Como proteger um banco de dados
Os bancos de dados contêm os ativos mais críticos das organizações. Seja informação pessoal identificável (PII) sobre funcionários, propriedade intelectual sobre o negócio, informação financeira, estratégia competitiva ou detalhes de clientes privados, a proteção desses ativos é vital para garantir o cumprimento das crescentes regulamentações governamentais e industriais de proteção de dados e segurança, e para o bem-estar da reputação da empresa. Bancos de dados comprometidos e violações de dados são frequentemente associadas a pesadas multas, para não mencionar os custos de remediação e a perda de confiança do consumidor.
Quais são os principais desafios?
Como as organizações utilizam mais informações para administrar seus negócios, o volume de dados e o número de bancos de dados continua a crescer. Proteger que diversos bancos de dados sejam protegidos de maneira consistente, não importa onde estejam hospedados (no local, em nuvem, em várias nuvens ou em ambientes híbridos), torna-se cada vez mais desafiador. Proteger as chaves criptográficas que são usadas para criptografar e proteger a confidencialidade dos dados é criticamente importante. Isto apresenta um desafio chave de gestão que é fundamental para garantir uma sólida estratégia de segurança do banco de dados. O gerenciamento de chaves escalonáveis permite que as organizações controlem chaves de criptografia em bancos de dados, protegendo os ativos mais sensíveis da organização e facilitando a conformidade regulamentar.
Como proteger um banco de dados
Para proteger efetivamente os bancos de dados, as organizações precisam aplicar várias ferramentas e tecnologias. O objetivo é proteger a confidencialidade e a integridade dos dados, garantir que eles só estejam disponíveis para aqueles usuários e aplicações autorizados a ter acesso, e impedir que todos/alguma outra coisa acesse os dados, mesmo que as defesas do perímetro falhem. Portanto, as organizações devem ver a segurança do banco de dados como blocos de construção necessários para ajudá-las a controlar o acesso dos usuários e proteger dados críticos em repouso, em trânsito e em uso, ao mesmo tempo em que facilitam a conformidade regulamentar.
Há seis opções diferentes de segurança ao proteger dados que residem dentro de um banco de dados. Os dados podem ser protegidos no nível de armazenamento, no sistema de arquivos, no esquema real do banco de dados, no nível de aplicação, no proxy ou em uma aplicação do usuário final.
Criptografia em nível de armazenamento
A criptografia de nível de armazenamento inclui unidades de autocriptografia (SEDs) que fornecem um mecanismo para proteger a confidencialidade dos dados. As SEDs comerciais são geralmente construídas segundo padrões como o Protocolo de Interoperabilidade de Gerenciamento de Chaves (KMIP), de modo que as chaves criptográficas podem ser gerenciadas externamente de maneira consistente. Soluções de nível de armazenamento são tipicamente de baixo custo e fáceis de implementar e manter. No entanto, eles só protegem contra perda de armazenamento de dados físicos.
Criptografia em nível de arquivo
A criptografia em nível de arquivo inclui soluções de sistemas operacionais nativos como Microsoft BitLocker ou Linux LUKS, que também podem ser aumentadas com recursos externos de criptografia. Dependendo da solução, eles também podem proteger contra usuários privilegiados. As soluções externas são dependentes do sistema operacional e podem ser mais difíceis de usar.
Criptografia em nível de banco de dados
A criptografia de nível de banco de dados é onde fornecedores estabelecidos como Microsoft SQL, Oracle MySQL e outros fornecem criptografia transparente de banco de dados (TDE) nas instalações, e em nuvem com AWS, GCP, Microsoft Azure, e Oracle Cloud, entre outros. Este nível oferece uma boa proteção contra perda de dados, mas normalmente tem um gerenciamento chave fraco. Gerenciadores de chave de terceiros podem ser usados para melhorar esta capacidade.
Casos de uso de criptografia em nível de aplicativo | Entrust
A criptografia no nível da aplicação pode ser habilitada usando tecnologias como a criptografia por tokenização e formatação para proteger os dados sem alterar a estrutura. Esses mecanismos proporcionam alta segurança e não exigem mudanças nas aplicações, mas são tipicamente personalizados por natureza e mais difíceis de implementar.
Criptografia da camada proxy
A criptografia por camada de proxy fornece uma interface transparente entre o usuário e a aplicação web que lida com os dados. Normalmente proporciona uma segurança robusta sem a necessidade de uma mudança na aplicação. Entretanto, é um único ponto de falha, e o desempenho e a escalabilidade podem ser complexos.
Criptografia de aplicativos de usuário final
A criptografia das aplicações do usuário final oferece o mais alto nível de proteção com segurança de ponta a ponta, mas precisa de interfaces dedicadas, tornando mais difícil a implementação.
Práticas recomendadas
É importante ter a capacidade de abordar a segurança do banco de dados em múltiplas frentes. A consolidação de diversos bancos de dados e de recursos-chave de gerenciamento de armazenamento de dados protege os dados da exposição e protege a organização de responsabilidades. Para gerenciar, girar e compartilhar chaves de criptografia de forma segura e centralizada o gerenciamento de chaves deve estar em conformidade com o KMIP para facilitar a implantação. Para bancos de dados rodando na nuvem, um maior controle sobre as chaves e os dados pode ser alcançado com uma abordagem trazer sua própria chave (BYOK) que permite à organização gerar, gerenciar e usar suas próprias chaves de criptografia através de provedores de serviços em nuvem. As soluções de gerenciamento de chaves devem sempre isolar as chaves dos dados criptografados para reduzir o risco e garantir a conformidade. Os módulos de segurança de hardware (HSMs) fornecem uma raiz de confiança para geração, proteção e gerenciamento do ciclo de vida das chaves de criptografia. A aplicação de políticas de segurança consistentes em todos os bancos de dados ajuda a mitigar as práticas manuais propensas a erros. O gerenciamento do acesso de usuários e aplicações garante que os dados só estejam disponíveis para entidades autorizadas. E o estabelecimento de políticas de segurança consistentes facilita a auditoria e o cumprimento dos regulamentos de proteção de dados e dos requisitos da indústria.
A legislação de proteção de dados como o Regulamento Geral de Proteção de Dados (GDPR) e a Lei de Privacidade do Consumidor da Califórnia (CCPA), assim como as normas do setor como a Norma de segurança de dados do setor de cartões de pagamento (PCI DSS) exigem especificamente a criptografia como mecanismo para proteger dados sensíveis
Saiba mais sobre o gerenciamento de chaves para criptografia de banco de dados aqui.