне на истински ключ за криптиране, те се възприемат от системата като допълнителни дискове.
Обърнете внимание, че повечето инциденти с изтичане на база данни не са свързани с външни атаки, а с действията (небрежни или умишлени) на потребители, които имат законен достъп до информация. Следователно избраното решение трябва да предотврати достъпа до данни, когато личен ключ и криптиран файл или диск (или негово изображение) се премахнат от компанията и след това се свържат със среда, в която нападателят има пълни права. По-специално тази опция за защита е реализирана в софтуерното решение InfoWatch CryptoStorage.
От друга страна, често възниква ситуация, когато за работа са необходими поверителни данни, но е невъзможно да се свържете с корпоративната мрежа (по време на командировки, бизнес срещи, конференции и др.). И двете са осигурени чрез внимателно управление на ключовете, както и възстановяването на ключа за криптиране, ако бъде изгубен или злонамерено унищожен. В същото време е важно необходимите права да бъдат предоставени не на отделен потребител, който по този начин получава достъп до цялата поверителна информация, а на група упълномощени представители на компанията, което изключва неконтролиран достъп до ключове за криптиране.
АлександърИванов е системен анализатор в InfoWatch.
Споделяйте материал с колеги и приятели