Het versleutelen van data at rest is een cruciaal onderdeel van cybersecurity op bedrijfsservers. Transparente dataencryptie (TDE) is een technologie die door databaseleveranciers wordt gebruikt om data op bestandsniveau te versleutelen. TDE beschermt data tijdens fysieke diefstal wanneer schijven worden gestolen of wanneer aanvallers bestanden exfiltreren van een gecompromitteerde server. Het is een extra beveiligingslaag in strategieën voor dataprotectie.
Wat is TDE?
TDE is een vorm van encryptie op bestandsniveau voor databases. Het databasesysteem slaat een symmetrische sleutel op en gebruikt deze om data te versleutelen wanneer deze naar een schijf worden geschreven en deze te decoderen wanneer data worden opgehaald. TDE versleutelt ook logbestanden die worden gebruikt voor back-ups en trackingtransacties die op de databaseserver worden uitgevoerd.
Wanneer data in rust worden versleuteld, betekent dit dat bestanden worden versleuteld voordat ze worden opgeslagen en transparant worden gedecodeerd wanneer het systeem ze ophaalt. TDE beveiligt data alleen data at rest, dus beheerders moeten ervoor zorgen dat data die onderweg zijn ook worden versleuteld, wat betekent dat data die vanuit de database naar een andere locatie worden overgedragen onafhankelijk van TDE-configuraties moeten worden versleuteld. Als bestanden worden gestolen, zouden ze onbruikbaar zijn voor de aanvaller zonder toegang tot de symmetrische sleutel, dus TDE is een haalbare strategie voor geavanceerde cybersecurity en dataprotectie.
Wat is TDE in SQL?
Microsoft is één databaseontwikkelaar die TDE bevat om bedrijfsgegevens te beschermen. Wanneer u Microsoft SQL Server configureert om met TDE te werken, genereert de database een certificaat en slaat deze op in de masterdatabase. Het certificaat wordt gebruikt om de symmetrische sleutel te versleutelen, die vervolgens wordt gebruikt om gegevens te versleutelen die op schijf zijn opgeslagen of worden opgehaald en in het geheugen worden bewaard, waardoor het onleesbaar wordt als het wordt geëxfiltreerd.
Het hele proces van het versleutelen en decoderen van data is transparant voor beheerders en gebruikers die met databasequery's werken. TDE heeft geen invloed op de prestaties, zelfs niet met de extra encryptiestap in de opslag- en ophaalworkflow. Symmetrische sleutelencryptie is over het algemeen snel en verstoort de prestaties of productiviteit niet.
Leveranciers zoals Amazon gebruiken Elastic Block Store (EBS). EBS versleutelt data in blokken en niet op bestandsniveau. Data worden versleuteld wanneer ze worden opgeslagen en opgehaald, maar databestanden zijn niet versleuteld. Het verschil in beveiliging is dat encryptie op bestandsniveau beschermt tegen fysieke diefstal. Als bestanden uit een gecompromitteerd systeem worden geëxfiltreerd, versleutelt TDE bestanden waardoor ze onbruikbaar zijn voor de aanvaller.
Voorbeelden van TDE in populaire DBMS'en
Hoewel Microsoft TDE gebruikt in haar SQL Server-databaseproducten, is TDE ook opgenomen in andere databasetoepassingen van leveranciers. IBM gebruikt TDE in zijn Db2-databasesoftware. Oracle gebruikt TDE ook als een geavanceerde beveiligingsoptie voor zijn 10 g en 11 g databasetoepassingen. Alle drie leveranciers vereisen dat beheerders TDE inschakelen en configureren voordat deze kan worden gebruikt.
MySQL bevat ook TDE. TDE in MySQL werkt op dezelfde manier als TDE in Microsoft SQL Server. Het tweelaagse encryptieproces genereert een publieke en private asymmetrische sleutel die wordt gebruikt om de symmetrische sleutel te versleutelen. De symmetrische sleutel versleutelt en decodeert data terwijl deze worden opgeslagen en opgehaald. De master-encryptiesleutel wordt opgeslagen in een kluis waar alleen beheerders en het databasesysteem er toegang toe hebben.
Voordelen en voordelen van het gebruik van TDE
Data-at-rest is alle informatie die op een apparaat wordt opgeslagen. Het is de tegenovergestelde vorm van data in transit, die data beschrijft die van het ene apparaat naar het andere worden overgedragen of data die naar een andere locatie worden verplaatst. Data at rest onderscheidt zich van data in transit, dus heeft het zijn eigen strategie voor dataprotectie en cybersecurity nodig.
Sommige nalevingsvoorschriften vereisen dat data at rest worden versleuteld. Een goed voorbeeld is de Health Insurance Portability and Accountability Act (HIPAA). HIPAA heeft strenge regels voor de bescherming van data at rest vooral op servers en werkstations die patiëntgegevens opslaan. Zorg er altijd voor dat uw infrastructuur voldoet aan alle wettelijke normen die toezicht houden op uw sector en betalingsworkflows.
Microsoft integreert TDE naadloos met zijn SQL Server-database-engine. Gebruikers en beheerders merken geen verschil in de werking, prestaties of de manier waarop SQL Server op vragen reageert. Beheerders kunnen bestanden naar back-uplocaties verplaatsen zonder back-upbestanden handmatig te versleutelen om de best practices op het gebied van compliance en dataprotectie te volgen.
Nadelen of redenen om TDE niet te gebruiken
Elke cryptografische workflow voegt complexiteit toe aan de omgeving, dus sommige beheerders kunnen aarzelen om het te gebruiken. Hoewel TDE de prestaties op een moderne server niet belemmert met hardware om bedrijfsquery's af te handelen, kan TDE de queryprestaties op oudere hardware verstoren. Gecodeerde data vereisen ook extra opslagcapaciteit, en de opslagcapaciteit moet worden geschaald naarmate bedrijven meer data verwerven.
TDE versleutelt het volledige bestand dat op schijf is opgeslagen, zodat beheerders geen gedetailleerde controle hebben over encryptie op cel- of kolomniveau. Alle schijf-I/O-activiteit is versleuteld, dus het is een "alles of niets"-functie voor SQL Server-databases. SQL Server biedt ook encryptie op cel- of kolomniveau, waardoor beheerders meer gedetailleerde controle hebben over het versleutelen van specifieke velden en informatie.
FlashArray ™ biedt eenvoudig te gebruiken AES-256 standaard data-at-rest-encryptie die de prestaties niet in gevaar brengt. Lees deze whitepaper voor meer informatie. >>
Conclusie
Versleuteling is van cruciaal belang bij dataprotectie, vooral bij het hosten van data in de cloud. Beheerders kunnen hun SQL Server-database handmatig configureren om bestanden te versleutelen. Back-ups en logs van deze bestanden worden automatisch versleuteld zodra TDE is ingeschakeld. Als u toezicht houdt op de naleving van een database, houdt TDE zich aan gemeenschappelijke voorschriften die encryptie op bestandsniveau van gevoelige data vereisen.
Houdt uw opslaglaag uw SQL-prestaties tegen? Versnel de prestaties van uw SQL Server-implementaties met All-Flash-storage van Pure Storage.