Выбор политики шифрования

Выбор политики шифрования

Оптимальное решение будет варьироваться в зависимости от цели, возможных угроз и допустимой сложности развертывания.

На уровне общих обсуждений вопрос очень прост: если есть шифрование, то данные в безопасности, если нет, то все плохо.На уровне выбора решения специалистами по безопасности все гораздо сложнее.

Для определения стратегии шифрования, которая наиболее подходит вашим требованиям, существует несколько критериев.На первом этапе можно использовать следующее разделение.Существует некий набор технологий, в рамках которых применяется шифрование, мы подразделяем его на четыре уровня: весь диск, файловая система, базы данных и приложения.

Чем выше уровень (приложения), тем проще внедрять шифрование, но число угроз, которым такое решение может противостоять, намного меньше.С другой стороны, применяя более полноценное шифрование (включая базы данных), организации повышают уровень безопасности и возможность противостояния угрозам.

Selecting the Right Encryption Approach

Уровень безопасности, как и сложности при этом растет.

Если вы используете шифрование диска (FDE) или самошифрующиеся накопители (SED), вся информация шифруется, когда записывается на диск.

Преимущества:
  • Простейший способ развертывания шифрования.
  • Прозрачный для приложений, баз данных и пользователей.
  • Высокая производительность, аппаратное шифрование.
FDE/SED Ограничения:
  • Устраняет весьма ограниченный набор угроз — защищает только от физической утраты накопителя.
  • Не предлагает каких-либо гарантий против целенаправленных устойчивых угроз (APT), вредоносных инсайдеров или внешних атак.
  • Удовлетворяет минимальным требованиям и не ведет подробный журнал доступа.
  • Doesn’t offer granular access audit logs
Вывод:
  • Mainstream cloud providers offer the functional equivalent of FDE with its attendant limitations listed above
  • FDE имеет смысл для ноутбуков, потому что вероятность кражи или потери очень высока. Однако, этот вариант не подходит для устранения наиболее распространенных угроз, возникающих в центрах обработки данных и облачных средах.
Подробнее: Подходящие решения от компании Thales e-Security:

Такой подход осуществляется через программный агент, который устанавливаются в операционной системе. Агенты перехватывают все запросы на чтение или запись на диск, затем обращаются к политике безопасности, чтобы определить, какие данные следует зашифровать или расшифровать. Более серьезные решения обеспечивают контроль доступа на основе политики, включая доступ привилегированных пользователей и процессов.

File-Level Encryption Преимущества:
  • Прозрачно для пользователей и приложений. Это означает, что не нужно изменять приложения или изменить связанные бизнес-процессы.
  • Поддерживает структурированные и неструктурированные данные.
  • Строгий контроль защищает от злоупотреблений со стороны привилегированных пользователей и служит обеспечению соответствия стандартам.
  • Подробный журнал регистрации запросов на доступ, интеграция с SIEM системами, используемыми для анализа системы безопасности и отчетов.
File-Level Encryption Ограничения:
  • Агенты создаются для определенных операционных систем, поэтому важно убедиться, что выбранное решение поддерживает разные платформы: Windows, Linux и Unix.
Key Вывод:
  • Для многих целей шифрование файлов - оптимальный вариант, оно поддерживает множество пользовательских сценариев, его легко использовать.
Подходящие решения от компании Thales e-Security: Other considerations:
  • File-level encryption can protect any database that is in a file on a supported operating system. This is common in Microsoft Windows SQL Server for smaller databases. Volume-level encryption can provide encryption for very large databases. Database protection is typically multi-layered. A good security practice beyond database encryption is a database activity monitoring (DAM) product to protect against such threats as malicious database administrator or compromised DBA credentials, or SQL injection attack.

Этот подход позволяет шифровать определенное подмножество данных в рамках базы данных. Эта категория включает в себя решения от нескольких поставщиков баз данных, которые известны как прозрачное шифрование данных (TDE).

Преимущества:
  • Защита информации в базах данных.
  • Защита против угроз, включая действия внутренних злоумышленников (в некоторых случаях - администратора базы данных).
Ограничения:
  • Предложения от провайдера одной базы данных не могут применяться к базам данных других провайдеров.
  • Нет возможности администрирования нескольких баз данных от разных провайдеров или разных сред.
  • Шифрует только столбцы или таблицы базы данных, оставляя открытыми файлы конфигурации, системные журналы и отчеты.
Вывод:
  • Шифрование базы данных может соответствовать определенным техническим задачам, но не позволяет обеспечивать безопасность в разнородных средах. В результате могут возникать серьезные пробелы в безопасности.
Подробнее:

Для настройки шифрования или токенизации при таком подходе задействуется логика приложений.

Преимущества:
  • Обеспечивает защиту определенных подмножеств данных, например, поля в базе данных.
  • Шифрование и расшифровка происходят на уровне приложения. Это означает, что данные могут быть зашифрованы до их передачи и хранения.
  • Высочайший уровень безопасности, защита от вредоносных действий администраторов баз данных и SQL-инъекций.
  • Токенизация может также значительно сократить затраты на соблюдение требований стандарта PCI DSS и административные накладные расходы.
Ограничения:
  • Необходима интеграция с приложениями, поэтому необходимы дополнительные усилия и ресурсы.
Вывод:
  • Такой подход будет оптимальным решением в случаях, когда под требования и стандарты обеспечения безопасности попадают определенные наборы данных. Кроме того, шифрование на уровне приложений, включая токенизацию и шифрование с сохранением формата, позволяют избежать компрометации баз данных.
  • Выбирайте решения с хорошо задокументированными, основанными на стандартах API, и с примерами кода для упрощения разработки приложений.
Подробнее:
  • Подходящие решения от компании Thales e-Security:
    • Vormetric Application Encryption упрощает процесс внедрения шифрования в существующие приложения.
    • Vormetric Tokenization упрощает процесс внедрения токенизация и динамической маскировки данных в существующие приложения.

Application Encryption

Аналитический доклад Выбор стратегии шифрования для неактивных данных в Back-End системах: Какие риски вы хотите нивелировать

"Дерек Е.Бринк , CISSP, вице-президент и научный сотрудник IT Security и IT GRC. В этот докладе есть полезная информация, которая поможет выбрать стратегию для защиты ваших данных"

Скачать
Посмотрите интерактивное демо Подробнее
Записаться на демо Записаться
Свяжитесь со специалистом Свяжитесь с нами