Šifrování databáze poskytuje vylepšené zabezpečení vašich dat v klidu a při přenosu. Mnoho organizací se začalo vážně zabývat šifrováním dat s nedávnými případy narušení bezpečnosti. Ve většině případů jsou databázové servery častým cílem útočníků, protože jsou pro většinu organizací tím nejcennějším aktivem. Jakmile útočník získá přístup k cenným datům z vašeho serveru, je pravděpodobné, že z něj data ukradne. Poté data použijí k výkupnému, zneužití dat nebo jiným finančním ziskům od organizace, kterou napadli.
V tomto blogu diskutujeme o tom, proč je šifrování databáze důležité a jak šifrování dat hraje významnou roli při zabezpečení vaší databáze.
Proč potřebuji šifrování databáze?
Šifrování databáze je proces převádění dat v databázi na „šifrovaný text“ (nečitelný text) pomocí algoritmu. K dešifrování textu musíte použít klíč vygenerovaný algoritmem. Proces šifrování databáze je vysoce doporučený, zejména pro podniky zabývající se financemi, zdravotnictvím nebo elektronickým obchodem. V poslední době se množí kybernetické útoky, krádeže dat nebo narušení dat; proto existuje stále větší zájem o soukromá data. Lidé si jsou velmi dobře vědomi ochrany osobních údajů, bezpečnosti a chtějí, aby jejich data byla chráněna a používána pouze v případě potřeby. Níže jsou uvedeny některé dobré výhody šifrování databáze:
Vyhněte se bezpečnostním útokům
Útoky na zabezpečení jsou nevyhnutelné, ale s lepším zabezpečením a metodami šifrování dat nemusí narušitelé analyzovat nebo dešifrovat data, aby lépe porozuměli datům při narušení dat. Předpokládejme, že během zálohování nebo přenosů mezi servery dochází k útoku nebo odposlechu typu Man-in-the-middle (MITM). Pokud se jedná o nešifrovaný přenos dat, je to pro útočníky rozhodně výhodné; není to situace, kterou byste chtěli mít ve svém prostředí!
Pokud máte šifrovanou databázi, musí útočník najít způsoby, jak šifrovaná data dešifrovat. Jak daleko mohou zajít, závisí na složitosti šifry a algoritmech použitých pro generování šifrovaných dat. Útočníci se také budou ze všech sil snažit získat přístup k šifrovacím klíčům, což je povede k otevření trezoru nebo dešifrování zašifrovaných dat, podobně jako při těžbě zlata; koneckonců, data jsou v dnešní době novým zlatem. Aby se předešlo těmto druhům pokusů o narušení dat, je důležité zabezpečit infrastrukturu všemi způsoby, včetně omezení přístupu k serverům tam, kde je to možné.
Soulad s bezpečnostními předpisy
Při řešení bezpečnostních předpisů, jako je PCI-DSS, je šifrování jedním z nejdůležitějších požadavků. Je to povinný požadavek. Například všechna data držitelů karet musí být buď zašifrována pomocí průmyslově uznávaných algoritmů (např. AES-256, RSA 2048), zkrácena, tokenizována nebo hašována (schválené hashovací algoritmy specifikované ve FIPS 180-4:SHA-1, SHA-224, SHA-256, SHA-384 SHA-512, SHA-512/224 a SHA-512/256). Ačkoli to není jediná věc, kterou je třeba zašifrovat, PCI-DSS také vyžaduje pokrytí používáním procesu správy šifrovacího klíče PCI-DSS.
Ochrana citlivých dat
Správa šifrovacího klíče je ideální pro ochranu citlivých dat pomocí centralizované správy klíčů a jednoduchých rozhraní API pro šifrování dat. Příklady této správy klíčů jsou pomocí Hashicorp Vault (open source) nebo pokud používáte veřejný cloud (uzavřený zdroj), nejběžnější správou klíčů s uzavřeným zdrojem jsou Amazon Web Service (AWS), Key Management Service (KMS), Google Cloud KMS, Microsoft Azure Key Vault.
Co je šifrování dat?
Šifrování je jednou z nejdůležitějších funkcí zabezpečení, aby byla vaše data co nejbezpečnější. V závislosti na datech, se kterými nakládáte, to není vždy nutností, ale měli byste to považovat přinejmenším za zlepšení zabezpečení ve vaší organizaci. Ve skutečnosti se ve skutečnosti doporučuje vyhnout se krádeži dat nebo neoprávněnému přístupu.
Šifrování dat je proces kódování dat. Jde především o obousměrnou funkci, což znamená, že zašifrovaná data musí být dešifrována platným šifrovacím klíčem. Šifrování je jednou z takových technik kryptografie. Šifrování je způsob, jak utajit informace tím, že je pozměníte tak, aby se jevily jako náhodná data – šifrovací metody mohou vaše data (například zprávy) učinit důvěrnými, ale zároveň jsou k zajištění integrity a autenticity vyžadovány další techniky a strategie. zprávy. Šifrování je spíše matematická operace.
U šifrování databáze existují dva základní typy šifrování dat. Tyto typy šifrování jsou data v klidu a data v přenosu. Podívejme se, co znamenají.
Šifrování dat v klidu
Data uložená v systému jsou známá jako data v klidu. Šifrování těchto dat spočívá v použití algoritmu pro převod textu nebo kódu tak, aby byly nečitelné. K dekódování zašifrovaných dat musíte mít šifrovací klíč.
Šifrování celé databáze by mělo být prováděno opatrně, protože může mít vážný dopad na výkon. Je proto rozumné šifrovat pouze jednotlivá pole nebo tabulky. Šifrování dat v klidu chrání data před fyzickou krádeží pevných disků nebo neoprávněným přístupem k úložišti souborů. Toto šifrování také vyhovuje předpisům o zabezpečení dat, zejména pokud jsou v souborovém systému uložena finanční nebo zdravotní data.
Šifrování pro klidová data:Kde se používá?
Týká se to neaktivních dat, jako jsou data databáze uložená na konkrétním místě. Například data_directory vašeho PostgreSQL, data_dir MySQL/MariaDB nebo úložiště dbPath MongoDB. Běžným procesem pro poskytování šifrování je použití Transparent Data Encryption (TDE). Hlavním konceptem je šifrování všeho, co je trvalé.
Kromě toho jsou zálohy databází velmi náchylné ke krádeži dat a neoprávněnému přístupu. Ty jsou fyzicky uloženy v energeticky nezávislém úložišti. I když jsou tato nastavení vystavena neoprávněnému přístupu nebo krádeži dat, šifrování dat pomáhá zabránit nechtěnému přístupu. Samozřejmě to také přichází se zabezpečením vašich šifrovacích klíčů někde skrytých a neuložených na stejném serveru. Při šifrování databázových dat uložených jako binární soubory a záloh, ať už jde o logické nebo binární zálohy, mějte na paměti, že šifrovaná data ovlivňují výkon a zvětšují velikost souboru.
Šifrování dat během přepravy
Přenášená data nebo jejich pohyb mezi transakcemi se nazývá přenos dat. Data pohybující se mezi serverem a klientem při procházení webových stránek jsou dobrým příkladem tohoto druhu dat. Protože je neustále v pohybu, musí být zašifrována, aby se předešlo krádeži nebo změně dat, než dorazí na místo určení.
Ideální situací pro ochranu přenášených dat je nechat data zašifrovat před jejich přesunem a dešifrovat, jakmile dosáhnou konečného cíle.
Šifrování pro přenos dat:Kde se používá?
Jak je uvedeno výše, týká se to komunikačního kanálu mezi databázovým klientem a databázovým serverem. Zvažte kanály aplikačního serveru a databázového serveru, které byly kompromitovány, a útočník nebo vetřelec odposlouchává nebo provádí útok MITM. Útočník může naslouchat a zachytit data, která jsou odesílána přes nezabezpečený kanál. Tomu se lze vyhnout, pokud jsou data odesílaná po drátě z komunikačního kanálu databázového klienta a databázového serveru šifrována pomocí šifrování TLS/SSL.
Vypořádání se s šifrováním databáze má také mnoho problémů, které je třeba překonat. I když existují výhody, existují případy, kdy je to nevýhoda. Pojďme si projít, co to je.
Výhody šifrování dat
Zde je seznam běžných a skutečných případů, které vyžadují šifrování dat jako výhodu.
-
Poskytuje vždy zabezpečení všech vašich dat
-
Vždy chrání soukromí a citlivé informace
-
Chrání vaše data napříč zařízeními
-
Zajistěte soulad s vládními předpisy
-
Dává vám výhodu, že jste konkurenční výhodou
-
Přítomnost základní technologie pro šifrování pro ochranu dat by mohla zvýšit důvěru
-
Zašifrovaná data si zachovávají integritu
Nevýhody šifrování dat
Šifrování dat neznamená obchodní úspěch. Nedává vám výhodu jako rostoucí, inovativní a pokročilá technologie, aniž byste znali její výzvy a osvědčené postupy k implementaci a řešení. Je to pravda pro rčení, že "Všechno, co se třpytí není zlato". Existují určité nevýhody, pokud používáte šifrování dat, když nerozumíte jeho hlavnímu účelu.
Šifrování dat a sankce za výkon
Šifrování zahrnuje složité a sofistikované matematické operace ke skrytí významu dat. V závislosti na tom, jaké typy šifer nebo algoritmů zvolíte pro hašování nebo dešifrování dat. Složité a vyšší bity jsou, pokud je vaše databáze navržena tak, aby zpracovávala tuny požadavků, pak to zatíží vaše zdroje, zejména CPU. Nastavení šifrování dat, jako je TLS pro váš přenos nebo použití RSA 2048 bitů, může být příliš mnoho, pokud vaše finanční kapacita nepřehlédne tento typ následků. Je to náročné na zdroje a zvyšuje tlak na procesor systému. Přestože jsou moderní výpočetní systémy výkonné a cenově dostupné, zejména pro veřejný cloud, mohou být přijatelné. Nejprve si připravte nějaké hodnocení a určete, jaký dopad bude mít šifrování na výkon v kontextu, kde jej budete používat. Je také důležité pochopit, že výkon různých šifrovacích řešení se liší. Což znamená, že potřeba rychlosti a zabezpečení musí být navzájem pečlivě vyváženy.
Ztráta klíčů pro šifrování dat
Stává se běžným ukládat šifrovací klíče do zabezpečeného trezoru, jak bylo zmíněno dříve, jako je Hashicorp Vault, AWS KMS a další. Jedním z hlavních problémů šifrování je, že pokud někdo ztratí dešifrovací klíč, znamenalo by to velké potíže. Můžete si říci, že je to v podstatě stejné jako mít heslo, ale je s ním zacházeno jako s globálním klíčem k dešifrování všech zašifrovaných dat. Ne, pokud nemáte různé šifrovací klíče pro každý aspekt vaší databáze, pak to může znamenat, že si budete muset zapamatovat spoustu hesel a musí být bezpečně uchovávána.
Šifrování dat ovlivňuje dobu obnovy
Pokud jsou vaše data v klidu, jako jsou zálohy, zašifrována, v případě totální katastrofy může obnovení pomocí vlastní zálohy zdvojnásobit nebo ztrojnásobit čas nebo dokonce mnohem déle v závislosti na tom, jak jste typ nastavili algoritmu nebo šifry. To zvyšuje tlak, kdykoli potřebujete, aby váš cluster a aplikace fungovaly včas, ale nelze to kvůli dešifrování nebo dešifrování dat zabere příliš mnoho času a systémových prostředků.
Omezená ochrana proti útokům na úrovni aplikace nebo vnitřních útoků
To je samozřejmě pochopitelné z podstaty šifrování. To ale neznamená, že už nemusíte šifrovat jen proto, že na aplikační úrovni neaplikuje ochranu. To je samozřejmě další vrstva zabezpečení, která musí být aplikována v aplikační vrstvě. Rozhodně, pokud někdo získá přístup k vašemu uživateli/heslu databáze zejména s administrativním přístupem, pak zde šifrování nepomůže. Útočník může získat data spuštěním řady SQL dotazů, které jsou samozřejmě čitelné pro člověka, pokud neexistuje určitá úroveň aplikační logiky, která zašifruje skutečný význam vašich dat. Na druhou stranu to jen přidává práci navíc a složitost celkové svázané technologie, kterou používáte. Pokud máte velký tým, který je určen pro každou z těchto vrstev, pak je to velká výhoda, protože řízení složitosti lze věnovat pouze každé roli, na kterou se mají zaměřit.
Spolupráce a důvěra s partnery, kteří mají klíče pro šifrování dat
Určitě je dobré zvážit. Co když partner, který zná klíče a kde byly uloženy, nebo heslo vašeho úložiště? Je velmi důležité určit fyzický přístup k serveru, kde jsou uloženy klíče a hesla. Určení role a omezení přístupu k těmto klíčům a heslům je velmi důležité. Pomáhá také, pokud máte dlouhou a složitou kombinaci hesel, takže je bude těžké si je zapamatovat, ale zároveň je v případě potřeby snadno získat. Ačkoli to zní ironicky, tajemství musí zůstat svaté.
Mám se starat o šifrování dat?
Šifrování dat je žádoucí a často povinné, jak již bylo zmíněno, v závislosti na schematickém procesu a designu vaší aplikace a úrovni podnikání, se kterou se zabýváte.
Měli byste se starat o šifrování dat? Určitě ano. Přichází také s osobní závislostí a obchodním účelem. Avšak v přítomnosti citlivých dat, zvláště když jste si již vybudovali vlastní osobnost a finanční kapacitu ve vaší organizaci a společnosti, jsou všechna data mnohem na vyšší úrovni citlivosti. Nechcete, aby někdo ukradl vaše data a věděl o všech strategických a obchodních věcech spojených s růstem vaší společnosti. Data v tomto případě musí být zabezpečena; šifrování je tedy základním aspektem zabezpečení vaší databáze a samotných dat.
Závěr
Vzhledem k tomu, že citlivá data vždy existují i v našem osobním každodenním životě, objem citlivých a cenných dat v organizaci paralelně roste. Je důležité si uvědomit, že ne všechna data vyžadují šifrování. Rozhodně jsou některá data globálně sdílena nebo často přeměňována; tento typ dat nemusí být šifrován. Všimněte si výhod a nevýhod používání šifrování ve vaší databázi. Určení, kde se má použít a jak jej použít, vám pomůže dosáhnout zabezpečeného prostředí bez jakéhokoli dopadu na výkon.