Una guía completa para proteger los datos con cifrado de

Anuncio
WHITE PAPER
Una guía completa para
proteger los datos con
cifrado de bases de datos
Hoy día, las empresas piden cada vez más a sus equipos de seguridad soportar la rápida expansión de
diferentes casos de uso del cifrado de bases de datos. Este documento ofrece un panorama detallado que
explica por qué la demanda de cifrado de bases de datos está siendo cada vez más difícil y desafiante.
El documento ofrece una perspectiva general de los principales enfoques requeridos para abordar esta
creciente demanda, además de destacar las diferentes maneras de enfocar el cifrado y ayudar a los
gestores a asegurarse de que están utilizando las herramientas adecuadas para los fines correctos.
Finalmente, este documento ofrece un resumen de la cartera de soluciones de protección de datos
SafeNet y revela cómo dichas soluciones permiten a los equipos de seguridad alcanzar sus objetivos de
protección de bases de datos de manera eficiente y holística.
¿Por qué está creciendo la demanda de cifrado
de bases de datos y se está haciendo cada vez
más difícil?
Hoy en día en las empresas, prácticamente cada activo
empresarial digital crítico a la larga se almacena en bases de
datos corporativas. No es de sorprender que estos repositorios
sean a menudo los objetivos más buscados de los internos
maliciosos y ciberdelincuentes, y es un peligro de la base
de datos que tiende a plantear las sanciones financieras y
estratégicas más devastadoras para las empresas víctimas de
los ataques.
En estas circunstancias, las políticas de seguridad empresarial y
las normativas reguladoras han subrayado más la importancia de
emplear el cifrado para establecer sólidas salvaguardas en torno
a los datos en bases de datos.
No obstante, si bien la necesidad de proteger los datos en bases
de datos continúa siendo más urgente, también sigue siendo
más desafiante. A medida que incrementa el uso de grandes
cantidades de datos, también lo hace el número de depósitos
dispares que acceden y aprovechan las bases de datos, lo cual
expande notablemente el número de sistemas que es necesario
proteger, así como los vectores de amenazas potenciales. Las
organizaciones se apoyan en una gama cada vez más variada
de modelos informáticos internos, externos e híbridos, lo
cual significa que más bases de datos necesitan protección
en entornos y en ecosistemas más complejos. Además, deben
implementarse salvaguardias adicionales para reducir los
riesgos propios a entornos de nube, incluyendo capas adicionales
de riesgos administrativos y exposición potencial si un proveedor
de nube es citado a comparecer en los tribunales.
Mientras tratan de hacer frente a esta creciente y cada vez
más urgente demanda de cifrado de bases de datos, muchos
de los equipos de seguridad tienen que lidiar con sus actuales
herramientas y enfoques. En muchas organizaciones, la
implementación del cifrado ha sido más bien de carácter
táctico, impulsada por los esfuerzos asociados con equipos de
proyecto específicos, el cumplimiento de requisitos y los silos de
tecnología. Esto ha redundado en implementaciones de cifrado
que no pueden ser operadas y administradas centralmente.
Especialmente cuando se trata de gestión de claves, la dispar
y fragmentada naturaleza de estas implementaciones ha
comenzado a plantear una serie de desafíos, incluyendo la
escalada de almacenes de claves, costos y riesgos.
Determinar cómo cifrar los datos de la base de
datos
El requisito: Un enfoque holístico para la protección de las
bases de datos
Para abordar todos los problemas antes mencionados, es
esencial para los equipos de seguridad adoptar estrategias de
protección más estratégicas para la empresa. Por lo tanto, los
equipos de seguridad necesitan aprovechar plataformas que
ofrezcan una gestión de claves y políticas eficiente en toda la
empresa, además de disponer de las diversas capacidades y
soluciones flexibles necesarias para instituir el cifrado en la
manera más eficaz para cada caso de uso.
Requisitos fundamentales
Cualquier solución empleada debe dotar a los equipos de
seguridad con las siguientes capacidades fundamentales:
>> Proteger los datos y controlar el acceso a los mismos.
>> Aplicar estrictos controles para salvaguardar y gestionar
eficazmente las claves durante todo su ciclo de vida.
>> Almacenar y gestionar las claves de manera que
permanezcan física y lógicamente aisladas de los depósitos de
almacenamiento de datos.
Una guía completa para proteger los datos con cifrado de bases de datos - White Paper
1
Elegir el enfoque adecuado para cada caso de uso
Cuando se trata de cifrar la información contenida en la base
de datos, los equipos de seguridad pueden elegir una serie
de enfoques y soluciones. Necesitan seleccionar soluciones
que aborden los medios de ataque más críticos, al tiempo de
equilibrar factores tales como el coste, la integración y el
trabajo de administración, y niveles de servicio y conveniencia
del usuario. A continuación se ofrece una descripción general de
algunos de los métodos disponibles y sus fortalezas y debilidades.
>> Cifrado y tokenización a nivel de la aplicación. Aprovechando
el cifrado y tokenización a nivel de la aplicación, las
organizaciones a menudo pueden obtener los más altos niveles
de seguridad. Con este enfoque, las empresas pueden proteger
activos confidenciales durante todo su ciclo de vida, desde el
punto de creación o captura inicial hasta la eliminación. Por
otro lado, este enfoque tiende a requerir el máximo nivel de
esfuerzo de implementación.
>> Cifrado de la base de datos. Mediante el cifrado en la capa
de la base de datos, las organizaciones pueden proteger
columnas específicas dentro de la base de datos. Por ejemplo,
pueden cifrar una columna que contiene números de la
seguridad social de empleados, al tiempo que dejan accesibles
otros datos. Este enfoque puede facilitar la implementación
de aplicaciones de cifrado, pero no puede abordar tantas
amenazas potenciales.
>> Cifrado a nivel de sistema de archivos. Con este enfoque,
las empresas pueden cifrar el archivo de la base de datos
completa. Este enfoque puede no ofrecer la amplia protección
que ofrece el cifrado a nivel de base de datos y aplicaciones,
pero puede ser una manera óptima de proteger archivos de
base de datos antes o cuando se exportan, se hace una copia de
seguridad y se almacenan. En comparación con los enfoques
anteriores, esta alternativa es a menudo mucho más fácil de
emplear y gestionar.
¿Dónde cifrar y administrar las claves?
En general, el uso de cifrado al nivel más alto en la pila
informática ofrece mayor seguridad, al tiempo que requiere
más trabajo de implementación
Fuente
Seguridad
Aplicación
Base de datos
Archivo
Destino
Almacenamiento/Cinta/Disco
Trabajo de implementación
Soluciones de protección de bases de datos
SafeNet
Con la cartera de soluciones de protección de datos SafeNet de
Gemalto, su organización puede establecer un enfoque amplio
y estratégico para la protección de datos contenidos en la base
de datos de su empresa. Gemalto ofrece una gama completa de
soluciones de cifrado y tokenización, y también soluciones de
gestión de claves central que permiten a su equipo de seguridad
administrar eficientemente todas las implementaciones de
cifrado de su organización y las claves. Las soluciones de
protección de datos SafeNet ofrecen estas ventajas exclusivas:
Protección de datos unificada
Gemalto ofrece una cartera completa de soluciones que
permitirán la protección de datos unificada en toda la empresa.
Virtual
En las instalaciones
Nube
Plataforma de protección
de datos unificada
Base criptográfica
Gestión de claves
Certificaciones
Gestión de políticas
Seguridad
>> Robusta gestión de claves centralizada. Todas las soluciones
de protección de datos SafeNet son implementadas con SafeNet
KeySecure, que ofrece una gestión centralizada y segura de
las claves de cifrado en toda la empresa. Al ofrecer gestión de
claves y políticas centralizada, y al permitir la rotación de clave
de datos automatizados y la reintroducción de datos, la solución
contribuye a fortalecer la seguridad y reducir el trabajo
administrativo.
>> Eficiente implementación y operación. Las soluciones
de protección de datos SafeNet ofrecen administración
centralizada, gestión de políticas, auditoria e informes, lo
cual promueve una adhesión de política coherente y una
administración racionalizada. Con estas soluciones podrá
aprovechar una arquitectura eficiente que minimiza el impacto
en el rendimiento del cifrado.
>> Adaptado a una gran variedad de entornos. Estas soluciones
ofrecen soporte a una amplia gama de entornos y modelos
informáticos, incluidos varios servicios de nube pública,
sistemas virtualizados, centros de datos tradicionales,
infraestructuras híbridas e implementaciones de tipo Big Data.
>> Soporte de cifrado multi-capa. Con las soluciones de
protección de datos SafeNet, los equipos de seguridad
pueden adoptar una serie de estrategias, incluidas cifrado de
columnas, archivos y carpetas, y la totalidad de las máquinas
virtuales o instancias. La suite incluye ofertas a nivel de base
de datos y soluciones a nivel de aplicación para cifrado y
tokenización.
>> Completo soporte de base de datos. Con las soluciones
SafeNet, su organización podrá cifrar datos en bases de datos
NoSQL, incluyendo Cassandra, MongoDB, y HBase; bases de
datos SQL, incluyendo Microsoft SQL Server, Oracle, IBM DB2,
MySQL, y PostgreSQL.
Soluciones para la protección de columnas
seleccionadas en bases de datos
SafeNet ProtectDB: Cifrado a nivel de columna
SafeNet ProtectDB cifra los datos a nivel de columna para
datos estructurados y bases de datos SQL. SafeNet ProtectDB
permite a las organizaciones alcanzar sus objetivos de seguridad,
incluyendo la protección de datos financieros, el cumplimiento
con PCI DSS y la salvaguardia de información de identificación
personal.
Una guía completa para proteger los datos con cifrado de bases de datos - White Paper
2
>> Controles granulares que permiten a los equipos de seguridad
garantizar que sólo usuarios autorizados puedan obtener
acceso a datos cifrados.
>> Registro y auditoría integrales.
>> Funcionalidades integradas de rotación de claves
automatizadas y regeneración de claves
SafeNet Tokenization: Tokenización a nivel de aplicación
Con SafeNet Tokenization, las empresas pueden sustituir
segmentos de datos confidenciales con un token, un valor que
no tiene ningún significado o valor si se acceden. La solución
tokeniza los datos antes de que se almacenan en la base de datos.
SafeNet Tokenization ofrece la flexibilidad de poder usar formatos
estándar o personalizados. Las capacidades de tokenización
preservadoras de formato de la solución le permiten garantizar
que estos datos tokenizados mantengan propiedades similares
a las del valor original, lo cual ayuda a minimizar el impacto
potencial sobre los procesos y las aplicaciones asociadas que
pueden acceder a los datos. SafeNet Tokenization incluye
controles de acceso granular, así como capacidades de registro
y auditoría completas. La solución ofrece una amplia variedad
de funciones que racionalizan la implementación, incluyendo
soporte para servicios web, tokenización masiva y soporte API
por lotes.
SafeNet Tokenization puede utilizarse para tokenizar cualquier
tipo de datos confidenciales, incluyendo números de cuentas,
números de tarjetas de crédito, números de seguridad social,
etc. Muchas organizaciones utilizan SafeNet Tokenization para
proteger los números de cuenta asociadas a una tarjeta de
pago principal para lograr el cumplimiento con el Estándar
de Seguridad de Datos para la Industria de Tarjetas de Pago
(PCI DSS). Asimismo, la solución permite a las organizaciones
proteger PII y datos confidenciales en entornos Big Data.
Por último, las organizaciones pueden utilizar la solución
para proteger los datos en entornos no relacionados con la
producción, incluidos los utilizados para el desarrollo y prueba de
aplicaciones, investigación y más.
Opciones de cifrado de bases de datos
La cartera de soluciones de protección de datos de SafeNet
permite a las organizaciones aprovechar una variedad de
enfoques para garantizar la seguridad de los datos en las bases
de datos.
Base de datos
Protege columnas
seleccionadas
Protege a nivel
de base de datos
SafeNet
ProtectDB
Cifra
Protege a nivel
de aplicación
SafeNet
ProtectApp
Tokeniza
La solución incluye capacidades de cifrado transparente y
eficiente. Con SafeNet ProtectDB, los equipos de seguridad
pueden instituir controles de acceso granular, incluyendo por
función, usuario, hora del día, y otras variables. La solución
ofrece eficaces salvaguardias, tales como permitir a su equipo
de seguridad impedir que un administrador de base de datos
suplante la identidad de otro usuario para obtener acceso a datos
confidenciales. Para mayor seguridad se integran en la solución,
rotación de claves automatizada y reintroducción de claves de
datos, así como un completo registro y generación de informes.
SafeNet ProtectApp: Cifrado a nivel de aplicación
SafeNet ProtectApp cifra los datos a nivel de la aplicación, antes
de guardarlos en la base de datos. La solución también ofrece
una interfaz para las tareas de gestión de claves.
Muchas organizaciones utilizan SafeNet ProtectApp para
proteger la información confidencial, tal como la propiedad
intelectual o información de identificación personal (PII) y para
abordar los mandatos regulatorios y de cumplimiento.
La solución es compatible con bases de datos SQL y NoSQL
y puede proteger datos estructurados y no estructurados. El
cifrado se realiza en la plataforma SafeNet KeySecure, que
garantiza un rendimiento óptimo y permite la gestión centralizada
de claves y políticas.
Con SafeNet ProtectApp, las empresas pueden proteger
de manera transparente los datos en todo su ciclo de vida,
dondequiera que se envíen, almacenen o copien. La solución
ofrece las siguientes características y capacidades:
>> API que ayudan a racionalizar la integración a través de
infraestructuras de servidores de aplicaciones de proveedores
múltiples.
SafeNet
Tokenization
Protege el archivo de toda
la base de datos
Protege a nivel
de archivo o carpeta
SafeNet
ProtectFile
Protege toda
la MV o instancia
SafeNet
ProtectV
Soluciones para proteger todo el archivo de la
base de datos.
SafeNet ProtectFile: Cifrado a nivel de sistema de archivo
SafeNet ProtectFile aplica el cifrado transparente a todo el
archivo de la base de datos. La solución ofrece soporte para
las bases de datos SQL y NoSQL y puede cifrar archivos no
estructurados. Con SafeNet ProtectFile, los equipos de seguridad
podrán usar protocolos de uso compartido de archivos, tales
como Common Internet File System (CIFS) y Network File System
(NFS) para proteger archivos de bases de datos seguros que
residen en entornos de servidor de almacenamiento conectado
directamente (DAS), red de área de almacenamiento (SAN) y
almacenamiento conectado a la red (NAS).
La solución ofrece eficaces salvaguardias contra el abuso interno,
por ejemplo, es capaz de impedir que un administrador mal
intencionado pueda suplantar la identidad de un usuario para
obtener acceso a los datos cifrados. Para mayor seguridad la
rotación de claves automatizada y la re-generacion de claves de
dato se integran en la solución, así como un registro y generación
de informes completo.
SafeNet ProtectFile ofrece una solución óptima para proteger
archivos de bases de datos seguros, incluyendo archivos
utilizados para exportaciones, archivos comprimidos y copias
de seguridad. La solución también ofrece protección efectiva
en implementación de tipo Big Data, incluidos aquellos que se
ejecutan en Apache Hadoop e IBM InfoSphere Big Insights.
SafeNet ProtectV: Cifrado completo de disco de
máquina virtual
SafeNet ProtectV permite a las organizaciones cifrar las
máquinas virtuales al completo, incluidos los volúmenes de
almacenamiento asociados, snapshots y copias de seguridad de
instancias y particiones. La solución puede cifrar archivos no
estructurados en bases de datos NoSQL y SQL.
Con esta solución, las organizaciones pueden proteger entornos
virtualizados y de nube de forma efectiva. Los equipos de
seguridad pueden mantener en todo momento la propiedad y
el control de los datos y claves de cifrado, ademas de instituir
controles a fin de autorizar el arranque de instancias de máquinas
virtuales. También pueden auditar e informar sobre el acceso
a todas las claves y revocar el acceso con clave en caso de
violación. SafeNet ProtectV funciona con SafeNet KeySecure para
habilitar la gestión de claves y políticas centralizada.
Una guía completa para proteger los datos con cifrado de bases de datos - White Paper
3
Comparativa de las soluciones SafeNet de protección de BBDD
Tipo/nivel de implementación
Bases de datos
Tipos de datos
Entornos
SafeNet ProtectApp
Cifrado a nivel de aplicación
NoSQL y SQL
Estructurados y
no estructurados
SafeNet Tokenization
Cifrado a nivel de aplicación
NoSQL y SQL
Estructurados
>> Entornos virtuales
SafeNet ProtectDB
Cifrado a nivel de columna
SQL
Estructurados
>> Centros de datos tradicionales
NoSQL y SQL
No
estructurados
>> Entornos híbridos
SafeNet ProtectFile
Cifrado a nivel de archivo y carpeta
SafeNet Transparent
Data Encryption
Gestión de claves empresariales para
el cifrado de bases de datos nativas
SQL
No
estructurados
SafeNet ProtectV
Cifrado de máquinas virtuales
NoSQL y SQL
No
estructurados
Robusta gestión de claves empresariales
centralizada
SafeNet KeySecure
SafeNet KeySecure es una plataforma validada con FIPS 140-2
que le permite crear un servicio de cifrado centralizado capaz
de racionalizar los despliegues de cifrado en toda su empresa.
SafeNet KeySecure se integra perfectamente en la suite de
soluciones de cifrado SafeNet, incluidas SafeNet ProtectApp,
SafeNet ProtectDB, SafeNet ProtectFile, SafeNet ProtectV y
SafeNet Tokenization.
SafeNet KeySecure también ofrece una amplia gama de
bibliotecas de desarrollo y API estándar, y soporte para la
norma del protocolo de interoperabilidad de gestión de claves
(KMIP). Como resultado, su organización puede realizar una
implementación de óptima eficiencia, no importa cuándo, dónde y
cómo integra usted el cifrado.
Gestión de claves de cifrado de datos
transparente con SafeNet KeySecure
Hoy en día, muchas versiones de bases de datos Oracle y
Microsoft SQL Server ofrecen funcionalidad de cifrado de datos
transparente (TDE) que permite a las organizaciones utilizar
cifrado de datos en bases de datos. Sin embargo, cuando se
usan las funciones de TDE, las claves de cifrado generadas se
almacenan en la base de datos, junto con los datos cifrados,
lo cual deja a la organización expuesta a brechas y al fallo de
las auditorías de cumplimiento. Con SafeNet KeySecure, las
organizaciones pueden aprovechar las capacidades de TDE
nativas, al tiempo de gestionar las claves de una forma separada
y más segura. Además, este enfoque es transparente para
las aplicaciones y los usuarios que tienen acceso a los datos
protegidos.
>> Nubes públicas
>> Implementaciones de tipo Big
Data
Entornos virtuales y nubes públicas
seleccionadas, incluidos Amazon
Web Services, Microsoft Azure, IBM
SoftLayer Cloud y VMware
Acerca de Gemalto
A través de la adquisición de SafeNet, Gemalto ofrece una de las
gamas más completas de soluciones de seguridad empresarial
del mundo, permitiendo a sus clientes acogerse a una protección
de datos, identidades digitales, pagos y transacciones líder de la
industria… desde el perímetro hasta el núcleo. La recientemente
ampliada gama de soluciones de protección de datos e identidades
SafeNet de Gemalto permite a las empresas a numerosos niveles,
incluidas importantes instituciones financieras y gobiernos,
adoptar un enfoque basado en datos en materia de seguridad
mediante el uso de innovadores métodos de cifrado, las mejores
técnicas de gestión criptográficas y soluciones de autenticación
fuerte y gestión de identidades para proteger lo que importa,
donde importa. A través de estas soluciones, Gemalto ayuda a
las organizaciones a alcanzar cumplimiento de normas estrictas
en materia de privacidad de datos y garantizar que los activos
confidenciales de la empresa, la información de los clientes y
las transacciones digitales permanezcan a salvo de cualquier
exposición y manipulación protegiendo la confianza del cliente en
un mundo cada vez más digital.
Conclusión
Para las empresas de hoy en día, las demandas de garantizar la
seguridad de los datos en las bases de datos siguen siendo cada
vez más urgentes. Con la cartera de soluciones de protección
de datos SafeNet de Gemalto, su empresa puede aprovechar las
capacidades que necesita para atender esta demanda, y hacerlo
con una eficiencia sin precedentes Con estas soluciones podrá
aprovechar las capacidades de una gestión de claves y políticas
unificada y centralizada, al tiempo de implementar enfoques de
protección de bases de datos que están perfectamente alineadas
con los riesgos, las tecnologías, el cumplimiento de normativas y
los objetivos empresariales específicos de su organización.
Contacto: Para consultar todas las localizaciones de oficinas e información de contacto safenet.gemalto.com
Síganos: blog.gemalto.com/security
GEMALTO.COM
Una guía completa para proteger los datos con cifrado de bases de datos - White Paper
©Gemalto 2016. All rights reserved. Gemalto, the Gemalto logo, are trademarks and service marks of Gemalto and are registered in certain countries.-WP (ES) - Aug.30.2016 - Design: ELC
Solución
4
Descargar