Там, где злоупотребление данными возможно, оно обязательно случится: скандал, разразившийся вокруг полной клиентской базы данных компании T-Mobile, доступ к которой можно было сравнительно легко получить через сеть Internet, — лишь один из множества актуальных примеров. В базах данных, как правило, содержится важная и конфиденциальная информация, поэтому инструменты для шифрования баз данных должны быть центральным элементом всеохватывающей концепции шифрования информации.
Предприятия розничной торговли, банки и поставщики услуг работают с базами данных, где хранится информация о клиентах, их кредитных картах и осуществленных транзакциях, поэтому для них защита данных крайне важна. Стандарт безопасности Payment Card Industry Data Security Standard (PCI DSS) предусматривает 12 специальных требований для защиты информации в среде электронных платежей. В качестве одного из наиболее важных элементов выступает шифрование. Согласно этой директиве, все сведения, содержащиеся в базе данных, должны быть защищены посредством шифрования, а криптографические ключи — храниться в высоконадежной среде. Такой уровень защиты необходимо обеспечить и для других документов, хотя обязательные к исполнению стандарты существуют лишь в немногих сферах.
Базовый принцип технологии шифрования прост: данные шифруются цифровым ключом (Key) в соответствии с определенным алгоритмом, что делает их нечитаемыми. Только авторизованные лица получают доступ к соответствующему ключу, а значит, и к зашифрованным данным.
В случае применения шифрования поддержка различных систем управления базами данных, серверов Web, приложений и файлов может оказаться затруднена. Точно настраиваемые правила авторизации и удобные инструменты для администрирования ключей, протоколирования, составления отчетов и управления правилами упрощают эту задачу, на что необходимо обратить внимание еще на этапе выбора решения для шифрования (см. Рисунок 1).
Лишь немногие предприятия работают с одной-единственной базой данных. В большинстве случаев информация хранится в нескольких базах, разработанных разными поставщиками, и располагается в различных точках инфраструктуры ИТ. Каждый производитель предъявляет свои требования к управлению безопасностью (Security Management), поэтому, прежде чем принять окончательное решение, следует поинтересоваться, будет ли продукт для шифрования поддерживать все многообразие корпоративных баз данных, серверов Web, приложений и файлов, и удостовериться в отсутствии привязки к единственному производителю.
Кроме того, необходимо выяснить, предусмотрена ли в решении возможность регулирования прав доступа и управления с помощью тонко настраиваемой системы авторизации, а также однозначного задания прав и задач. Так, доступ к массивам данных должен ограничиваться строками, колонками или отдельными ячейками, так как не каждому пользователю требуется вся информация. К примеру, сотруднику отдела сбыта нужны клиентские данные только из определенного диапазона почтовых индексов, а для бухгалтера важен лишь доступ к актуальной информации по счетам. Такое регулирование прав облегчает выполнение законодательных предписаний (Compliance) и позволяет предотвратить разного рода злоупотребления. Чем разнообразнее инфраструктура ИТ и доступ в пределах предприятия, тем более интуитивно понятными и удобными должны быть обслуживание продукта и инструменты для администрирования.
Решение для шифрования должно защищать всю корпоративную инфраструктуру предприятия с помощью единственного централизованного приложения, а управление ключами, авторизацией, отчетностью, а также обновлением баз данных и приложений должно осуществляться из одной точки. Единое решение позволит не только быстро выявить проблемы безопасности, но и сократить расходы на администрирование и упростить составление отчетов для соблюдения законодательных требований.
Предприятиям следует присмотреться к решениям с поддержкой таких стандартов шифрования, как AES, 3DES, RSA или HMACSHA-1. Применение стандартных алгоритмов упрощает выбор продукта, тем более что при надлежащей длине ключа практически исключаются атаки с подбором пароля (Brute Force).
Однако даже самое лучшее решение для шифрования окажется бесполезным, если доступ к дешифрованию не будет защищен так же надежно — он должен предоставляться только при наличии правильного ключа. Наиболее удобными на практике оказались так называемые аппаратные модули безопасности (Hardware Security Module, HSM), где сохранение, генерация и использование ключей происходит в защищенной среде. HSM представляют собой более надежное место хранения, нежели какое-либо программное обеспечение или сама база данных. На рынке уже появились оптимизированные для шифрования баз данных HSM, оснащенные готовым интерфейсом. В то время как традиционное решение HSM лишь сохраняет ключ, оптимизированные решения поддерживают автоматическую регулярную смену ключей и тем самым соответствуют еще одному требованию PCI DSS.
Для оптимальной защиты сохраненных данных шифрование баз данных должно быть частью многоуровневого подхода и дополняться другими уровнями защиты. Полное шифрование жесткого диска (Full Disc Encryption) защищает все хранящиеся на нем данные, даже если носитель будет утрачен и попадет в руки злоумышленников.
Шифрование файлов и папок обес-печивает защиту отдельных конфиденциальных сведений, хранящихся на серверах, рабочих станциях, ноутбуках и других мобильных устройствах, а шифрование приложений защищает различные области данных, которые напрямую привязаны к приложениям, работающим с этой информацией. Четко определенные роли и права пользователей, а также тщательно регулируемый контроль доступа к приложениям позволяют гарантировать безопасность данных.
Данные необходимо защищать и в процессе их передачи по корпоративной сети. В таком случае при выборе метода шифрования следует принимать во внимание задержки и избыточную нагрузку (Overload), вызываемую этим решением, а также величину пропускной способности, в которой нуждается предприятие.
Как ожидается, через два-три года все предприятия будут вынуждены использовать технологии для обес-печения конфиденциальности такой информации, как номера кредитных карт, социальной страховки или детали операций со счетами. Те, кто начнет действовать сейчас, смогут избежать необдуманных решений в будущем.
Ансгар Додт — директор по продажам интегрированных систем по региону EMEA компании SafeNet.
© AWi Verlag
Рисунок 1. Один этап шифрования в AES: лишь инструменты администрирования и интегрированная безопасность превращают шифрование в настоящий инструмент обеспечения безопасности.
Особенности применения средств шифрования для защиты баз данных
Работа с базами данных принципиально отличается от защищенного обмена сообщениями (почты) или электронного документооборота. Большие объемы данных и избирательный доступ к информации затрудняют реализацию эффективного подхода, когда содержимое предварительно дешифруется, а затем, после использования, шифруется обратно. Сохранить привычный инструментарий и порядок работы позволяет метод «прозрачного шифрования», при котором информация автоматически расшифровывается при считывании с носителя (если был введен правильный ключ) и автоматически зашифровывается при записи. Такой подход делает решение независимым от используемых приложений, он применим как к логическим дискам, так и к папкам и файлам. При выборе продукта следует обращать внимание на то, может ли защита устанавливаться динамически, не прерывая процесса работы, или требуется отключение баз данных на период шифрования, на что может уйти немало времени.
У защиты дисков и папок свои особенности. Так, при защите диска автоматически обеспечивается защита временных файлов и папок, создаваемых приложениями и содержащих фрагменты обрабатываемой конфиденциальной информации. Это особенно важно для системного диска, где операционная система хранит дампы оперативной памяти. Защита этого диска предполагает наличие механизма авторизации пользователей до загрузки операционной системы, что усиливает общую защиту. Вместе с тем, доступ к системному диску необходим администратору для управления сетью, в результате он получает доступ к конфиденциальной информации на диске, к которой не имеет отношения. Защита папок позволяет дифференцировать доступ пользователей к информации на диске, а структура вложенных папок интуитивно понятным образом реализует иерархический доступ к конфиденциальным данным.
В отличие от записи на диске зашифрованный файл может быть передан в неизменном виде для расшифровки на локальном компьютере. В результате шифрование информации в сети не понадобится, а процедура резервного копирования радикально упрощается. Некоторым компромиссом между дисками и файлами выступают защищенные виртуальные диски (контейнеры), которые, как и файлы, хранят информацию в зашифрованном виде, но после предоставления подлинного ключа шифрования воспринимаются системой в качестве дополнительных дисков.
Отметим, что большинство инцидентов с утечкой базы данных связано не с внешними атаками, а с действиями (халатными или умышленными) пользователей, имеющих легитимный доступ к информации. Поэтому выбранное решение должно пресекать возможность доступа к данным при выносе персонального ключа и зашифрованного файла или диска (или его образа) из компании и последующего подключения к среде, где злоумышленник имеет все полномочия. В частности, эта опция защиты реализована в программном решении InfoWatch CryptoStorage.
С другой стороны, часто возникает ситуация, когда для работы нужны конфиденциальные данные, а подключение к корпоративной сети невозможно (в командировках, деловых встречах, конференциях и т.д.). И то и другое обес-печивается за счет продуманного управления ключами, как и восстановление ключа шифрования при его утере или злонамеренном уничтожении. При этом важно, чтобы необходимые права предоставлялись не отдельному пользователю, который тем самым получает доступ ко всей конфиденциальной информации, а группе уполномоченных представителей компании, что исключает неконтролируемый доступ к ключам шифрования.
Александр Иванов — системный аналитик компании InfoWatch.