Seguridad y Concientización
DESIGN / IDEAS
Dado que las empresas almacenan más datos que nunca (tanto en las instalaciones como en la nube), la seguridad eficaz de las bases de datos se ha vuelto cada vez más importante. Para muchas empresas, es posible que esta seguridad no vaya mucho más allá de los controles de acceso, pero como proveedor de servicios administrados (MSP), probablemente sepa que no es suficiente proteger los datos solo con medidas de seguridad básicas. Sin un plan integral, una gran cantidad de datos comerciales confidenciales podrían estar en riesgo. Aquellos que desean una protección más sólida para los datos confidenciales son inteligentes al recurrir a una protección adicional que puede proteger contra amenazas tanto internas como externas: el cifrado de la base de datos.
Desafortunadamente, no todas las empresas se esfuerzan por cifrar sus bases de datos, ya que hacerlo se percibe como un paso de seguridad «adicional» que conlleva una mayor complejidad de diseño y una posible degradación del rendimiento. Sin embargo, esta excusa equivale a una gran simplificación del problema, sobre todo porque los métodos de cifrado de bases de datos han mejorado notablemente con el tiempo. Hay varios tipos de cifrado de bases de datos, lo que significa que las empresas pueden encontrar fácilmente el equilibrio adecuado entre una mayor complejidad y una mayor seguridad. Para muchos, elegir el tipo correcto de encriptación puede ser un paso importante tanto para la tranquilidad como para el cumplimiento normativo.
Con el cifrado de la base de datos, un algoritmo de cifrado transforma los datos dentro de una base de datos de un estado legible a un texto cifrado de caracteres ilegibles. Con una clave generada por el algoritmo, un usuario puede descifrar los datos y recuperar la información utilizable según sea necesario. A diferencia de los métodos de seguridad como el software antivirus o la protección con contraseña , esta forma de defensa se posiciona al nivel de los propios datos. Esto es crucial porque si se viola un sistema, los datos solo pueden leerse para los usuarios que tienen las claves de cifrado correctas.
Existen algunas opciones diferentes para implementar un algoritmo de encriptación de base de datos, incluidas claves de longitud variable. Descubrirá que diferentes bases de datos ( Oracle , SQL, Access, etc.) ofrecen diferentes métodos de encriptación de datos, opciones que pueden informar qué método recomienda a los clientes. Las claves más largas tienden a ser más seguras, ya que son más difíciles de descubrir mediante computación. Por ejemplo, el cifrado de 128 bits se basa en una clave que tiene un tamaño de 128 bits y, en virtud de esta longitud, es prácticamente imposible de «descifrar» con un sistema informático. En resumen, el sistema tendría que probar 2128 combinaciones para descifrar el código, lo que llevaría miles de años.. Como regla general, una longitud de clave más corta significa una seguridad más pobre, y es posible que las longitudes de clave estándar tengan que seguir creciendo a medida que aumenta la potencia computacional general.
Dicho esto, una longitud de clave más larga puede reducir la cantidad de sesiones por segundo, lo que puede tener un impacto negativo en el rendimiento. Muchos desarrolladores retrasan el cifrado de la base de datos precisamente porque temen tales degradaciones de rendimiento y posibles ralentizaciones del sistema. Además, cifrar una base de datos requerirá más espacio de almacenamiento que el volumen original de datos. Si bien es cierto que el cifrado de la base de datos agrega cierta complejidad ( haciendo que tareas como la copia de seguridad y la recuperación sean más complicadas ), es posible garantizar un buen rendimiento implementando una variedad de mejores prácticas. Por ejemplo, implementar estratégicamente el cifrado a nivel de archivo tendrá un impacto mucho menor en el rendimiento que el nivel de aplicación u otros métodos de cifrado más granulares.
Ya sean grandes o pequeños, es muy posible que los clientes de todos los tamaños estén tratando con datos confidenciales, datos que, en muchos casos, pueden estar sujetos a regulaciones. Estos datos pueden incluir tarjetas de crédito, números de Seguro Social, información clasificada o registros médicos. Las empresas manejan todo tipo de big data, y cualquier tipo de datos protegidos, registros financieros o información de identificación personal (PII) debe protegerse, no solo cuando se usa y analiza, sino mientras está almacenado.
Como MSP, es su responsabilidad evaluar si cierto tipo de cifrado de datos es una estrategia de seguridad útil o necesaria para la situación particular de un cliente. Por ejemplo, el cifrado suele ser un paso necesario para las empresas que se ocupan de las normas de cumplimiento como SOX, HIPAA, PCI DSS y GLBA. Muchos estados penalizan las filtraciones de datos, e incluso si el cifrado no es legalmente obligatorio, las empresas a menudo están ansiosas por evitar pérdidas de datos costosas e inconvenientes.
En cierto sentido, el cifrado de la base de datos debe ser redundante y solo se vuelve necesario si fallan los controles de acceso y otras medidas de seguridad. Sin embargo, ceñirse demasiado a esta mentalidad es una clara vulnerabilidad, ya que estas otras medidas de seguridad no son a prueba de fallas. Los MSP pueden ayudar a las empresas a comprender que las bases de datos necesitan protecciones de seguridad adicionales. Por ejemplo, no espere que SSL cifre una base de datos, eso es solo para datos en movimiento . Del mismo modo, los cortafuegos y las VPN son una excelente protección, pero se pueden violar y dejar los datos en juego. Además, los malhechores internos pueden tener que hacer poco más que averiguar un nombre de usuario y una contraseña para robar datos confidenciales.
Cuando se trata de implementar el cifrado, es importante no solo elegir el algoritmo correcto, sino también administrar las claves de cifrado de manera segura y organizada. Por ejemplo, las claves no deben guardarse en el mismo servidor que los datos cifrados. Además, no dude en implementar también el cifrado de la base de datos para el almacenamiento en la nube; solo asegúrese de que la propia empresa, en lugar del proveedor de la nube, realice un seguimiento de las claves de descifrado.
Es posible cifrar datos en varios niveles, desde la aplicación hasta el motor de la base de datos. Para un MSP que esté considerando cómo ayudar a un cliente a elegir un método de encriptación, es importante tener claro los propósitos y requisitos de estos diferentes métodos de encriptación:
El término cifrado de datos transparente o «cifrado externo» se refiere al cifrado de una base de datos completa, incluidas las copias de seguridad. Este es un método específico para «datos en reposo» en tablas y tablespaces, es decir, datos inactivos que no están actualmente en uso o en tránsito. Cada vez más, el cifrado de datos transparente es una función nativa dentro de los motores de bases de datos. También se puede manejar a través del cifrado de la unidad o del sistema operativo, lo que significa que todo lo que se escribe en el disco está cifrado.
Este tipo de cifrado es «transparente» porque es invisible para los usuarios y las aplicaciones que se basan en los datos y se usa fácilmente sin realizar cambios en el nivel de la aplicación. Se descifra para usuarios o aplicaciones autorizados cuando está en uso, pero permanece protegido en reposo. Incluso si los medios físicos se ven comprometidos o los archivos son robados, los datos en su conjunto siguen siendo ilegibles: solo los usuarios autorizados pueden leerlos correctamente. Esto proporciona un desincentivo para que los piratas informáticos roben los datos. Cuando todo está dicho y hecho, el uso de TDE puede ayudar a una empresa a seguir cumpliendo con una serie de normas de seguridad específicas.
Cuando se trata del cifrado de bases de datos, es posible proteger los datos en varios niveles particulares, desde columnas hasta bloques de archivos. Todas las celdas dentro de estas unidades usarían la misma contraseña para acceder, por lo que puede elegir una protección más especializada o generalizada según sus requisitos. Tenga en cuenta, sin embargo, que un cifrado más granular puede reducir drásticamente el rendimiento:
El cifrado simétrico y asimétrico son términos criptográficos que describen la relación entre el texto cifrado y las claves de descifrado. Estas ideas tienen en cuenta el hecho de que los usuarios y los destinatarios pueden tener la tarea de compartir claves, lo que puede o no ser un proceso seguro. Los algoritmos de cifrado pueden diseñarse como uno u otro de estos tipos o, en algunos casos, como ambos:
Los clientes interesados en cifrar su base de datos probablemente querrán conocer sus opciones. Los siguientes tipos de cifrado de bases de datos ofrecen diversos niveles de protección que deben sopesarse frente a su impacto en el rendimiento asociado para seleccionar una protección que sea práctica y efectiva a la vez.
Si todavía confía exclusivamente en firewalls o controles de acceso para proteger los datos comerciales confidenciales, o incluso si tiene un método de cifrado antiguo, podría ser el momento de ofrecer una mejor solución a sus clientes. El cifrado de datos no tiene por qué conducir a un peor rendimiento si se asegura de que sus tipos de cifrado y su implementación sigan las mejores prácticas y logren un equilibrio adecuado entre seguridad y facilidad de uso. ¿Interesado en saber más? Hable con un miembro de nuestro equipo para ver si sus métodos de encriptación actuales se implementan de manera efectiva.