OpenEdge TDE Transparent Data Encription. Diego Fernando Vega Aragón Consulting System Engineer Progress Latin America & Caribbean

Transcripción

1 OpenEdge TDE Transparent Data Encription Diego Fernando Vega Aragón Consulting System Engineer Progress Latin America & Caribbean

2 Agenda Algunas Características de Seguridad Opciones de Seguridad de Datos Propuesta Progress TDE Algunos Clientes Características 2

3 Ultimas Noticias 3

4 Algunas Características de Seguridad La Seguridad es Más que una Solución es un Proceso Requiere de Objetivos y Exclusiones definidos Requiere de monitoreo permanente y actulialización Requiere de un enfoque de multipes pasos que utilizan politicas, procesos, hardware y software para proteger los datos vitales de las compañías 4

5 Regulaciones en Sectores de la Industria Gobierno Servicios: Financieros, Salud, Viajes, Online, Cloud Retail CRM PIPEDA Personal Information Protection and Electronic Documents Act PCI DSS Payment Card Industry Data Security Standard HIPAA Health Insurance Portability & Accountability Act SOX Sarbanes-Oxley Act EU-DPD European Union Data Protection Directive El cumplimiento de las Regulaciones se establece a través de los mercados 5

6 A Quien Involucra la Seguridad Roles CIO, VP o Director de Tecnología Propietario del Producto, Aplicación o Proceso Gerente de IT, Gerente de Desarrollo Actividades Riesgo Legal y Financiero asociado con falta de cumplimiento de las regulaciones Inhabilidad para cumplir con los cambios en las regulaciones Mejorar los requerimientos para proteger y asegurar los datos de las transacciones de información y pago No estar preparado con los actuales requerimientos para el pago con tarjetas de crédito Altos costos asociados con la administración y mantenimiento de la aplicaciones de negocio legacy Equilibrar el rendimiento del sistema y el nivel de cifrado Alto Costo de hardware redundante 6

7 Opción #1: Progress OE Funciones de Cifrado ABL Opera a nivel de campo Requiere re-escribir y un mantenimiento significativo al código existente No cifra los datos en la base de datos Pobre rendimiento los datos no son indexados, no existen búsqueda por rangos Eficacia limitada desde una perspectiva de seguridad los programadores se colocan en una posición Riesgo de Seguridad, son susceptibles a: errores, descuidos, deshonestidad Pueden existir no conformidades en las auditorias El cliente debe administrar manualmente la llaves de cifrado Los reportes SQL no de-cifran los valores 7

8 Opción #2: Cifrado de Datos Utilizando OS o File System SAN El rendimiento es un problema se tiene un sobre costo para el cifrado de la DB Microsoft dice que el cifrado de archivos es muy lento para las BD Los administradores de seguridad deben manualmente hacer un seguimiento de las llaves de cifrado que no son archivadas Los administradores de seguridad no pueden prevenir la escritura de datos en texto claro La BD y algunos utilitarios del SO pueden escribir a otros file systems que pueden no estar cifrados 8

9 Opción #3: 3rd-Party Cifrado a Nivel de SAN Algunos problemas con los file systems: la seguridad de los datos fuera del entorno de cifrado no es garantizada Backups, dumps, archivos diarios, etc. Ningún dato se lee directamente a memoria descifrado 9

10 Propuesta Progress OE TRANSPARENT DATA ENCRIPTION Cifrado a nivel de la base de datos que reposa en disco (a nivel del área almacenada) Datos seguros sobre disco, backups y dump Datos no son cifrados en Memoria = velocidad normal Están separados pero seguros el almacenamiento y la administración de llaves Utilitarios para el control de políticas Son soportadas las rutinas de cifrado estándar de la industria AES, DES, triple DES, etc. No es requerido cambios en la aplicación ni el código Esta es la solución adoptada por la mayoría de los proveedores de BD Industry expectations are encryption at rest because the major database vendors have proven this approach is performant, and less hassle than encrypting file systems. Carl G. Olofson, IDC Analyst for Databases 10

11 Capas de Seguridad en una Aplicación OpenEdge Seguridad a OS Seguridad a nivel de File System Seguridad en Comunicación SSL/TLS Private Data Autenticación de Usuarios en el RDBMS Autorización para compilar ABL Tabla y Columna DBAuthKey CLIENT-PRINCIPAL (ABL) Personalizada con el ABL OpenEdge Auditing Transparent Data Encryption 1. Administración llaves de cifrado 2. Cifrado de Datos Privados 3. Acceso Almacenamiento Cifrado OpenEdge 11 RC4 Encryption SHA 256 & 512 Hashing 11

12 Algunos Clientes & Partners DIRECTOS PARTNERS EDB IT Drift ProVentus Strategic Information Softbrands Hospitality HDI Solutions 12

13 Progress OpenEdge TDE Transparent Es transparente para la aplicación el cifrado/de-cifrado No requiere mover datos o cambiar código Soporte completo para consulta de índices Data Proporciona privacidad de los datos mientras están almacenados Flexible, es posible tener un cifrado selectivo para los objetos El motor almacena los bloques cifrados de la base de datos sobre disco Encryption Seguro: Utiliza algoritmos de cifrado estándar de la industria Provee un cifrado seguro a través de almacenamiento de claves Key Store Limita el acceso físico a los datos 13

14 Progress OpenEdge TDE 14

15 OpenEdge Diagrama TDE TDE <SSL> Mensajes Cifrados Client Server RDBMS Server Shared Memory TDE TDE Key store Policies Almacenamiento de Clave Database Master Key (DMK) DMK Admin/User Passphrase Autenticación Manual/Automática Algoritmos de cifrado estándar de la industria AES, DES, triple DES, etc. Area de Políticas de Cifrado Que (objeto) Como (cifrado) Backups Data Cifrada TDE Dump/Load Data Cifrada Base de Datos en Disco Data Cifrada 15

16 Objetos Cifrados en la Bases de Datos OpenEdge Base de Datos Area de Datos Tipo I Toda el área es cifrada Tablas Indices LOBs No puede Ser Cifrada Schema Area Area de Datos Tipo II Objetos seleccionados son cifrados Tabla Indice Indice Indice Indice LOB Tabla LOB No Puede Ser Cifrada Area de Políticas de Cifrado LOB Tabla LOB Tabla 16

17 OpenEdge TDE Ruta de los Datos Cifrados Progress Software Corporation. All rights reserved.

18 Pasos para Utilizar OpenEdge TDE 1 Adicionar el Area a la Base de Datos Encryption Policy 2 Habilitar TDE 3 Configurar Políticas de cifrado 4 Cifrar o Descifrar datos existentes (opcional) 18

19 Opciones para Cifrado de Dato Existentes 1 Los datos son cifrados por la Actualización, por la normal operación de actualizaciones de la base de datos cuando los bloques son escritos. 2 Dump and load data de objetos, cifrados en la operación de load 3 Cuando se ejecuta el comando EPOLICY MANAGE UPDATE para el cifrado de datos en todos los objetos de la BD 19

20 Configuración de Políticas con el Data Admin Areas Tipo II PUB schema solamente UI para Múltiple selección Admin Security Encryption Policies Edit Encryption Policies... 20

21 Reporte de Políticas de Cifrado Quick Encryption Policies Report Presenta el actual nombre del cifrado y la versión de la política Detailed Encryption Policies Report (el que se visualiza) Información similar a un reporte detallado de tabla, pero incluye información de cifrado Versiones de Políticas Reporting only objects with encryption enabled at the object level ========================================================================= ============================= Table: Customer =========================== Object Name : Customer Object Type : Table Storage Area: Customer/Order Area Policy Version Cipher Name Policy State AES_CBC_128 Current 0 AES_CBC_256 Previous Object Name : Comments (Table: Customer) Object Type : Index Storage Area: Customer Index Area No policy information available for object. Política Actual y Anterior 21

22 Demostración 22 TDE

23 Resumen OpenEdge TDE TRANSPARENT DATA ENCRIPTION Enfoque avanzado de cifrado de datos para las base de datos Protege la data a nivel de Tabla/índice No requiere cambios en la aplicación Todas las características de las aplicaciones trabajan como antes Bajo impacto en el rendimiento (< 5%) Amplia aplicabilidad en muchos casos de uso Cifrado es un aspecto importante en la estrategia de seguridad en la confidencialidad de la información

24 PREGUNTAS? 24

25