WHITE PAPER Una guía completa para proteger los datos con cifrado de bases de datos Hoy día, las empresas piden cada vez más a sus equipos de seguridad soportar la rápida expansión de diferentes casos de uso del cifrado de bases de datos. Este documento ofrece un panorama detallado que explica por qué la demanda de cifrado de bases de datos está siendo cada vez más difícil y desafiante. El documento ofrece una perspectiva general de los principales enfoques requeridos para abordar esta creciente demanda, además de destacar las diferentes maneras de enfocar el cifrado y ayudar a los gestores a asegurarse de que están utilizando las herramientas adecuadas para los fines correctos. Finalmente, este documento ofrece un resumen de la cartera de soluciones de protección de datos SafeNet y revela cómo dichas soluciones permiten a los equipos de seguridad alcanzar sus objetivos de protección de bases de datos de manera eficiente y holística. ¿Por qué está creciendo la demanda de cifrado de bases de datos y se está haciendo cada vez más difícil? Hoy en día en las empresas, prácticamente cada activo empresarial digital crítico a la larga se almacena en bases de datos corporativas. No es de sorprender que estos repositorios sean a menudo los objetivos más buscados de los internos maliciosos y ciberdelincuentes, y es un peligro de la base de datos que tiende a plantear las sanciones financieras y estratégicas más devastadoras para las empresas víctimas de los ataques. En estas circunstancias, las políticas de seguridad empresarial y las normativas reguladoras han subrayado más la importancia de emplear el cifrado para establecer sólidas salvaguardas en torno a los datos en bases de datos. No obstante, si bien la necesidad de proteger los datos en bases de datos continúa siendo más urgente, también sigue siendo más desafiante. A medida que incrementa el uso de grandes cantidades de datos, también lo hace el número de depósitos dispares que acceden y aprovechan las bases de datos, lo cual expande notablemente el número de sistemas que es necesario proteger, así como los vectores de amenazas potenciales. Las organizaciones se apoyan en una gama cada vez más variada de modelos informáticos internos, externos e híbridos, lo cual significa que más bases de datos necesitan protección en entornos y en ecosistemas más complejos. Además, deben implementarse salvaguardias adicionales para reducir los riesgos propios a entornos de nube, incluyendo capas adicionales de riesgos administrativos y exposición potencial si un proveedor de nube es citado a comparecer en los tribunales. Mientras tratan de hacer frente a esta creciente y cada vez más urgente demanda de cifrado de bases de datos, muchos de los equipos de seguridad tienen que lidiar con sus actuales herramientas y enfoques. En muchas organizaciones, la implementación del cifrado ha sido más bien de carácter táctico, impulsada por los esfuerzos asociados con equipos de proyecto específicos, el cumplimiento de requisitos y los silos de tecnología. Esto ha redundado en implementaciones de cifrado que no pueden ser operadas y administradas centralmente. Especialmente cuando se trata de gestión de claves, la dispar y fragmentada naturaleza de estas implementaciones ha comenzado a plantear una serie de desafíos, incluyendo la escalada de almacenes de claves, costos y riesgos. Determinar cómo cifrar los datos de la base de datos El requisito: Un enfoque holístico para la protección de las bases de datos Para abordar todos los problemas antes mencionados, es esencial para los equipos de seguridad adoptar estrategias de protección más estratégicas para la empresa. Por lo tanto, los equipos de seguridad necesitan aprovechar plataformas que ofrezcan una gestión de claves y políticas eficiente en toda la empresa, además de disponer de las diversas capacidades y soluciones flexibles necesarias para instituir el cifrado en la manera más eficaz para cada caso de uso. Requisitos fundamentales Cualquier solución empleada debe dotar a los equipos de seguridad con las siguientes capacidades fundamentales: >> Proteger los datos y controlar el acceso a los mismos. >> Aplicar estrictos controles para salvaguardar y gestionar eficazmente las claves durante todo su ciclo de vida. >> Almacenar y gestionar las claves de manera que permanezcan física y lógicamente aisladas de los depósitos de almacenamiento de datos. Una guía completa para proteger los datos con cifrado de bases de datos - White Paper 1 Elegir el enfoque adecuado para cada caso de uso Cuando se trata de cifrar la información contenida en la base de datos, los equipos de seguridad pueden elegir una serie de enfoques y soluciones. Necesitan seleccionar soluciones que aborden los medios de ataque más críticos, al tiempo de equilibrar factores tales como el coste, la integración y el trabajo de administración, y niveles de servicio y conveniencia del usuario. A continuación se ofrece una descripción general de algunos de los métodos disponibles y sus fortalezas y debilidades. >> Cifrado y tokenización a nivel de la aplicación. Aprovechando el cifrado y tokenización a nivel de la aplicación, las organizaciones a menudo pueden obtener los más altos niveles de seguridad. Con este enfoque, las empresas pueden proteger activos confidenciales durante todo su ciclo de vida, desde el punto de creación o captura inicial hasta la eliminación. Por otro lado, este enfoque tiende a requerir el máximo nivel de esfuerzo de implementación. >> Cifrado de la base de datos. Mediante el cifrado en la capa de la base de datos, las organizaciones pueden proteger columnas específicas dentro de la base de datos. Por ejemplo, pueden cifrar una columna que contiene números de la seguridad social de empleados, al tiempo que dejan accesibles otros datos. Este enfoque puede facilitar la implementación de aplicaciones de cifrado, pero no puede abordar tantas amenazas potenciales. >> Cifrado a nivel de sistema de archivos. Con este enfoque, las empresas pueden cifrar el archivo de la base de datos completa. Este enfoque puede no ofrecer la amplia protección que ofrece el cifrado a nivel de base de datos y aplicaciones, pero puede ser una manera óptima de proteger archivos de base de datos antes o cuando se exportan, se hace una copia de seguridad y se almacenan. En comparación con los enfoques anteriores, esta alternativa es a menudo mucho más fácil de emplear y gestionar. ¿Dónde cifrar y administrar las claves? En general, el uso de cifrado al nivel más alto en la pila informática ofrece mayor seguridad, al tiempo que requiere más trabajo de implementación Fuente Seguridad Aplicación Base de datos Archivo Destino Almacenamiento/Cinta/Disco Trabajo de implementación Soluciones de protección de bases de datos SafeNet Con la cartera de soluciones de protección de datos SafeNet de Gemalto, su organización puede establecer un enfoque amplio y estratégico para la protección de datos contenidos en la base de datos de su empresa. Gemalto ofrece una gama completa de soluciones de cifrado y tokenización, y también soluciones de gestión de claves central que permiten a su equipo de seguridad administrar eficientemente todas las implementaciones de cifrado de su organización y las claves. Las soluciones de protección de datos SafeNet ofrecen estas ventajas exclusivas: Protección de datos unificada Gemalto ofrece una cartera completa de soluciones que permitirán la protección de datos unificada en toda la empresa. Virtual En las instalaciones Nube Plataforma de protección de datos unificada Base criptográfica Gestión de claves Certificaciones Gestión de políticas Seguridad >> Robusta gestión de claves centralizada. Todas las soluciones de protección de datos SafeNet son implementadas con SafeNet KeySecure, que ofrece una gestión centralizada y segura de las claves de cifrado en toda la empresa. Al ofrecer gestión de claves y políticas centralizada, y al permitir la rotación de clave de datos automatizados y la reintroducción de datos, la solución contribuye a fortalecer la seguridad y reducir el trabajo administrativo. >> Eficiente implementación y operación. Las soluciones de protección de datos SafeNet ofrecen administración centralizada, gestión de políticas, auditoria e informes, lo cual promueve una adhesión de política coherente y una administración racionalizada. Con estas soluciones podrá aprovechar una arquitectura eficiente que minimiza el impacto en el rendimiento del cifrado. >> Adaptado a una gran variedad de entornos. Estas soluciones ofrecen soporte a una amplia gama de entornos y modelos informáticos, incluidos varios servicios de nube pública, sistemas virtualizados, centros de datos tradicionales, infraestructuras híbridas e implementaciones de tipo Big Data. >> Soporte de cifrado multi-capa. Con las soluciones de protección de datos SafeNet, los equipos de seguridad pueden adoptar una serie de estrategias, incluidas cifrado de columnas, archivos y carpetas, y la totalidad de las máquinas virtuales o instancias. La suite incluye ofertas a nivel de base de datos y soluciones a nivel de aplicación para cifrado y tokenización. >> Completo soporte de base de datos. Con las soluciones SafeNet, su organización podrá cifrar datos en bases de datos NoSQL, incluyendo Cassandra, MongoDB, y HBase; bases de datos SQL, incluyendo Microsoft SQL Server, Oracle, IBM DB2, MySQL, y PostgreSQL. Soluciones para la protección de columnas seleccionadas en bases de datos SafeNet ProtectDB: Cifrado a nivel de columna SafeNet ProtectDB cifra los datos a nivel de columna para datos estructurados y bases de datos SQL. SafeNet ProtectDB permite a las organizaciones alcanzar sus objetivos de seguridad, incluyendo la protección de datos financieros, el cumplimiento con PCI DSS y la salvaguardia de información de identificación personal. Una guía completa para proteger los datos con cifrado de bases de datos - White Paper 2 >> Controles granulares que permiten a los equipos de seguridad garantizar que sólo usuarios autorizados puedan obtener acceso a datos cifrados. >> Registro y auditoría integrales. >> Funcionalidades integradas de rotación de claves automatizadas y regeneración de claves SafeNet Tokenization: Tokenización a nivel de aplicación Con SafeNet Tokenization, las empresas pueden sustituir segmentos de datos confidenciales con un token, un valor que no tiene ningún significado o valor si se acceden. La solución tokeniza los datos antes de que se almacenan en la base de datos. SafeNet Tokenization ofrece la flexibilidad de poder usar formatos estándar o personalizados. Las capacidades de tokenización preservadoras de formato de la solución le permiten garantizar que estos datos tokenizados mantengan propiedades similares a las del valor original, lo cual ayuda a minimizar el impacto potencial sobre los procesos y las aplicaciones asociadas que pueden acceder a los datos. SafeNet Tokenization incluye controles de acceso granular, así como capacidades de registro y auditoría completas. La solución ofrece una amplia variedad de funciones que racionalizan la implementación, incluyendo soporte para servicios web, tokenización masiva y soporte API por lotes. SafeNet Tokenization puede utilizarse para tokenizar cualquier tipo de datos confidenciales, incluyendo números de cuentas, números de tarjetas de crédito, números de seguridad social, etc. Muchas organizaciones utilizan SafeNet Tokenization para proteger los números de cuenta asociadas a una tarjeta de pago principal para lograr el cumplimiento con el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS). Asimismo, la solución permite a las organizaciones proteger PII y datos confidenciales en entornos Big Data. Por último, las organizaciones pueden utilizar la solución para proteger los datos en entornos no relacionados con la producción, incluidos los utilizados para el desarrollo y prueba de aplicaciones, investigación y más. Opciones de cifrado de bases de datos La cartera de soluciones de protección de datos de SafeNet permite a las organizaciones aprovechar una variedad de enfoques para garantizar la seguridad de los datos en las bases de datos. Base de datos Protege columnas seleccionadas Protege a nivel de base de datos SafeNet ProtectDB Cifra Protege a nivel de aplicación SafeNet ProtectApp Tokeniza La solución incluye capacidades de cifrado transparente y eficiente. Con SafeNet ProtectDB, los equipos de seguridad pueden instituir controles de acceso granular, incluyendo por función, usuario, hora del día, y otras variables. La solución ofrece eficaces salvaguardias, tales como permitir a su equipo de seguridad impedir que un administrador de base de datos suplante la identidad de otro usuario para obtener acceso a datos confidenciales. Para mayor seguridad se integran en la solución, rotación de claves automatizada y reintroducción de claves de datos, así como un completo registro y generación de informes. SafeNet ProtectApp: Cifrado a nivel de aplicación SafeNet ProtectApp cifra los datos a nivel de la aplicación, antes de guardarlos en la base de datos. La solución también ofrece una interfaz para las tareas de gestión de claves. Muchas organizaciones utilizan SafeNet ProtectApp para proteger la información confidencial, tal como la propiedad intelectual o información de identificación personal (PII) y para abordar los mandatos regulatorios y de cumplimiento. La solución es compatible con bases de datos SQL y NoSQL y puede proteger datos estructurados y no estructurados. El cifrado se realiza en la plataforma SafeNet KeySecure, que garantiza un rendimiento óptimo y permite la gestión centralizada de claves y políticas. Con SafeNet ProtectApp, las empresas pueden proteger de manera transparente los datos en todo su ciclo de vida, dondequiera que se envíen, almacenen o copien. La solución ofrece las siguientes características y capacidades: >> API que ayudan a racionalizar la integración a través de infraestructuras de servidores de aplicaciones de proveedores múltiples. SafeNet Tokenization Protege el archivo de toda la base de datos Protege a nivel de archivo o carpeta SafeNet ProtectFile Protege toda la MV o instancia SafeNet ProtectV Soluciones para proteger todo el archivo de la base de datos. SafeNet ProtectFile: Cifrado a nivel de sistema de archivo SafeNet ProtectFile aplica el cifrado transparente a todo el archivo de la base de datos. La solución ofrece soporte para las bases de datos SQL y NoSQL y puede cifrar archivos no estructurados. Con SafeNet ProtectFile, los equipos de seguridad podrán usar protocolos de uso compartido de archivos, tales como Common Internet File System (CIFS) y Network File System (NFS) para proteger archivos de bases de datos seguros que residen en entornos de servidor de almacenamiento conectado directamente (DAS), red de área de almacenamiento (SAN) y almacenamiento conectado a la red (NAS). La solución ofrece eficaces salvaguardias contra el abuso interno, por ejemplo, es capaz de impedir que un administrador mal intencionado pueda suplantar la identidad de un usuario para obtener acceso a los datos cifrados. Para mayor seguridad la rotación de claves automatizada y la re-generacion de claves de dato se integran en la solución, así como un registro y generación de informes completo. SafeNet ProtectFile ofrece una solución óptima para proteger archivos de bases de datos seguros, incluyendo archivos utilizados para exportaciones, archivos comprimidos y copias de seguridad. La solución también ofrece protección efectiva en implementación de tipo Big Data, incluidos aquellos que se ejecutan en Apache Hadoop e IBM InfoSphere Big Insights. SafeNet ProtectV: Cifrado completo de disco de máquina virtual SafeNet ProtectV permite a las organizaciones cifrar las máquinas virtuales al completo, incluidos los volúmenes de almacenamiento asociados, snapshots y copias de seguridad de instancias y particiones. La solución puede cifrar archivos no estructurados en bases de datos NoSQL y SQL. Con esta solución, las organizaciones pueden proteger entornos virtualizados y de nube de forma efectiva. Los equipos de seguridad pueden mantener en todo momento la propiedad y el control de los datos y claves de cifrado, ademas de instituir controles a fin de autorizar el arranque de instancias de máquinas virtuales. También pueden auditar e informar sobre el acceso a todas las claves y revocar el acceso con clave en caso de violación. SafeNet ProtectV funciona con SafeNet KeySecure para habilitar la gestión de claves y políticas centralizada. Una guía completa para proteger los datos con cifrado de bases de datos - White Paper 3 Comparativa de las soluciones SafeNet de protección de BBDD Tipo/nivel de implementación Bases de datos Tipos de datos Entornos SafeNet ProtectApp Cifrado a nivel de aplicación NoSQL y SQL Estructurados y no estructurados SafeNet Tokenization Cifrado a nivel de aplicación NoSQL y SQL Estructurados >> Entornos virtuales SafeNet ProtectDB Cifrado a nivel de columna SQL Estructurados >> Centros de datos tradicionales NoSQL y SQL No estructurados >> Entornos híbridos SafeNet ProtectFile Cifrado a nivel de archivo y carpeta SafeNet Transparent Data Encryption Gestión de claves empresariales para el cifrado de bases de datos nativas SQL No estructurados SafeNet ProtectV Cifrado de máquinas virtuales NoSQL y SQL No estructurados Robusta gestión de claves empresariales centralizada SafeNet KeySecure SafeNet KeySecure es una plataforma validada con FIPS 140-2 que le permite crear un servicio de cifrado centralizado capaz de racionalizar los despliegues de cifrado en toda su empresa. SafeNet KeySecure se integra perfectamente en la suite de soluciones de cifrado SafeNet, incluidas SafeNet ProtectApp, SafeNet ProtectDB, SafeNet ProtectFile, SafeNet ProtectV y SafeNet Tokenization. SafeNet KeySecure también ofrece una amplia gama de bibliotecas de desarrollo y API estándar, y soporte para la norma del protocolo de interoperabilidad de gestión de claves (KMIP). Como resultado, su organización puede realizar una implementación de óptima eficiencia, no importa cuándo, dónde y cómo integra usted el cifrado. Gestión de claves de cifrado de datos transparente con SafeNet KeySecure Hoy en día, muchas versiones de bases de datos Oracle y Microsoft SQL Server ofrecen funcionalidad de cifrado de datos transparente (TDE) que permite a las organizaciones utilizar cifrado de datos en bases de datos. Sin embargo, cuando se usan las funciones de TDE, las claves de cifrado generadas se almacenan en la base de datos, junto con los datos cifrados, lo cual deja a la organización expuesta a brechas y al fallo de las auditorías de cumplimiento. Con SafeNet KeySecure, las organizaciones pueden aprovechar las capacidades de TDE nativas, al tiempo de gestionar las claves de una forma separada y más segura. Además, este enfoque es transparente para las aplicaciones y los usuarios que tienen acceso a los datos protegidos. >> Nubes públicas >> Implementaciones de tipo Big Data Entornos virtuales y nubes públicas seleccionadas, incluidos Amazon Web Services, Microsoft Azure, IBM SoftLayer Cloud y VMware Acerca de Gemalto A través de la adquisición de SafeNet, Gemalto ofrece una de las gamas más completas de soluciones de seguridad empresarial del mundo, permitiendo a sus clientes acogerse a una protección de datos, identidades digitales, pagos y transacciones líder de la industria… desde el perímetro hasta el núcleo. La recientemente ampliada gama de soluciones de protección de datos e identidades SafeNet de Gemalto permite a las empresas a numerosos niveles, incluidas importantes instituciones financieras y gobiernos, adoptar un enfoque basado en datos en materia de seguridad mediante el uso de innovadores métodos de cifrado, las mejores técnicas de gestión criptográficas y soluciones de autenticación fuerte y gestión de identidades para proteger lo que importa, donde importa. A través de estas soluciones, Gemalto ayuda a las organizaciones a alcanzar cumplimiento de normas estrictas en materia de privacidad de datos y garantizar que los activos confidenciales de la empresa, la información de los clientes y las transacciones digitales permanezcan a salvo de cualquier exposición y manipulación protegiendo la confianza del cliente en un mundo cada vez más digital. Conclusión Para las empresas de hoy en día, las demandas de garantizar la seguridad de los datos en las bases de datos siguen siendo cada vez más urgentes. Con la cartera de soluciones de protección de datos SafeNet de Gemalto, su empresa puede aprovechar las capacidades que necesita para atender esta demanda, y hacerlo con una eficiencia sin precedentes Con estas soluciones podrá aprovechar las capacidades de una gestión de claves y políticas unificada y centralizada, al tiempo de implementar enfoques de protección de bases de datos que están perfectamente alineadas con los riesgos, las tecnologías, el cumplimiento de normativas y los objetivos empresariales específicos de su organización. Contacto: Para consultar todas las localizaciones de oficinas e información de contacto safenet.gemalto.com Síganos: blog.gemalto.com/security GEMALTO.COM Una guía completa para proteger los datos con cifrado de bases de datos - White Paper ©Gemalto 2016. All rights reserved. Gemalto, the Gemalto logo, are trademarks and service marks of Gemalto and are registered in certain countries.-WP (ES) - Aug.30.2016 - Design: ELC Solución 4