Come proteggere un database

Man mano che le organizzazioni utilizzano più informazioni per gestire le proprie attività, il volume dei dati e il numero di database continua a crescere. Garantire che diversi database siano protetti in modo coerente, indipendentemente da dove sono ospitati (in locale, nel cloud, in più cloud o in ambienti ibridi), diventa sempre più complesso. La protezione delle chiavi crittografiche utilizzate per crittografare e proteggere la riservatezza dei dati è di fondamentale importanza. Ciò rende difficile la gestione delle chiavi , un aspetto fondamentale per garantire una solida strategia di sicurezza del database. La gestione scalabile delle chiavi consente alle organizzazioni di controllare le chiavi di crittografia nei database, proteggendo le risorse più sensibili dell'organizzazione e facilitando la conformità alle normative.

Per proteggere efficacemente i database, le organizzazioni devono applicare vari strumenti e tecnologie. L'obiettivo è proteggere la riservatezza e l'integrità dei dati, garantire che siano disponibili solo per gli utenti e le applicazioni autorizzati ad accedervi e impedire a chiunque altro/qualunque altro strumento di accedere ai dati anche se le difese perimetrali falliscono. Pertanto, le organizzazioni dovrebbero considerare la sicurezza del database come un elemento costitutivo necessario per aiutarle a controllare l'accesso degli utenti e proteggere i dati inattivi critici, in transito e in uso, facilitando al contempo la conformità alle normative.

Esistono sei diverse opzioni di sicurezza per proteggere i dati che risiedono all'interno di un database. I dati possono essere protetti a livello di archiviazione, file system, schema del database effettivo, a livello di applicazione, proxy o in un'applicazione dell'utente finale.

Crittografia a livello di archiviazione

La crittografia a livello di archiviazione include unità con crittografia automatica (SED) che forniscono un meccanismo per proteggere la riservatezza dei dati. Le SED commerciali generalmente sono costruite secondo standard come il Key Management Interoperability Protocol (KMIP), quindi le chiavi crittografiche possono essere gestite esternamente in modo coerente. Le soluzioni a livello di archiviazione sono in genere a basso costo e facili da implementare e mantenere. Tuttavia, proteggono solo dalla perdita dell'archiviazione fisica dei dati.

Crittografia a livello di file

La crittografia a livello di file include soluzioni di sistemi operativi nativi come Microsoft BitLocker o Linux LUKS, che possono anche essere ampliate con funzionalità di crittografia esterne. A seconda della soluzione, possono anche proteggere dagli utenti privilegiati. Le soluzioni esterne dipendono dal sistema operativo e possono essere più difficili da utilizzare.

Crittografia a livello di database

La crittografia a livello di database è dove fornitori affermati come Microsoft SQL, Oracle MySQL e altri ancora forniscono la crittografia trasparente del database (TDE) in locale e nel cloud con, per citarne alcuni, AWS, GCP, Microsoft Azure e Oracle Cloud. Questo livello fornisce una buona protezione contro la perdita di dati, ma in genere ha una gestione delle chiavi debole. Per migliorare questa capacità è possibile utilizzare gestori di chiavi di terze parti.

Soluzioni di crittografia a livello di applicazione

La crittografia a livello di applicazione può essere abilitata utilizzando tecnologie come la tokenizzazione e la crittografia che preserva il formato per proteggere i dati senza modificare la struttura. Questi meccanismi forniscono un'elevata sicurezza e non richiedono modifiche alle applicazioni, ma sono in genere personalizzati per natura e più difficili da implementare.

Crittografia a livello proxy

La crittografia a livello proxy fornisce un'interfaccia chiara tra l'utente e l'applicazione web che gestisce i dati. In genere fornisce una sicurezza affidabile senza la necessità di modificare l'applicazione. Tuttavia, è un singolo punto di errore e le prestazioni e la scalabilità possono risultare complesse.

Crittografia delle applicazioni dell'utente finale

La crittografia delle applicazioni dell'utente finale offre il massimo livello di protezione con sicurezza end-to-end, ma necessita di interfacce dedicate, rendendo l'implementazione più difficile.

È importante essere in grado di gestire la sicurezza del database su più fronti. Il consolidamento delle capacità di gestione delle chiavi di diversi database e archivi dati protegge i dati dall'esposizione e protegge l'organizzazione dalle responsabilità. Per gestire, alternare e condividere chiavi di crittografia centralizzate in modo sicuro la gestione delle chiavi deve rispettare i requisiti di KMIP per una facile implementazione. Per i database in esecuzione nel cloud, è possibile ottenere un maggiore controllo sulle chiavi e sui dati adottando un approccio bring your own key (BYOK) che consente all'organizzazione di generare, gestire e utilizzare le proprie chiavi di crittografia tra i provider di servizi cloud. Le soluzioni di gestione delle chiavi dovrebbero sempre isolare le chiavi dai dati crittografati per ridurre i rischi e garantire la conformità. I moduli di sicurezza hardware (HSM) forniscono una root of trust per la generazione, la protezione e la gestione del ciclo di vita delle chiavi di crittografia dei database. L'applicazione di policy di sicurezza coerenti su tutti i database aiuta a mitigare le pratiche manuali soggette a errori. La gestione dell'accesso di utenti e applicazioni garantisce che i dati siano disponibili solo per le entità autorizzate. Inoltre, la definizione di policy di sicurezza coerenti facilita il controllo e la conformità alle normative sulla protezione dei dati e alle disposizioni del settore.

Le leggi sulla protezione dei dati come il Regolamento europeo in materia di protezione generale dei dati (GDPR) e la Legge della California sulla privacy del consumatore (CCPA), così come gli standard del settore come il Payment Card Industry Data Security Standard (PCI DSS)richiedono specificamente la crittografia come meccanismo per proteggere i dati sensibili.

Scopri di più sulla gestione delle chiavi per la crittografia dei database qui.