Cómo proteger una base de datos
Las bases de datos contienen los activos más críticos de las organizaciones. Ya sea información de identificación personal (PII) de los empleados, propiedad intelectual de la empresa, información financiera, estrategia competitiva o detalles privados de los clientes, proteger estos activos es vital para garantizar el cumplimiento de las crecientes normas del gobierno y la normativa de seguridad y protección de datos de la industria, y para el bienestar de la reputación de la empresa. Las bases de datos comprometidas y las violaciones de datos a menudo se asocian con fuertes multas, sin mencionar los costos de remediación y la pérdida de confianza del consumidor.
¿Cuáles son los principales retos?
A medida que las organizaciones utilizan más información para administrar sus negocios, el volumen de datos y la cantidad de bases de datos continúan creciendo. Asegurar que diversas bases de datos estén protegidas de manera consistente, sin importar dónde estén alojadas (en las instalaciones, en la nube, en múltiples nubes o en entornos híbridos), se vuelve cada vez más desafiante. Asegurar las claves criptográficas que se utilizan para cifrar y proteger la confidencialidad de los datos es de vital importancia. Esto presenta un desafío de gestión de claves que es fundamental para garantizar una sólida estrategia de seguridad de la base de datos. La gestión de claves escalable permite a las organizaciones controlar las claves de cifrado en las bases de datos, protegiendo los activos más sensibles de la organización y facilitar el cumplimiento normativo.
Cómo proteger una base de datos
Para asegurar las bases de datos de manera efectiva, las organizaciones necesitan aplicar varias herramientas y tecnologías. El objetivo es proteger la confidencialidad y la integridad de los datos, garantizar que solo estén disponibles para aquellos usuarios y aplicaciones autorizados para tener acceso, y evitar que alguien o algo accedan a los datos, incluso si fallan las defensas perimetrales. Por lo tanto, las organizaciones deben ver la seguridad de la base de datos como un elemento básico necesario para ayudarlas a controlar el acceso de los usuarios y proteger los datos críticos en reposo, en tránsito y en uso, al mismo tiempo que facilitan el cumplimiento normativo.
Hay seis opciones de seguridad diferentes para proteger los datos que residen en una base de datos. Los datos se pueden proteger en el nivel de almacenamiento, el sistema de archivos, el esquema de base de datos real, el nivel de aplicación, el proxy o en una aplicación de usuario final.
Cifrado a nivel de almacenamiento
El Cifrado a nivel de almacenamiento incluye unidades de autocifrado (SED) que proporcionan un mecanismo para proteger la confidencialidad de los datos. Los SED comerciales generalmente se construyen según estándares como el Protocolo de interoperabilidad de administración de claves (KMIP), por lo que las claves criptográficas se pueden administrar externamente de manera consistente. Las soluciones de nivel de almacenamiento suelen ser de bajo costo y fáciles de implementar y mantener. Sin embargo, solo protegen contra la pérdida de almacenamiento de datos físicos.
Cifrado a nivel de archivo
El cifrado a nivel de archivo incluye soluciones de sistemas operativos nativos como Microsoft BitLocker o Linux LUKS, que también se pueden aumentar con capacidades de cifrado externo. Dependiendo de la solución, también pueden proteger contra usuarios privilegiados. Las soluciones externas dependen del sistema operativo y pueden ser más difíciles de usar.
Cifrado a nivel de base de datos
El cifrado a nivel de base de datos es donde los proveedores establecidos como Microsoft SQL, Oracle MySQL y otros brindan cifrado de base de datos transparente (TDE) en las instalaciones y en la nube con AWS, GCP, Microsoft Azure y Oracle Cloud, entre otros. Este nivel proporciona una buena protección contra la pérdida de datos, pero normalmente tiene una gestión de claves débil. Se pueden utilizar administradores de claves de terceros para mejorar esta capacidad.
Cifrado a nivel de aplicación
El cifrado a nivel de aplicación se puede habilitar utilizando tecnologías como la tokenización y el cifrado que conserva el formato para proteger los datos sin cambiar la estructura. Estos mecanismos brindan alta seguridad y no requieren que se realicen cambios en las aplicaciones, pero generalmente son personalizados por naturaleza y más difíciles de implementar.
Cifrado de capa proxy
El cifrado de capa de proxy proporciona una interfaz transparente entre el usuario y la aplicación web que maneja los datos. Por lo general, proporciona una seguridad robusta sin la necesidad de un cambio en la aplicación. Sin embargo, este es un único punto de falla, y el rendimiento y la escalabilidad pueden ser complejos.
Cifrado de aplicaciones de usuario final
El cifrado de aplicaciones de usuario final ofrece el más alto nivel de protección con seguridad de extremo a extremo, pero necesita interfaces dedicadas, lo que dificulta su implementación.
Mejores prácticas
Es importante tener la capacidad de abordar la seguridad de la base de datos en múltiples frentes. La consolidación de las capacidades de administración clave de diversas bases de datos y almacenes de datos protege los datos de la exposición y a la organización de las responsabilidades. Para administrar, rotar y compartir claves de cifrado de forma centralizada y segura la gestión de claves debe cumplir con KMIP para una fácil implementación. Para las bases de datos que se ejecutan en la nube, se puede lograr un mayor control sobre las claves y los datos con un enfoque traiga su propia llave (BYOK) que permite a la organización generar, administrar y utilizar sus propias claves de cifrado en todos los proveedores de servicios en la nube. Las soluciones de gestión de claves deben aislar siempre las claves de los datos cifrados para reducir el riesgo y garantizar el cumplimiento de la normativa. Los módulos de seguridad de hardware (HSM) proporcionan una raíz de confianza para la generación, protección y gestión del ciclo de vida de las claves de cifrado de la base de datos. La aplicación de políticas de seguridad coherentes en todas las bases de datos ayuda a mitigar las prácticas manuales propensas a errores. La gestión del acceso de usuarios y aplicaciones garantiza que los datos solo estén disponibles para las entidades autorizadas. Además, el establecimiento de políticas de seguridad consistentes facilita la auditoría y el cumplimiento de las normas de protección de datos y los mandatos de la industria.
La legislación de protección de datos como el Reglamento General para la Protección de Datos (RGPD) y la Ley de Privacidad del Consumidor de California (CCPA), así como los estándares de la industria como el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) requieren específicamente que el cifrado sea el mecanismo para proteger los datos confidenciales.
Obtenga más información sobre la gestión de claves para el cifrado de bases de datos aquí.