Zabezpieczanie Baz Danych przez TDE i EKM z Utimaco HSM
Bazy danych są skarbnicą poufnych informacji. Zawierają osobiste dane klientów, informacje o konkurencji i własności intelektualnej. Utrata lub kradzież danych, zwłaszcza klienta, może spowodować osłabienie i kompromitację wizerunku marki, słabszą konkurencyjność lub poważne grzywny. Dlatego, aby zagwarantować odpowiednią ochronę, należy zapewnić silne szyfrowanie wrażliwych treści bazy danych.
Chroń swoją bazę danych na najwyższym poziomie
W celu ochrony danych, sprzętowych moduł bezpieczeństwa (HSM) chroni klucze, które z kolei służą do zabezpieczania bazy danych poprzez jej szyfrowanie. W HSM klucze szyfrujące są przechowywane z dala od aplikacji oraz systemu operacyjnego dzięki stosowaniu sprawdzonych, zaufanych standardów kryptograficznych. Samo zastosowanie kluczy do szyfrowania jest kontrolowane przez politykę dostępu, pozostawiając bazę danych bezpieczną od naruszeń i zagrożeń.
HSM dla MS-SQL bazy danych
Integracja HSM z Microsoft SQL Server 2008 umożliwia przechowywanie kluczy kryptograficznych w ramach HSM a nie oprogramowania i zapewniając przy tym większe bezpieczeństwo oraz wydajność aplikacji. W przeciwieństwie do poprzednich wersji, Microsoft SQL Server 2008 umożliwia korzystanie z zewnętrznych urządzeń typu HSM do przechowywania kluczy i operacji kryptograficznych, takich jak generowanie, usuwanie kluczy, szyfrowanie i deszyfrowanie oferując bezpieczeństwo na najwyższym poziomie zgodne z PCI DSS (Payment Card Industry Data Security Standard).
HSM dla MS-SQL – Jak to działa
SQL Server 2008 wprowadzono Extensible Key Menagment (EKM) umożliwia zarządzanie kluczami do szyfrowania poza samym SQL Server. Tradycyjnie, wszystkie klucze dla kryptografii symetrycznych i asymetrycznych wykonywanych przez SQL Server znajdują się w samej bazie danych, jednak EKM pozwala na tworzenie kluczy, ich przechowywanie, szyfrowanie i deszyfrowanie poza nią dzięki użyciu HSM. Aby korzystać z tej funkcji Utimaco (dostawca EKM) stworzył moduł, który implementuje pewne interfejsy SQL Server używane do zarządzania kluczami i operacji kryptograficznych.
HSM dla baz danych Oracle
Jako część 11g Oracle Advanced Security Option, Transparent Data Encryption (TDE) pozwala szyfrować dane klienta, finansowe czy poufne. Dane są zabezpieczone, bez zmiany istniejących aplikacji lub procesów.
HSM dla Oracle – Jak to działa
HSM są dedykowanymi rozwiązaniami, które fizycznie i logicznie zabezpieczają materiał kryptograficzny taki jak klucze i wykonujące operacje kryptograficzne, będące podstawą każdego podpisu cyfrowego i rozwiązań związanych z ochrony danych. Poza tym fizycznie zabezpieczony klucz główny wykorzystywany przez Oracle Database 11g, dzięki HSM ma zapewniony ograniczony dostęp tylko dla autoryzowanych użytkowników.
Poufne dane są szyfrowane albo za pomocą Oracle Advanced Security TDE lub poprzez szyfrowanie tablespace (bez konieczności zmian w aplikacji). Pierwsze rozwiązanie szyfruje kolumny tabel w aplikacji, które mogą zawierać poufne informacje, takie jak dane karty kredytowej lub poufnych informacji o koncie. Drugie rozwiązanie szyfruje całe tabele w aplikacji, eliminując potrzebę określenia wrażliwych kolumn. Zaszyfrowane dane pozostają zaszyfrowane przy eksporcie danych przez Oracle Data Pump, lub w kopii baz danych. (Nieustrukturyzowane dane, jak skany dokumentów finansowych lub obrazów rentgenowskich (DICOM), mogą być przechowywane w postaci zaszyfrowanej w Oracle SecureFiles.)
Klucze tabel w TDE, wykorzystywane do szyfrowania kolumny są przechowywane w bazie danych. Klucze TDE tabel przechowywane są w nagłówku plików systemu operacyjnego, który zawiera tabelspace-y. W obu rozwiązaniach są one szyfrowane kluczem głównym Advanced Oracle Security TDE, który jest przechowywany zewnętrznie w HSM.
Za pomocą jednego polecenia, interfejs Oracle Database Security Administrator z zewnętrznego modułu zabezpieczeń, umożliwia aby główny klucz szyfrujący był dostępny dla bazy danych.
Podczas korzystania z HSM, klucze dla tabel oraz tabelspac-ów są wysyłane do HSM i wracają odszyfrowane przy użyciu bezpiecznego połączenia, więc mogą być używane do deszyfrowania i szyfrowania danych w bazie danych.
Klucze tabel i tablespace umożliwiają szyfrowanie / odszyfrowywania danych.