Последний рубеж защиты баз данных
В рубрику "Криптография" | К списку рубрик | К списку авторов | К списку публикаций
Последний рубеж защиты баз данных
Так же как вы не оставляете ключи в машине, не следует хранить ключи шифрования рядом с базой данных.
Даниил Пустовой
Менеджер по развитию компании DNA Distribution,
официального дистрибьютора Thales e-Security в России
Менеджер по развитию компании DNA Distribution,
официального дистрибьютора Thales e-Security в России
Зашифровано - значит защищено?
Согласно экспертному мнению крупнейшего в мире производителя аппаратных средств криптографической защиты информации, компании Thales e-Security, без надежной системы управления ключами шифрования организации непременно столкнутся с тем, что шифрование данных - лишь видимость их защиты. Ключи шифрования - наиболее ценный и важный элемент в любой криптографической системе. Недостаточное внимание к безопасности их использования и хранения подвергает зашифрованные данные риску кражи или даже полной потери.
Шифрование - это легко, управление ключами - далеко не всегда
"Шифрование в действительности не представляет ничего особо сложного. Это всего лишь математический процесс конвертации одного массива данных в другой, - говорит Ричард Молдс (Richard Moulds), вице-президент по продуктам и развитию компании Thales e-Security. - Управление ключами - это как раз та задача, в которой необходимо включать мозги и где на каждом шагу подстерегает западня. Ключи должны храниться в секрете до конца времен, иначе шифрование будет бессмысленной тратой времени с самого начала".
И все же, по оценкам компании CipherCloud (США), в 2013 г. всего около 20% из числа наиболее продвинутых финансовых организаций обеспечивают действительно надежное управление ключами шифрования.
Что необходимо учесть при шифровании баз данных
"Наиболее страшные истории, что мы слышали, в действительности не о безопасности или краже ключей шифрования, а скорее о подлоге или их утере, - говорит г-н Молдс. - Если вы потеряли эти ключи, то вы фактически навсегда потеряли свою информацию. И это на удивление широко распространенная ситуация".
Не вдаваясь в дальнейшие рассуждения о насущной необходимости криптографической защиты данных, скажем лишь, что это единственный практический способ защиты, позволяющий при правильной реализации гарантировать их безопасность как от внешних, так и от внутренних угроз. Крупнейшие разработчики БД поддерживают в своих продуктах встроенные функции шифрования. Однако реализация эффективной и надежной системы управления ключами шифрования остается на усмотрение компаний.
Критически важной становится задача изолировать ключи от зашифрованных баз данных. Какое бы место ни было выбрано для хранения ключей шифрования, оно должно быть безопасным и для него должны быть регламентированы схожие механизмы создания и восстановления резервных копий, как и для самих данных.
Поэтому должно быть организовано разделение обязанностей, в рамках которого у администраторов баз данных не будет контроля над ключами шифрования. Обычно администраторы только рады, когда эта ответственность переходит в отдел И Б и они могут сфокусировать свою работу на поддержании работоспособности систем.
Также необходима реализация коллегиального управления ключами шифрования несколькими офицерами безопасности. Это обеспечивает взаимный контроль и исключает возможность случайных или злонамеренных инсайдерских действий отдельных администраторов. Ни один из офицеров безопасности и администраторов не должен иметь возможность единоличного доступа к данным.
Еще более сложная задача - это управление ключами шифрования в облачных инфраструктурах. Часто компании отдают управление ключами в руки провайдера ресурсов для облачных вычислений, тем самым полагаясь в вопросах защиты информации на стороннюю организацию. Для гарантии определенного, достаточно высокого уровня безопасности управление ключами шифрования должно оставаться под полным и исключительным контролем компании, в то время как ее зашифрованные данные могут находиться в облаке.
То, что нельзя доверить человеку, можно доверить аппаратуре
Наиболее распространенные средства управления шифрованием - аппаратные модули безопасности (HSM), позволяющие автоматизировать данные процессы, изолировать их в аппаратной защищенной среде и обеспечить поддержку внутренних регламентов работы с конфиденциальными данными и ключами шифрования (строгую аутентификацию, контроль доступа, аудит и т.п.).
Аппаратные модули безопасности Thales семейства nShield широко применяются для криптографической защиты наиболее популярных баз данных Microsoft, Oracle и IBM благодаря встроенной аппаратной поддержке соответствующих программных интерфейсов. Производители БД, в свою очередь, также предусматривают использование аппаратных средств управления ключами шифрования, что существенно упрощает их интеграцию.
DNA DISTRIBUTION
115114 Москва,
ул. Дербеневская, 1, стр. 1
Тел.: (495) 228-0005
Факс: (495) 228-0006
E-mail: info@dnadis.ru
www.dnadis.ru
115114 Москва,
ул. Дербеневская, 1, стр. 1
Тел.: (495) 228-0005
Факс: (495) 228-0006
E-mail: info@dnadis.ru
www.dnadis.ru
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2013
