Прозрачное шифрование данных

Прозрачное шифрование данных (англ. Transparent Data Encryption, TDE) — технология по шифрованию баз данных на жёстком диске и на любом носителе резервного копирования, которая обеспечивает безопасность, основанную на стандартах, которая защищает данные в сети, на диске и на носителе резервного копирования, и может использоваться для обеспечения высокого уровня безопасности для столбцов, таблиц и табличных пространств, которые представляют собой файлы базы данных, хранящиеся на жёстких дисках или гибких дисках или компакт-дисках, и другую информацию, требующую защиты^[1][2][3].

Описание

Современная жизнь в значительной степени определяется информационными технологиями (ИТ). Широкое использование ИТ играет жизненно важную роль в принятии решений во всех коммерческих и некоммерческих организациях. Вся их деятельность сосредоточена на данных, их безопасном хранении и использовании. В настоящее время стабильная работа большинства организаций зависит от того, как их данные используются. Данные уязвимы для широкого спектра угроз, таких как слабая аутентификация, раскрытие резервных данных, отказ в обслуживании и т. д. Прозрачное шифрование данных в значительной степени защищает базу данных от таких угроз^[1][4].

TDE используется для предотвращения несанкционированного доступа к конфиденциальной базе данных, снижения затрат на управление пользователями и упрощения управления приватностью. Эта технология вооружает пользователей, то есть администраторов баз данных, для устранения возможных угроз безопасности данных, позволяет шифровать базы данных на жёстком диске и на любом носителе резервного копирования. TDE является одним из наилучших средств для массового шифрования, чтобы соответствовать нормативным требованиям или корпоративным стандартам безопасности данных. Основное назначение прозрачного шифрования данных заключается в приватности столбцов, таблиц, табличных пространств базы данных^[2].

Прозрачное шифрование данных используется для шифрования и расшифровывания данных и файлов журналов, соответственно, шифруя данные перед их записью на диск и расшифровывает данные перед их возвратом в приложение. Данный процесс выполняется на уровне SQL, полностью прозрачен для приложений и пользователей. В последующих резервных копиях файлов базы данных на диск или ленту конфиденциальные данные приложения будут зашифрованы. При шифровании используется ключ шифрования базы данных (DEK), который сохраняется в загрузочной записи базы данных для доступности во время восстановления. Шифрование конфиденциальных данных может осуществляться в соответствии с заранее определённым набором политик. При необходимости конфиденциальная информация может быть извлечена из записи каталога, расшифрована и передана клиенту. Кроме того, конфиденциальная информация может быть доставлена клиенту в зашифрованном виде. Опять же, форма доставки конфиденциальной информации может быть определена в соответствии с вышеупомянутым набором политик^[5].

Использование прозрачного шифрования данных

Существует три важных способа использования прозрачного шифрования данных^{[источник не указан 2099 дней]}:

• Аутентификация
• Проверка достоверности
• Защита данных

Аутентификация

Несанкционированный доступ к информации — очень старая проблема. Сегодняшние бизнес-решения основываются на информации, получаемой из терабайтов данных. Доступ к ключевым хранилищам данных, таким как Microsoft SQL Server 2008, в которых хранится ценная информация, может быть предоставлен после точной идентификации и аутентификации пользователей. Проверка личности пользователя включает сбор большего количества информации, чем обычные имя пользователя и пароль. TDE предоставляет предприятиям возможность использовать существующие инфраструктуры безопасности, такие как главный ключ шифрования, главный ключ базы данных и сертификат^[6].

Проверка достоверности

Проверка достоверности описывает способность гарантировать, что идентификация отправителя является истинной и столбец, табличное пространство или файл не были изменены. Шифрование может использоваться для обеспечения проверки путём создания цифрового сертификата информации, содержащейся в базе данных. После проверки пользователь может быть достаточно уверен, что данные получены от доверенного лица и содержимое данных не было изменено^[6].

Защита данных

Вероятно, наиболее широко используемое применение прозрачного шифрования находится в области защиты данных. Информация, которой владеет организация, неоценима для её продуктивной работы; следовательно, защита этой информации очень важна. Для людей, работающих в небольших офисах и домашних офисах, наиболее практичным применением прозрачного шифрования для защиты данных является шифрование столбцов, табличных пространств и файлов. Эта защита информации имеет жизненно важное значение в случае кражи самого компьютера или если злоумышленник успешно проник в систему^[6].

Преимущества прозрачного шифрования данных

1. защищает данные прозрачным способом, что означает, что пользователь системы не должен заботиться о процессах шифрования или управления ключами;
2. играет особенно важную роль в защите данных при передаче;
3. защищает конфиденциальные данные на дисках и носителях от несанкционированного доступа, помогая уменьшить влияние утерянных или украденных носителей;
4. обеспечивает настраиваемую среду для разработки приложений.

Недостатки прозрачного шифрования данных

1. Прозрачная защита данных не обеспечивает шифрование по каналам связи.
2. При включении прозрачной защиты данных вы должны немедленно создать резервную копию сертификата и закрытого ключа, связанного с сертификатом. Если сертификат когда-либо станет недоступным или если вам необходимо восстановить или подключить базу данных на другом сервере, у вас должны быть резервные копии как сертификата, так и личного ключа, иначе вы не сможете открыть базу данных.
3. Шифрующий сертификат или асимметричный сертификат следует сохранить, даже если прозрачная защита данных больше не включена в базе данных. Даже если база данных не зашифрована, ключ шифрования базы данных может быть сохранён в базе данных и может потребоваться доступ для некоторых операций.
4. Изменение сертификатов, защищённых паролем, после их использования прозрачной защитой данных приведёт к недоступности базы данных после перезапуска^[4]