Главная » Ответы

Должен ли каждый DBA разбираться в прозрачном шифровании данных (TDE)?

На чтение 6 мин. Просмотров 29 Опубликовано

Содержание
  1. Для защиты конфиденциальной информации требуются самые современные и передовые технологии повышения конфиденциальности. Независимо от того, являетесь ли вы DBA или просто интересуетесь этой темой, вот наше мнение о DBA и прозрачном шифровании данных.
  2. Данные в состоянии покоя
  3. Прозрачное шифрование данных (TDE)
  4. TempDB тоже зашифрована!
  5. Реализация
  6. Обязанности DBA

Для защиты конфиденциальной информации требуются самые современные и передовые технологии повышения конфиденциальности. Независимо от того, являетесь ли вы DBA или просто интересуетесь этой темой, вот наше мнение о DBA и прозрачном шифровании данных.

DBA (администратор баз данных) — это специалист, отвечающий за создание, установку, мониторинг, ремонт и анализ архитектуры базы данных. В их обязанности входит периодический анализ банков, чтобы не возникало перегрузок в системе, а также проверка правильности назначения серверов в соответствии со стандартизацией компании и надлежащей практикой разработки. В дополнение к этим функциям, DBA также может:

  • предоставлять данные в идеальной целостности и доступности
  • работать с командами безопасности и разработчиков
  • обеспечивать максимальную производительность запросов к базе данных.

Криптография — это техника, которая может быть использована для обеспечения секретности и защиты информации базы данных. Цель состоит в том, чтобы с помощью шифрования предотвратить доступ неавторизованных лиц к хранимым данным. Только те, у кого есть соответствующий ключ шифрования, могут просматривать их, обеспечивая безопасность данных от злоумышленников и даже вредоносных программ.

Данные в состоянии покоя

Прежде чем перейти к рассмотрению принципа работы TDE (прозрачного шифрования данных), необходимо понять концепцию данных в состоянии покоя. Вкратце можно сказать, что данные в состоянии покоя — это когда данные прибыли в пункт назначения, но к ним нет доступа или использования. Эти данные могут включать в себя данные, классифицируемые как структурированные и неструктурированные. Такие данные могут представлять собой архивные файлы, которые редко или никогда не изменяются, без какого-либо постоянства.

В контексте информационной безопасности эти типы данных легко доступны для хакерских угроз с целью получения доступа в цифровом или физическом виде. Чтобы обеспечить их безопасность, компании предпочитают применять меры защиты с помощью шифрования или комбинации с защитой ключей.

Этот тип данных относительно легче защитить по сравнению с данными в движении и данными в использовании, но важно тщательно выбирать наилучшую превентивную меру, поскольку они не используются постоянно, и необходимо также применять передовые методы.

Мы можем сделать вывод, что данные в состоянии покоя — это данные, которые были записаны на диск, поскольку при записи на диск создается брешь в защите:

  • Любые файлы данных для нашей базы данных
  • Любые файлы журналов для нашей базы данных
  • Все файлы резервных копий базы данных, будь то полные, журнальные или дифференциальные резервные копии
  • Файлы моментальных снимков базы данных
  • Любые данные, записанные на диск в базе данных TempDB.

Прозрачное шифрование данных (TDE)

Основной целью TDE является защита данных путем шифрования физических файлов, т.е. данных «в состоянии покоя». Этот тип шифрования работает на файлах данных SQL Server, Azure Database и Azure SQL Data Warehouse.

Разработка велась таким образом, чтобы весь процесс шифрования был полностью прозрачен для приложений, которые обращаются к базе данных и используют ее. Каким образом? Довольно любопытно: используется Advanced Encryption Standard (AES) или Triple DES, страницы файла шифруются, а затем расшифровываются, когда информация попадает в память. Это кладет конец любым ограничениям на запрос данных из зашифрованной базы данных. Одним из супер интересных преимуществ является то, что даже при использовании сложной обработки размер базы данных не увеличивается, он остается постоянным.

TDE работает с использованием ключа шифрования, который хранится в шифруемой базе данных — но этот ключ хранится в зашифрованном виде в объекте вне базы данных. При использовании TDE резервные копии базы данных также шифруются, что означает, что если с этой резервной копией что-то случится, ее можно будет восстановить только с помощью сертификата, паролей и ключей, использованных при ее настройке.

Во время настройки TDE вы можете указать, какой алгоритм AES вы хотите использовать для шифрования: AES_128, AES_192 или AES_256 — Число определяет длину ключа, который будет использоваться для шифрования, в битах. Чем больше ключ, тем сложнее его расшифровать. При выборе AES_128, например, речь идет о более чем тысяче лет. Но в момент выбора единственным поводом для беспокойства должно быть то, насколько технология может развиться в ближайшие несколько лет. Таким образом, остается вопрос: через X лет, потребуется ли еще тысяча лет для расшифровки?

TempDB тоже зашифрована!

«Системная база данных tempdb — это глобальный ресурс, который хранит: Временные пользовательские объекты, которые создаются явно. Они включают глобальные или локальные временные таблицы и индексы, временные хранимые процедуры, табличные переменные, таблицы, возвращаемые в табличных функциях, и курсоры» — Microsoft Docs.

Очень интересной особенностью является то, что автоматически TempDB будет зашифрована. В конце концов, все пользовательские базы данных используют tempdb для обработки и хранения временных объектов. Как бы ни был он не до конца просматриваемым, этот процесс демонстрирует большую силу безопасности и профессионализм при разработке.

Реализация

Реализация легко цитируется в документации Oracle и SQL Server. Для демонстрации простоты процесса мы можем разобрать его работу в следующем порядке:

  1. Создание главного ключа
  2. Создание сертификата, защищенного мастер-ключом
  3. Создание ключа шифрования базы данных
  4. Активация шифрования
  5. Резервное копирование сертификата

Обязанности DBA

Если вы являетесь DBA, велика вероятность того, что вы отвечаете за защиту конфиденциальной и/или секретной информации. Это означает, что вы также должны быть в курсе последних и самых передовых технологий, повышающих конфиденциальность, чтобы обезопасить данные, бизнес и отдельных людей. Мы собрали несколько статей, которые могут помочь вам в этой миссии:

  • Три крупнейшие кибератаки 2022 года — В этом году произошло несколько атак, но знаете ли вы об основных из них? Поймите, как все это происходило на самом деле, и изучите наш сайт.
  • Симметричное и асимметричное шифрование — Вы заинтересованы в том, чтобы начать изучать область криптографии? Начните здесь! Понимание этих двух концепций — первый шаг.
  • Что такое криптография и как она помогает защитить ваши данные — Понимаете ли вы, что такое криптография? Посмотрите, насколько важно использовать ее в повседневной жизни.

В компании Vaultree мы строим зашифрованное будущее. Мы любим делиться ценной информацией и тенденциями, чтобы помочь вам сохранить ваши данные в безопасности. Подпишитесь, чтобы оставаться в курсе событий и обсуждать самые горячие тенденции в области кибербезопасности с командой экспертов.

Оцените статью
devanswers.ru
Добавить комментарий