So sichern Sie eine Datenbank
Datenbanken enthalten die wichtigsten Ressourcen von Unternehmen. Ganz gleich, ob es sich um personenbezogene Daten (PII) von Mitarbeitern, geistiges Eigentum des Unternehmens, Finanzdaten, Wettbewerbsstrategien oder private Kundendaten handelt – der Schutz dieser Daten ist unerlässlich, um die Einhaltung der zunehmenden staatlichen und branchenspezifischen Vorschriften für Datenschutz und Sicherheit zu gewährleisten und den guten Ruf des Unternehmens zu schützen. Kompromittierte Datenbanken und Datenschutzverletzungen sind oft mit hohen Geldstrafen verbunden, ganz zu schweigen von den Kosten für die Wiederherstellung und dem verlorenen Vertrauen der Verbraucher.
Was sind die größten Herausforderungen?
Da Unternehmen immer mehr Informationen für ihre Geschäftsabläufe nutzen, nehmen das Datenvolumen und die Anzahl der Datenbanken ständig zu. Es wird immer schwieriger sicherzustellen, dass verschiedene Datenbanken auf konsistente Weise geschützt werden, unabhängig davon, wo sie gehostet werden (vor Ort, in der Cloud, in mehreren Clouds oder in hybriden Umgebungen). Die Absicherung der kryptografischen Schlüssel, die zur Verschlüsselung und zum Schutz der Vertraulichkeit von Daten verwendet werden, ist von entscheidender Bedeutung. Dies stellt eine Herausforderung für die Schlüsselverwaltung dar, die für die Gewährleistung einer soliden Strategie für die Datenbanksicherheit von grundlegender Bedeutung ist. Die skalierbare Schlüsselverwaltung ermöglicht es Unternehmen, Verschlüsselungsschlüssel datenbankübergreifend zu kontrollieren, um die sensibelsten Daten des Unternehmens zu schützen und die Einhaltung gesetzlicher Vorschriften zu erleichtern.
So sichern Sie eine Datenbank
Um Datenbanken effektiv zu sichern, müssen Unternehmen verschiedene Tools und Technologien einsetzen. Ziel ist es, die Vertraulichkeit und Integrität der Daten zu schützen, sicherzustellen, dass sie nur denjenigen Benutzern und Anwendungen zur Verfügung stehen, die zugriffsberechtigt sind, und zu verhindern, dass irgendjemand oder irgendetwas auf die Daten zugreifen kann, selbst wenn der Perimeterschutz versagt. Daher sollten Unternehmen die Datenbanksicherheit als Bausteine betrachten, die ihnen dabei helfen, den Benutzerzugriff zu kontrollieren und wichtige Daten im Ruhezustand, bei der Übertragung und bei der Nutzung zu schützen, und die gleichzeitig die Einhaltung gesetzlicher Vorschriften erleichtern.
Es gibt sechs verschiedene Sicherheitsoptionen für den Schutz von Daten, die sich in einer Datenbank befinden. Daten können auf Speicherebene, im Dateisystem, im eigentlichen Datenbankschema, auf Anwendungsebene, im Proxy oder in einer Endbenutzeranwendung geschützt werden.
Verschlüsselung auf Speicherebene
Die Verschlüsselung auf Speicherebene umfasst selbstverschlüsselnde Laufwerke (SEDs), die einen Mechanismus zum Schutz der Vertraulichkeit der Daten bieten. Kommerzielle SEDs erfüllen in der Regel Standards wie das Key Management Interoperability Protocol (KMIP), sodass kryptografische Schlüssel extern auf einheitliche Weise verwaltet werden können. Lösungen auf Speicherebene sind in der Regel kostengünstig sowie einfach zu implementieren und zu warten. Sie schützen jedoch nur vor dem Verlust des physischen Datenspeichers.
Verschlüsselung auf Dateiebene
Die Verschlüsselung auf Dateiebene umfasst systemeigene Lösungen wie Microsoft BitLocker oder Linux LUKS, die auch durch externe Verschlüsselungsfunktionen ergänzt werden können. Je nach Lösung können sie auch vor privilegierten Benutzern schützen. Externe Lösungen sind betriebssystemabhängig und können schwieriger zu bedienen sein.
Verschlüsselung auf Datenbankebene
Bei der Verschlüsselung auf Datenbankebene bieten etablierte Anbieter wie Microsoft SQL, Oracle MySQL und andere eine transparente Datenbankverschlüsselung (Transparent Database Encryption, TDE) vor Ort und in der Cloud mit AWS, GCP, Microsoft Azure und Oracle Cloud, um nur einige zu nennen. Diese Ebene bietet einen guten Schutz gegen Datenverlust, hat aber in der Regel eine schwache Schlüsselverwaltung. Schlüsselmanager von Drittanbietern können zur Verbesserung dieser Fähigkeit eingesetzt werden.
Database Encryption für den Schutz sensibler Daten
Die Verschlüsselung auf Anwendungsebene kann mit Technologien wie Tokenisierung und formaterhaltender Verschlüsselung ermöglicht werden, um Daten zu schützen, ohne die Struktur zu verändern. Diese Mechanismen bieten eine hohe Sicherheit und erfordern keine Änderungen an den Anwendungen, sind aber in der Regel kundenspezifisch und schwieriger zu implementieren.
Verschlüsselung auf Proxy-Ebene
Die Verschlüsselung auf Proxy-Ebene bietet eine transparente Schnittstelle zwischen dem Benutzer und der Webanwendung, die die Daten verarbeitet. Sie bietet in der Regel zuverlässige Sicherheit, ohne dass eine Änderung der Anwendung erforderlich ist. Jedoch handelt es sich dabei auch um einen Single Point of Failure, und die Leistung und Skalierbarkeit können komplex sein.
Verschlüsselung von Endbenutzeranwendungen
Die Verschlüsselung von Endbenutzeranwendungen bietet das höchste Schutzniveau mit durchgängiger Sicherheit, benötigt aber spezielle Schnittstellen, was ihre Implementierung erschwert.
Best Practices
Es ist wichtig, die Sicherheit von Datenbanken an mehreren Fronten gewährleisten zu können. Die Konsolidierung der Schlüsselverwaltungsfunktionen verschiedener Datenbanken und Datenspeicher schützt die Daten vor einer Gefährdung und das Unternehmen vor Verbindlichkeiten. Zur sicheren Verwaltung, Rotation und gemeinsamen Nutzung von Verschlüsselungsschlüsseln sollte die zentralisierte Schlüsselverwaltung KMIP-konform sein, um die Bereitstellung zu erleichtern. Für Datenbanken, die in der Cloud betrieben werden, kann eine größere Kontrolle über die Schlüssel und die Daten über einen BYOK-Ansatz (Bring Your Own Key) erreicht werden, der es der Organisation ermöglicht, ihre eigenen Verschlüsselungsschlüssel bei allen Cloud-Service-Anbietern zu generieren, zu verwalten und zu verwenden. Schlüsselverwaltungslösungen sollten die Schlüssel stets von den verschlüsselten Daten isolieren, um Risiken zu verringern und die Einhaltung von Vorschriften zu gewährleisten. Hardware-Sicherheitsmodule (HSMs) bieten eine Vertrauensbasis für die Erzeugung, den Schutz und das Lebenszyklusmanagement von Datenbankverschlüsselungsschlüsseln. Die Anwendung einheitlicher Sicherheitsrichtlinien auf allen Datenbanken hilft, fehleranfällige manuelle Verfahren zu reduzieren. Die Verwaltung des Benutzer- und Anwendungszugriffs stellt sicher, dass die Daten nur autorisierten Stellen zur Verfügung stehen. Und die Einführung einheitlicher Sicherheitsrichtlinien erleichtert die Prüfung und Einhaltung von Datenschutzbestimmungen und branchenspezifischen Vorschriften.
Datenschutzgesetze wie die General Data Protection Regulation (GDPR) und der California Consumer Privacy Act (CCPA) sowie Industriestandards wie der Payment Card Industry Data Security Standard (PCI DSS) verlangen ausdrücklich eine Verschlüsselung als Mechanismus zum Schutz sensibler Daten.
Weitere Informationen zur Schlüsselverwaltung für die Datenbankverschlüsselung finden Sie hier.