Как обезопасить базу данных
Базы данных содержат наиболее важные ресурсы организаций. Информация, позволяющая установить личность сотрудников, интеллектуальная собственность компании, стратегия конкуренции, финансовая информация и личные данные клиентов — все эти ресурсы необходимо защищать для соблюдения все возрастающего количества государственных и отраслевых норм обеспечения защиты и безопасности данных, а также поддержания репутации компании. Скомпрометированные базы данных и нарушения безопасности данных часто сопряжены с крупными штрафами, не говоря уже о расходах на восстановление и потере доверия потребителей.
Каковы основные проблемы?
Поскольку организации используют все больше информации для управления своими компаниями, объем данных и количество баз данных продолжают расти. Обеспечение последовательной защиты различных баз данных, независимо от их размещения (локальное, в облаке, нескольких облаках или гибридных средах), становится все более сложной задачей. Решающее значение имеет обеспечение безопасности криптографических ключей, используемых для шифрования и защиты конфиденциальности данных. Оно представляет собой одну из проблем управления ключами, которая имеет основополагающее значение для создания надежной стратегии безопасности баз данных. Масштабируемое управление ключами позволяет организациям контролировать ключи шифрования для всех баз данных, защищать наиболее конфиденциальные ресурсы организации и способствовать соблюдению нормативных требований.
Как обезопасить базу данных
Для эффективной защиты баз данных организациям необходимо применять различные инструменты и технологии. Цель — защитить конфиденциальность и целостность данных, обеспечить их доступность только для тех пользователей и приложений, которым разрешен доступ, и предотвращать доступ к данным для всех остальных лиц и объектов, даже в случае сбоя защиты периметра. Ввиду этого организации должны рассматривать безопасность баз данных как составляющую, которая способствует контролю доступа пользователей и защите критически важных данных во время хранения, передачи и использования и содействует при этом соблюдению нормативных требований.
Существует шесть различных вариантов безопасности при защите данных, находящихся в базе данных. Данные могут быть защищены на уровне хранилища, файловой системы, фактической схемы базы данных, приложения, прокси-сервера или приложения конечных пользователей.
Шифрование на уровне хранилища
Шифрование на уровне хранилища включает самошифруемые диски (SED), которые обеспечивают механизм защиты конфиденциальности данных. Коммерческие SED, как правило, разрабатываются в соответствии со стандартами, такими как протокол совместимости управления ключами (KMIP), поэтому для криптографических ключей может выполняться согласованное внешнее управление. Решения на уровне хранилища, как правило, недорогие и простые в реализации и обслуживании. Однако они защищают только от потери физического хранилища данных.
Шифрование на уровне файла
Шифрование на уровне файлов включает в себя собственные решения для операционных систем, такие как Microsoft BitLocker или Linux LUKS, которые также можно дополнить внешними возможностями шифрования. В зависимости от решения они также могут защитить от привилегированных пользователей. Внешние решения зависят от операционной системы и могут быть более сложными в использовании.
Шифрование на уровне баз данных
Шифрование на уровне базы данных имеет место тогда, когда известные поставщики, такие как Microsoft SQL, Oracle MySQL и другие, обеспечивают прозрачное шифрование баз данных (TDE) локально и в облаке, например с помощью AWS, GCP, Microsoft Azure и Oracle Cloud. Шифрование на этом уровне обеспечивает хорошую защиту от потери данных, но, как правило, имеет слабое управление ключами. Для расширения его возможностей можно использовать сторонние диспетчеры ключей.
Шифрование на уровне приложений | Entrust
Шифрование на уровне приложений может обеспечиваться с помощью таких технологий, как токенизация и шифрование с сохранением формата для защиты данных без изменения структуры. Эти механизмы обеспечивают высокую степень безопасности и не требуют внесения изменений в приложения, но, как правило, являются индивидуальными по своему характеру и более сложными в реализации.
Шифрование уровня прокси
Шифрование на уровне прокси-сервера обеспечивает прозрачное взаимодействие между пользователем и веб-приложением, обрабатывающим данные. Как правило, оно гарантирует надежную безопасность и не требует вносить изменения в приложение. Однако оно представляет собой единую точку отказа, и с производительностью и масштабируемостью могут возникать проблемы.
Шифрование приложений конечного пользователя
Шифрование приложений конечных пользователей обеспечивает самый высокий уровень защиты благодаря сквозной безопасности, но требует использования специальных интерфейсов, что затрудняет его реализацию.
Передовые практики
Важно иметь возможность решать проблемы безопасности баз данных по нескольким направлениям. Объединение различных возможностей управления ключами баз данных и хранилищ данных способствует защите данных от рисков, а организации — от обязательств. Для безопасного управления, ротации и совместного использования ключей шифрования централизованное управление ключами должно соответствовать KMIP для простоты развертывания. Для достижения большего контроля над ключами и данными баз данных, работающих в облаке, можно применять подход создания собственных ключей (BYOK), который позволяет организации генерировать и использовать собственные ключи шифрования применительно ко всем поставщикам облачных услуг, а также управлять ими. Решения для управления ключами должны всегда предполагать изолирование ключей от зашифрованных данных, чтобы снизить риск и обеспечить соблюдение требований. Аппаратные модули безопасности (HSM) обеспечивают корень доверия для генерирования, защиты ключей шифрования баз данных и управления их жизненным циклом. Применение последовательных политик безопасности ко всем базам данных помогает уменьшить использование ручных методов, подверженных ошибкам. Управление доступом пользователей и приложений гарантирует, что доступ к данным имеют только авторизованные лица. Кроме того, создание последовательных политик безопасности упрощает аудит и соблюдение норм защиты данных и отраслевых требований.
В законах о защите данных, таких как Общий регламент по защите персональных данных (GDPR) и Закон Калифорнии о защите персональных данных потребителей (CCPA), а также отраслевых стандартах, таких как Стандарт безопасности данных индустрии платежных карт (PCI DSS), есть конкретное требование об использовании шифрования в качестве механизма защиты конфиденциальных данных.
Узнайте подробнее об управлении ключами для шифрования баз данных здесь.