Oracle Advanced Security Transparent Data Encryption (TDE), является самым передовым решением в области шифрования. TDE обеспечивает встроенное управление ключами шифрования и полную прозрачность шифрования конфиденциальных данных.
Любая деятельность в современном мире бизнеса включает в себя множество задач по обеспечению безопасности и соблюдению законодательных норм. Экономические выгоды от передачи стороннему подрядчику некоторых бизнес-функций или частей бизнес-процесса предприятия с целью повысить производительность труда и снизить себестоимость продукции должны быть тесно взаимосвязаны с адекватной защитой сохранности интеллектуальной собственности и информации, касающейся частной жизни. В последние годы было множество случаев хищения персональных данных и мошеннических операций с использованием информации кредитных карт, приведших к убыткам в размере десятков миллионов долларов. Защита от таких видов угроз требует эффективных решений по безопасности. Университеты и медицинские организации повысили уровень безопасности данных, используемых для идентификации личности (PII), таких как номера социального страхования. Компании розничной торговли в настоящее время работают над обеспечением соответствия своих информационных систем требованиям PCI-DSS. Опции Oracle Advanced Security позволяют обеспечивать безопасность в строгом соответствии со стандартами, защищать данные в сети, на дисках и в резервных копиях, оставаясь "прозрачными" для приложений, т.к. их применение не требует внесения изменений в приложения.
Краткий обзор средств шифрования Oracle Database
Шифрование данных является ключевым компонентом при реализации принципа глубокой многоуровневой защиты, а также важным элементом защиты данных во время передачи и хранения. Впервые Oracle представил базу данных с программным интерфейсом (API) для шифрования данных в Oracle8i. На данный момент многие клиенты использую интерфейсы шифрования в базе данных Oracle для повышения безопасности конфиденциальных данных приложений. Достижение прозрачности чтения/записи зашифрованных данных посредством использования крипто-API, требует внедрения функции вызовов внутри самого приложения или использования предустановленного триггера БД. Представления данных приложения также могут нуждаться в расшифровывании, прежде чем они будут переданы в приложение. Кроме того, управление ключами шифрования должно производиться программным путем. Oracle Advanced Security Transparent Data Encryption (TDE), впервые представленная в Oracle Database 10g Release 2, является самым передовым решением в области шифрования. TDE обеспечивает встроенное управление ключами шифрования и полную прозрачность шифрования конфиденциальных данных. Используемый при этом механизм шифрования баз данных основан на использовании команд DDL, полностью исключающих необходимость в изменении приложений, создании программных средств управления ключами шифрования, триггеров и представлений в базах данных.
Таблица 1. Краткое описание Oracle Database Encryption
1) Предусматривает совместимость с предыдущими версиями
2) Для внутреннего использования, недоступно для разработчиков
Прозрачное зашифровывание данных
Информация сохраняется в зашифрованном виде на резервных носителях
Рис 1. Краткое описание прозрачного шифрования данных
Прозрачное шифрование данных
Средствами TDE обеспечивается шифрование данных перед записью на диск и расшифровывание данных, прежде чем они возвращаются в приложение. Процесс зашифровывания и расшифровывания выполняется на уровне SQL и полностью прозрачен для прикладных программ и пользователей. Резервные копии баз данных, записанные на диск или магнитную ленту, будут содержать эти данные в зашифрованном виде. TDE, при необходимости, может быть использовано в сочетании с Oracle RMAN для зашифровывания всей СУБД Oracleв ходе резервирования на диски.
Преимущества прозрачного шифрования данных:
-
Встроенное управление ключами шифрования
-
Прозрачное шифрование защищаемых данных (по столбцам) в прикладных программах
-
Прозрачное шифрование табличных пространств (Впервые в 11g)
-
Прозрачное шифрование файлов/LOBS (Впервые в 11g)
-
Интеграция аппаратного модуля безопасности (HSM) (Впервые в 11g)
Рис 2. Архитектура управления распределения ключами TDE
Краткое описание управления ключами шифрования
TDE автоматически создает ключ шифрования, когда проводится зашифровывание данных столбца в таблице базы данных. Ключ шифрования - уникальный для каждой таблицы. Если в таблице зашифровывается более одного столбца, то для каждого из столбцов используется один и тот же ключ шифрования. Ключи шифрования для таблиц сохраняются в справочнике Oracle и зашифровываются при помощи первичного ключа (мастер-ключа) шифрования TDE. Первичный ключ шифрования сохраняется вне базы данных в "тубусе для ключей" Oracle Wallet (файл формата PKCS#12), который зашифрован с помощью пароля, определяемого администратором безопасности или DBA в процессе создания. Новым в Oracle Database 11g Advanced Security является возможность сохранять первичный ключ в устройстве HSM, используя PKCS#11 интерфейс.
Заключение
Шифрование - это ключевой компонент концепции глубокой защиты. Oracle продолжает разрабатывать инновационные решения, чтобы помочь клиентам соответствовать все более и более строгим требованиям безопасности по охране данных РП. Компании розничной торговли могут использовать Oracle Advanced Security TDE, чтобы соответствовать требованиям PCI-DSS, в то время как учебные и здравоохранительные организации могут использовать TDE для защиты номеров социального страхования и прочей важной информации. Шифрование играет особенно важную роль в защите данных при пересылке. Oracle Advanced Security Network защищает данные при пересылке по внутрикорпоративной сети от сетевого прослушивания и модификации. Oracle Advanced Security TDE защищает важную информацию на дисковых и резервных носителях от несанкционированного доступа, помогая уменьшить ущерб от утерянных или похищенных носителей.