Шифрование баз данных: актуальные проблемы

Базы данных могут быть ценными собраниями уязвимой информации. Они могут содержать личные данные пользователей, конфиденциальную информацию, обеспечивающую предприятию бизнеса конкурентоспособность и интеллектуальную собственность. Потеря или кража данных, особенно если это данные пользователей, может привести к потере репутации бренда, резкому снижению конкурентоспособности, серьезным штрафам – и даже к привлечению к суду. Многие из современных нормативов и стандартов по обеспечению конфиденциальности информации требуют защиты данных в местах их хранения, а базы данных – это с очевидностью и есть то место, где данные собираются в крупные массивы, и где к ним есть потенциальный доступ со стороны ряда бизнес-систем и пользователей. Организации могут сделать свой выбор в пользу шифрования данных или на уровне приложения, или на уровне базы данных, или на уровне места хранения. Шифрование на самом низком из этих уровней, на уровне места хранения (на дисках или на лентах) защищает от риска в случае, когда средство хранения теряется, но оно не сможет защитить от недобросовестных сотрудников/ партнеров или от систем, зараженных вредоносными программами. Шифрование на уровне приложения представляет другую крайность - самый высокий уровень контроля, но применение этого подхода не всегда является целесообразным.. Из-за того, что сделать выбор очень сложно, многие организации все чаще обращаются к шифрованию на уровне базы данных, поскольку этот путь предлагает соединение лучших сторон обеих альтернатив: когда данные находятся на хранении, - защита идет дальше, чем шифрование на уровне места хранения, но при этом также можно избежать широко распространяющихся изменений, к которым привело бы шифрование на уровне приложения.

Читать далее

В прошлом добавление криптографии к базам данных часто запускало изменения в схемах баз данных и могло негативно отразиться на таких задачах, чувствительных к скорости выполнения, как, например, поиск и индексация информации. Но в настоящее время многие коммерческие базы данных поддерживают возможности само- шифрования, которые можно легко включить и создать действительно прозрачную защиту. При применении шифрования на уровне баз данных получить доступ к расшифрованным данным могут только приложения, авторизованные администраторами, получившие к ним допуск, а другие приложения и другие администраторы могут видеть только зашифрованные данные. Это означает, что данные могут оставаться защищенными, даже в случае возникновения определенной утечки данных. Так почему не так уж много компаний защищает свои базы данных путем их шифрования? Они опасаются, что шифрование (и сопутствующее ему управление ключами защиты) могут так сильно модернизировать базу данных, что из-за этого могут замедлиться критически важные процессы бизнеса, или, что еще хуже, из-за шифрования может быть заблокирован доступ к данным в случае потери криптографических ключей.

Скрыть раздел

Риски

  • Недобросовестные сотрудники и системные администраторы могут иметь доступ как к зашифрованным данным, так и к криптографическим ключам, что дает им доступ к данным в ясно читаемом текстовом формате, если только ключи намеренно не изолировать в специально созданной для этого системе управления ключами защиты.
  • Приложения, которые имеют право легитимного доступа, но при этом все же заражены вредоносными программами, все же могут иметь доступ к конфиденциальным данным.
  • Многочисленные экземпляры базы данных обычно требуют доступа с использованием одних и тех же ключей защиты, но это взвинчивает расходы на упорядочивание предоставления и ротации ключей защиты.
  • Потеря ключа может сделать данные недоступными, поскольку в этом случае расшифровка будет невозможна, а это будет означать возникновение простоев в бизнес-операциях.
  • Привилегированные пользователи с широкими правами доступа могут начать заниматься подрывной деятельностью и потенциально они могут дезактивировать криптографические средства контроля, если не выполнять соответствующие проверки и сверки.

Шифрование баз данных: решения компании Thales e-Security

Продукты и услуги компании Thales e-Security могут добавить новые уровни надежности к шифрованию баз данных путем оказания помощи вашей организации по эффективной защите криптографических ключей и управлению ими. В случае приобретения защитных аппаратных модулей (HSM) модели nShield, вы сможете воспользоваться всеми преимуществами само-шифрования баз данных и, кроме того, добавить более высокие уровни надежности в деятельность по управлению ключами защиты, обеспечив оптимальную безопасность, эффективность бизнеса и гарантированный доступ к зашифрованным данным. Путем хранения криптографических ключей в защищенной среде, отдельной от самой базы данных, модули nShield HSM усиливают разделение обязанностей между персоналом системы безопасности и администраторами баз данных (DBA). Даже если ваша система управления базой данных (DBMS) не предлагает собственной поддержки для шифрования, компания Thales все же может помочь вам применить высоконадежное решение по шифрованию баз данных, которое включает в себя шифровальные продукты, разработанные партнерами компании Thales по технологиям, а также модули HSM.

Преимущества:

  • Обеспечивает гарантированный доступ к зашифрованным данным пользователям, имеющим к ним допуск, путем автоматизации хранения информации и ее резервных копий благодаря главным криптографическим ключам.
  • Упрощает работы по выполнению обязанностей по соблюдению стандартов конфиденциальности и по составлению соответствующей отчетности путем использования сертифицированных безопасных методов шифрования и системы управления ключами защиты; всё это позволяет усилить критически важные наиболее эффективные способы действий и другие стандарты из разряда «due care».
  • Усиливает разделение обязанностей путем изоляции главных криптографических ключей от зашифрованных данных; этим способом можно снизить угрозы атак со стороны недобросовестных сотрудников.
  • Максимизирует эффективность путем снижения затрат на администрирование, связанных с управлением ключами защиты в средах с крупными базами данных; выполнению этой задачи помогает ведущая в этой отрасли архитектура управления ключами «Мир безопасности» - разработка компании Thales.
  • Это решение позволяет конфиденциально применять и ускорять выполнение проектов; модули HSM компании Thales iлегко интегрируются с ведущими системами управления базами данных, отличающиеся готовой интеграцией с решением компании Microsoft «Прозрачное шифрование данных» и с другими ведущими решениями DBMS – благодаря сотрудничеству компании Thales с партнерами по технологии, включая компанию «Voltage and Prime Factors».